Trouver la bonne personne pour votre équipe de sécurité reste une tâche décourageante et quelque peu ardue dans le monde actuel. La pénurie de talents dans le secteur de la cybersécurité est bien documentée et perdure depuis plusieurs années. La pandémie de COVID-19 et les défis qu’elle a posés ont aggravé la situation.

Les rapports et les enquêtes récents n’en donnent pas une image très réjouissante.

Le cinquième rapport de recherche annuel de l’ESG et de l’ISSA, The Life and Times of CybersecurityProfessionals 2021, indique que « la crise des compétences en cybersécurité continue à empirer sur une tendance pluriannuelle et a impacté plus de la moitié des organisations ». Presque toutes les personnes interrogées (95 %) conviennent que l’écart ne s’est pas comblé au cours des dernières années ; 44 % indiquent qu’il n’a fait que s’aggraver.

Dans le secteur fédéral, un récent rapport du Partenariat pour la fonction publique a révélé que le nombre d’employés de cybersécurité à temps plein n’a augmenté que de 8 % entre septembre 2016 et septembre 2020. De nombreuses agences ont encore du mal à fidéliser un personnel de cybersécurité qui ressemble à la population américaine ; peu de femmes et peu de jeunes de moins de 30 ans.

Si la disponibilité de certaines ressources, comme le Cyber Aptitude and Talent Assessment (CATA), semble aller dans le bon sens, elle ne sera pas une solution miracle. Les organisations doivent également prendre des mesures pour former et fidéliser les talents en matière de cybersécurité. Dans cette optique, quelles sont les meilleures pratiques pour trouver la bonne personne pour votre équipe de sécurité ? Si les talents fuient votre entreprise, quelles stratégies pouvez-vous employer pour assurer la fidélisation des talents de la cybersécurité ?

Pour de nombreuses organisations, cela dépend du type de poste que vous cherchez à pourvoir. De nos jours, il existe un très large éventail de rôles, allant des analystes de sécurité aux intervenants en cas d’incident, en passant par la chasse aux menaces, l’ingénierie inversée des logiciels malveillants, l’architecture, etc. Votre premier objectif consiste à identifier les postes spécifiques que vous souhaitez pourvoir, en détaillant toutes les responsabilités qui leur seront demandées. Les grandes entreprises peuvent s’offrir le luxe de recruter pour chacun de ces rôles spécifiques, mais il arrive souvent de devoir recruter une personne capable de porter plusieurs de ces casquettes. En résumé, pour recruter le bon employé, il est essentiel de bien connaître le rôle que vous cherchez à pourvoir.

Identifier les talents en interne

Le premier endroit où lancer les recherches est en interne. Quelqu’un qui connaît déjà le réseau de l’entreprise, sa culture et son personnel peut apporter un avantage majeur. Vous pouvez ensuite vous concentrer sur le renforcement de ses compétences grâce à une série de formations en ligne et l’encourager à passer plusieurs certifications en matière de cybersécurité, qui peuvent s’avérer payantes à long terme. J’ai trouvé certains des meilleurs spécialistes de la sécurité au sein même des organisations d’audit informatique internes adjacentes. Plutôt qu’ils vous interrogent sur vos contrôles informatiques, invitez-les à vous rejoindre !

Encourager les employés actuels et évaluer la motivation des employés potentiels

Si vous devez vous aventurer à l’extérieur de votre organisation, l’idéal est d’engager des personnes hautement recommandées par des gens que vous connaissez ou qui ont déjà travaillé avec elles. Ce que vous voyez sur le papier ne se traduit pas toujours par une bonne intégration dans votre équipe de sécurité. Inciter les employés à vous adresser des candidats qu’ils recommanderaient personnellement est un excellent moyen d’élargir le champ de vos recherches.

Si vous ne parvenez pas à trouver des talents par les deux moyens ci-dessus et que vous devez faire passer des entretiens à des personnes que vous ne connaissez pas, j’ai plusieurs recommandations pour vous.

Assurez-vous d’avoir répertorié tous les rôles et responsabilités que le poste implique afin de limiter le nombre de candidats qui ne sont pas qualifiés pour cet emploi. Vous recevrez toujours des candidatures de personnes qui n’ont aucune expérience dans le domaine, ce qui peut être frustrant, mais au moins chacun saura exactement ce que vous recherchez et les compétences que vous exigez. J’ai reçu un jour un candidat cherchant à occuper un poste de chasseur de menaces senior. Son expérience professionnelle : concierge dans un lycée. Les compétences immédiatement transférables étaient probablement hasardeuses.

Au cours de l’entretien, il est également important d’évaluer non seulement l’expérience, mais aussi la personnalité et la motivation. Vous devez vous assurer que ces personnes travailleront bien avec les autres, car la collaboration est essentielle.

Enfin, j’aime faire passer un test pratique aux trois meilleurs candidats qui réussissent les premiers entretiens pour voir comment ils résolvent un problème et formulent une réponse. Ce test est généralement très révélateur de ce que vous obtenez à l’embauche. Les candidats sont-ils minutieux ? Les compétences énumérées dans leur CV sont-elles en adéquation avec leurs réponses ? Comment ont-ils présenté leurs résultats ? Qui a fait la meilleure présentation ?

La collaboration est essentielle

Pour fidéliser les talents de cybersécurité, il est essentiel de créer un environnement de travail adéquat pour que chacun reste impliqué et motivé.

La mise en place de politiques visant à assurer un bon équilibre entre vie professionnelle et vie privée ainsi que des avantages sociaux intéressants sont des clés de fidélisation des employés. Je crois également que si vous avez une équipe très coopérative et stimulante qui se concentre sur la réalisation des objectifs du groupe et prend le temps de les récompenser et de les célébrer, cela contribue grandement à contrer l’intérêt de quiconque à partir.

On dit que les gens ne quittent pas nécessairement leur emploi, ils quittent leur patron. Si vous favorisez ce type d’environnement positif et respectueux (en comprenant notamment que les employés peuvent vouloir développer leur carrière autant que vous), leur fidélisation en sera grandement facilitée.

Bien que d’autres moyens existent pour les organisations de se doter d’un personnel de cybersécurité solide, voici quelques-unes de mes techniques éprouvées. Investir dans vos employés en les motivant et en les incitant à donner le meilleur d’eux-mêmes peut constituer l’épine dorsale d’un programme de cybersécurité efficace.

Cela paraît simple. À bien des égards, c’est le cas. Mais cela demande du temps et de l’énergie. Faites-le correctement, et vous aurez une équipe heureuse et stable. Dans le cas contraire, vous vous battrez pour embaucher tout en regardant vos meilleurs éléments vous quitter. 

Par Tim Bandos, RSSI chez Digital Guardian