Face à une pénurie croissante de compétences en cybersécurité, les entreprises sont à la croisée des chemins : innover dans leurs stratégies de recrutement et de formation ou se condamner à l’immobilisme. Comment remodeler les pratiques RH pour attirer et retenir les talents nécessaires à la lutte contre des menaces cyber ? Une problématique sur laquelle les directions d’entreprises doivent urgemment se pencher.
« La bataille sur la ressource humaine est la première des batailles », déclarait le général Watin-Augouard, fondateur du Forum International de la Cybersécurité (devenu Forum InCyber en 2023), résumant ainsi début octobre l’enjeu majeur auquel est confronté l’écosystème.
Une déclaration prononcée lors d’une rencontre consacrée à ce thème au sein du Campus Cyber. Celui qui a dirigé pendant une décennie le centre de recherche de l’école des officiers de la Gendarmerie (Creogn) explique : « Dans le contexte de transformation actuel, il nous faut montrer qu’il y a un avenir pour chacun dans le monde numérique, en regardant au-delà de la formation initiale pour répondre à la pénurie des compétences. Sans effort porté sur l’humain, inutile de parler d’autres sujets majeurs comme la souveraineté ».
Parmi les métiers du numérique, la cybersécurité reste la championne des emplois non pourvus. Le cabinet Wavestone évalue ainsi à 42% les postes vacants en 2022 sur le périmètre surveillé par l’association mondiale des professionnels du secteur, l’ISC2. Un problème identifié de longue date par certaines organisations, publiques ou privées, qui ont déjà commencé à boulverser en profondeur leurs modes de recrutement, afin d’aller au-delà des formations classiques, asséchées par la demande.
Une très forte représentation des compétences informatiques persiste dans les formations initiales. « Dans les années 90, ce sont souvent les personnes en charge du réseau qui se sont occupées de la cybersécurité et ce lien a perduré. Pourtant, on attend beaucoup plus des profils en charge des questions cyber. En particulier des capacités de management, des compétences marketing… » note Gérôme Billois, partenaire au sein de Wavestone. Au-delà de la question de la maturité des entreprises sur leur stratégie de cybersécurité, le cabinet expérimente depuis peu un outil d’évaluation des pratiques de recrutement en tant que telles. Les premiers résultats semblent montrer que si les organisations se prennent en main pour améliorer les fiches de poste, les politiques salariales et l’attractivité des processus de recrutement, elles ont beaucoup plus de mal à trouver des réponses sur les parcours de carrière, la formation continue ou la gestion communautaire des compétences. Autrement dit, elles parviennent à apporter des réponses individuelles à court terme, mais peinent sur les sujets plus collectifs et de long terme. Pourtant, ces derniers points sont essentiels pour ouvrir l’écosystème de la cybersécurité à de nouveaux profils.
Louis-Antoine Grasset, du cabinet de recrutement Chaberton Professionals, évoque le manque de renouvellement dans le milieu : « Dans tous les processus de recrutement que nous menons, on retrouve les mêmes ‘usual suspects’. Il est devenu impératif de s’ouvrir à de nouveaux métiers, à réussir la transposition de nouvelles compétences ».
A lire aussi : Les femmes en reconversion, un vivier de talents cachés pour la filière du numérique
« Fabriquer des compétences là où il n’y en a pas »
Tout semble donc pointer vers l’intérêt fort de la reconversion pour répondre aux enjeux du secteur. Et de plus en plus d’organisations décident d’avoir une stratégie spécifique sur le sujet. Ainsi, Frédéric Le Bastard, président de l’InterCERT, l’association qui anime la communauté des CSIRT (centres d’alerte et de réaction aux attaques informatiques) en France, témoigne de l’intérêt des entreprises qu’il côtoie sur le sujet : « Nous avons un membre qui a mis en place un programme complet de reconversion de ses personnels en interne. En formant des collaborateurs pendant quelques mois, on peut obtenir de très bons résultats. L’analyse des risques, par exemple, ne demande pas une formation technique très poussée. Au contraire, avoir la connaissance de son métier d’origine apporte beaucoup ». De tels programmes, dits de « reskilling », n’ont en effet pas vocation à créer des experts cyber de très haut niveau, mais ils ont l’avantage de « fabriquer des compétences là où il n’y en a pas », d’après Frédéric Le Bastard. « C’est la seule solution si l’on ne veut pas constamment se disputer les mêmes talents », affirme-t-il.
La reconversion n’est cependant pas un long fleuve tranquille. « Il faut de la patience et on est généralement sur des cycles de deux, trois ou quatre ans, avant d’obtenir des résultats notables », reconnaît le président de l’InterCERT. D’autant que toutes les reconversions ne sont évidemment pas pilotées directement dans le cadre d’une entreprise pour ses propres collaborateurs. Or, les profils externes sont confrontés à des difficultés notables. « Beaucoup de personnes en reconversion m’ont contacté en disant : ‘j’ai suivi une formation, mais maintenant, j’ai du mal à trouver un poste ou même un simple stage…' », témoigne Hervé Mafille, spécialiste de la sécurité des systèmes d’information, qui a créé en 2016 un cabinet de recrutement spécialisé pour accompagner les professionnels sur des projets de long terme en cybersécurité.
