Face à l’augmentation constante de la menace cyber et au renforcement des exigences réglementaires, les organismes publics et privés cherchent à renforcer leurs effectifs et à embaucher des professionnels qualifiés dans le domaine de la cybersécurité. Considérés comme de « simples » fonctions supports à l’origine, ces métiers font désormais partie intégrante de la stratégie des entreprises. Le marché des profils de la cybersécurité se retrouve par conséquent sous tension et les organismes peinent à satisfaire leurs besoins en recrutement. Face à cette situation, quel plan d’action mettre en place ?

La cybersécurité : des métiers sous tension

Aujourd’hui, la majorité des entreprises (56%) déclare mettre entre 3 mois et 6 mois pour pourvoir une offre d’emploi dans le domaine de la cybersécurité. Pour 20% d’entre elles, ces offres ne sont même pas pourvues du tout. En 2015, seuls 25% des besoins en recrutement ont été couverts par les entreprises[1].

A l’origine de ces difficultés : un besoin d’experts en constante augmentation, dopé par un contexte réglementaire qui se renforce et des cyberattaques toujours plus nombreuses et sophistiquées. Mais si la demande évolue en quantité, elle évolue aussi en qualité : l’expertise technique requise est de plus en plus pointue et les certifications en sécurité exigées pour le recrutement sont importantes. Ainsi, 69% des offres d’emplois cyber nécessitent au moins une certification dans le domaine de la cybersécurité[2].

Une offre de formation en développement

L’offre de formation en France est pléthorique avec plus de 550 formations, de niveaux Licence à Master, certifiantes ou non, proposées aussi bien par des organismes privés (environ 400) que par des établissements supérieurs (150). On constate notamment que ces derniers, destinés historiquement aux étudiants, s’ouvrent de plus en plus aux professionnels par la voie de la formation continue.

Accroître l’attractivité de la filière : un enjeu prioritaire

Afin de faire face à ce constat et à la pénurie de candidats qui en découle, il convient aux professionnels et académiques de mener des actions pour, d’une part, structurer la filière de la cybersécurité, d’autre part la faire connaître et de la valoriser.

Cette valorisation passe, par exemple, par la mise en place de campagnes de communication adaptées, diffusées sur des réseaux spécialisés comme « Choose your boss » ou « Yes we hack ». Le recrutement peut également être abordé de manière différente, en organisant des événements ou des concours : cette façon de procéder présente l’avantage d’attirer des profils différents, pas forcément formés, mais passionnés par l’informatique (par conséquent peut-être plus facile à recruter). Pour élargir leur vivier de candidats, les entreprises peuvent également étudier la possibilité de recruter des talents de l’étranger (Inde, Chine, Amérique latine, etc.) ou encore des seniors experts. Enfin, il est important de repenser les collaborations et les contrats de travail, afin d’assurer la continuité des compétences dans un milieu où elles évoluent très vite et où l’entreprise n’est pas forcément en mesure de les maintenir – recruter en CDD ou en freelance à la mission par exemple. Bien sûr, ces actions ne doivent pas faire oublier les fondamentaux de toute stratégie de recrutement de profils très demandés : réactivité, rémunération attractive, sourcing ciblé via les réseaux des entreprises et les chasseurs, programmes de cooptation incitatif etc.

Accompagner la mobilité professionnelle et la montée en compétences des salariés vers les métiers de la cybersécurité est une autre option bénéfique. Former en interne des collaborateurs permet à la fois de faire face aux difficultés de recrutement externe et de viser une transformation plus profonde de la fonction, au plus près des métiers.

Comment travailler avec les ressources humaines ?

Le recrutement des profils cybersécurité étant quasiment inexistant il y a quelques années, travailler avec les ressources humaines est un prérequis à la mise en place de toute stratégie de recrutement cyber. Un effort de compréhension et d’adaptation apparaît comme nécessaire pour disposer d’une vision globale du marché des profils de la cybersécurité, des besoins de l’organisation et des ajustements à mettre en œuvre (notamment en matière de formation) pour satisfaire les besoins en recrutement. Cela n’est possible que par l’instauration d’une relation de travail quotidienne entre le management de la Direction Informatique et celui des ressources humaines : réunions d’information, ateliers de travail, participation à des séminaires, réalisation conjointe du diagnostic des besoins en matière de cybersécurité et du plan d’actions associé pour les satisfaire, etc.

La gestion des talents de la cybersécurité apparaît comme un enjeu majeur pour les organisations. Face à des métiers sous tension et à la pénurie de candidats, ces dernières doivent adapter leurs processus RH afin de satisfaire leurs besoins croissants, à la fois sur le court terme (recrutement) et sur le long terme (formation, mobilité). Outre ces mesures, il appartient aux acteurs de la cybersécurité de mettre en œuvre des actions de convergence visant à structurer la filière et à la faire connaître vis-à-vis du grand public. Pour en faire une future vitrine de la compétitivité des entreprises françaises ? Avec les prévisions encourageantes en matière de création d’emplois, tout laisse à penser que la filière a son destin entre les mains pour y parvenir.

[1] State of Cyber Security 2017: Current Trends in Workforce Development, ISACA
[2] Idem