Beaucoup d’encre a coulé sur la pénurie de compétences en cybersécurité au cours des dix dernières années, mais une chose est sûre : elle n’est pas près de disparaître. Selon Gartner, 61 % des entreprises admettent avoir du mal à embaucher des professionnels de la sécurité qualifiés, et le nombre de postes vacants dans le monde dépasse actuellement les quatre millions. Au Royaume-Uni, le gouvernement estime qu’environ 653 000 entreprises (soit 48 % de l’ensemble des entreprises britanniques) souffrent d’un déficit de compétences de base en cybersécurité dans leur personnel, tandis que 408 000 (30 %) d’entre elles connaissent des lacunes en compétences plus avancées. Bref, il y a un gros problème.
Pour le secteur d’activité, le danger est évidemment réel et bien présent, mais comment en sommes-nous arrivées à cette situation et, plus important encore, que pouvons-nous faire pour y remédier ? Cet article se penchera sur certains des plus grands défis associés au pourvoi de postes vacants en cybersécurité, avant d’examiner les moyens pour les entreprises de conserver plus efficacement leur personnel existant et de générer plus de bonheur et de productivité dans leurs équipes.
Sans surprise, le manque d’expérience est l’un des plus grands défis à relever
Dans de nombreux cas, les postes les plus difficiles à pourvoir sont ceux qui nécessitent une grande expérience pratique, comme les expertes en chasse aux menaces et en intervention en cas d’incident, car de nombreuses années sont nécessaires pour gagner en expertise dans ces domaines. Bien que la participation aux formations annuelles du SANS Institute puisse s’avérer bénéfique (et soit fortement recommandée), elle ne peut pas remplacer les connaissances acquises lors de la recherche et de la réponse aux incidents dans une entreprise réelle. C’est encore plus difficile lorsqu’on essaie de trouver des candidates qualifiées possédant une expérience dans la réponse aux attaques commanditées par des États. Comprendre les activités des auteurs de menaces et savoir quoi rechercher en matière de TTP (tactiques, techniques et procédures) est une compétence extrêmement précieuse, et parfois rarement acquise.
Ratissez le plus large possible pour votre recrutement, on ne sait jamais…
De nombreuses entreprises font l’erreur, dans leurs tentatives de pourvoir toutes sortes de postes en cybersécurité, d’utiliser les mêmes anciens canaux de recrutement. Plutôt que de publier des annonces et de faire appel à d’onéreux cabinets de recrutement, cherchez dans vos propres réseaux, ainsi que dans des endroits moins conventionnels. Certaines des candidates les meilleures et les plus qualifiées que j’ai pu découvrir étaient des personnes rencontrées lors de conférences sur la sécurité, de forums de renseignement sur les menaces et, ironiquement, même sur Twitter. Les offres d’emploi conventionnelles et les cabinets de recrutement ont définitivement un rôle à jouer, mais d’après mon expérience, bien qu’ils ramènent un grand nombre de candidates, peu d’entre celles et ceux-ci possèdent les compétences ou l’expérience nécessaires pour le poste annoncé. Dans ces conditions, chercher ailleurs peut se révéler une stratégie beaucoup plus fructueuse pour trouver les bonnes personnes pour votre entreprise.
La formation des employées actuelles peut être tout aussi efficace que l’embauche d’autres employées
Parfois, la bonne personne est juste sous vos yeux, mais vous ne vous en rendez pas compte. La formation d’employées déjà en poste, de préférence à l’embauche de nouveaux employées, peut produire plusieurs résultats positifs. Cela apporte à cette employée de nouvelles compétences et peut éventuellement ranimer son intérêt et relancer sa motivation. Cela évite également d’avoir à consacrer du temps et de l’argent à la recherche de candidates qui ne s’intégreront peut-être pas. De plus, les employées actuelles connaissent déjà l’entreprise et sa culture et sont immédiatement opérationnelles. Par conséquent, l’une des premières questions à se poser pour les entreprises qui cherchent à pourvoir un poste est la suivante : « y aurait-il déjà quelqu’un ici que nous pouvons réaffecter et former ? ».
En matière de fidélisation du personnel, l’argent n’est pas la seule motivation
Il va sans dire que la rémunération est un facteur important pour toute employée, mais ce n’est pas le seul. Beaucoup de candidates recherchent également des postes leur permettant de développer leurs connaissances et de progresser dans leur carrière aussi loin que possible, au lieu de se heurter rapidement à un plafond de verre. La répétition des mêmes tâches tous les jours, mois après mois, devient vite ennuyeuse et peut rapidement entraîner du mouvement de personnel. Or c’est bien la dernière chose dont les entreprises ont besoin alors que le personnel qualifié est déjà si difficile à trouver. Des opportunités de travailler avec d’excellents outils de sécurité ou sur des mini-projets qui leur plairont peuvent non seulement préserver l’implication des employées, mais également améliorer les capacités globales de l’équipe, et renforcer la collaboration dans toute l’entreprise. Cela permet non seulement d’attirer de nouveaux talents, mais également de les fidéliser.
Bien que le manque de compétences continue de présenter des défis majeurs dans le secteur de la cybersécurité, cela ne signifie pas pour autant qu’il soit impossible de trouver des personnes formidables. Il y a de fortes chances que beaucoup de ces personnes travaillent déjà pour vous ! La clé est de ne plus dépendre uniquement des canaux conventionnels et de commencer à sortir des sentiers battus en matière de recrutement. Il en va de même pour la fidélisation, dont l’importance est sans doute encore plus grande. Bien que l’argent soit toujours un excellent facteur de motivation, c’est également le cas de la progression de carrière, ainsi que de la possibilité de travailler avec d’excellents outils et des collègues appréciés. Améliorez ces points et vous verrez bientôt les meilleurs talents sonner à votre porte…
Par Tim Bandos, RSSI chez Digital Guardian