« Au-delà des 80 formations labellisées par l’ANSSI, il y a tout un business de formations parallèles en cybersécurité qui attirent beaucoup de personnes, mais à la sortie, celles-ci se retrouvent souvent à se demander : finalement, je vais vers quoi ? C’est choquant : en France, il y a des gens qui dépensent plusieurs milliers d’euros pour une formation, alors qu’à la base, il n’y a pas eu de réflexion sur la correspondance individuelle avec un métier précis », détaille le recruteur.
Les difficultés pour certains profils à trouver des débouchés sont un constat partagé par Walter Peretti, référent enseignement de Défense et de Sécurité Nationale, et responsable du Campus Cyber pour l’École Supérieure d’Ingénieurs Léonard de Vinci (ESILV) : « Mes diplômés de niveau bac+5 ont de nombreuses offres de stages, mais mes étudiants en alternance de niveau bac+3 ont beaucoup plus de mal ; et le plus gros problème concerne notre Executive MBA, qui permet le ‘reskilling’ d’ingénieurs généralistes. On observe un frein clair pour ceux qui n’ont pas l’étiquette cyber initiale ».
L’image de la cybersécurité en question
La réticence des entreprises renvoie plus généralement au problème de leur vision fondamentale de la cybersécurité : « Trop souvent, la seule valeur perçue de la cybersécurité, c’est l’absence d’incidents… Comme pour la RSE, on est donc sur une valorisation de métiers par la négative, ce qui rend très difficile pour les entreprises d’allouer des moyens pérennes et de miser sur le potentiel des recrues », expose Louis-Antoine Grasset. Le fait que la cybersécurité est perçue comme une simple fonction de support dont il faut minimiser le coût reste une triste réalité dans de nombreuses organisations, ce qui rend l’effort à fournir pour soutenir les parcours de reconversion moins attractif pour la direction générale et les ressources humaines. Or, les reconversions n’auront de sens que si les personnes récemment reconverties restent à long terme dans le secteur et, plus encore, dans l’organisation qui les recrute ; ce qui demande un engagement clair de la part de la direction.
Un autre problème nuit également aux efforts de reconversion. « Très peu de gens se représentent bien les réalités des métiers de la cybersécurité. Il y a un aspect visuel, un imaginaire très fort, notamment autour des métiers les plus techniques comme les pentesteurs. Les contraintes du quotidien sont, elles, souvent sous-estimées… », analyse Hervé Mafille, pour qui le décalage entre l’imagination et la réalité entrave l’adhésion des personnes reconverties une fois en poste. « L’image d’Épinal du hacker à capuche dans sa cave face à ses chiffres verts a pu servir à attirer l’attention à une époque, mais elle dessert très clairement l’écosystème aujourd’hui », confirme Gérôme Billois de Wavestone.
L’accompagnement individuel représente donc un enjeu majeur de la reconversion en cybersécurité, plus encore que vers d’autres métiers du numérique qui peuvent rencontrer des problèmes similaires. Hervé Mafille recommande de faire appel à des professionnels du bilan de compétences plus spécialisés, mais également de s’appuyer au plus tôt sur des tests de personnalité comme l’Ennéagramme, afin d’orienter les individus vers les bons métiers de la cybersécurité en fonction de leurs traits de caractère.
De plus, les professionnels souhaitant se reconvertir sont invités à se demander : la cybersécurité doit-elle devenir leur compétence principale ou simplement une corde de plus à leur arc ? « Devenir architecte de sécurité ou diriger un SOC (security operation center, NDLR) n’implique pas les mêmes compétences que de prendre un poste de directeur commercial pour un éditeur de logiciel de cybersécurité. Ce sont des reconversions vers la cybersécurité complètement différentes », illustre Hervé Mafille, qui souligne la grande variété des métiers du secteur, souvent méconnue du grand public.
Accepter la diversité, un changement important
Valérie de Saint Père, co-fondatrice de 2600, école de cybersécurité située à Saint-Quentin-en-Yvelines, est bien consciente de la complexité de cette situation : « Face à la diversité des métiers, il faut pouvoir s’appuyer sur des profils très variés. Mais gérer cette diversité dans un contexte d’enseignement, de montée en compétence, est toujours beaucoup plus difficile : cela nécessite une personnalisation des parcours et une attention au détail. Prôner la diversité ne suffit pas, il est ensuite nécessaire de proposer des formations sur le terrain qui n’exposent pas ces profils variés, venus d’autres horizons, à l’échec ». À cet égard, il est urgent, selon elle, de sortir de « l’ère des diplômes » comme référence absolue, afin que les professionnels en reconversion et les recruteurs reconnaissent l’intérêt de la micro-évaluation des compétences. « C’est ce qui conduira à des parcours de compétences sur mesure, avec un découpage très fin en fonction des besoins des entreprises. La micro-certification des compétences doit devenir un outil pour piloter la montée en compétences des collaborateurs et, en retour, permettre à ces derniers de mieux gérer leur carrière », plaide-t-elle.