Cybersécurité et recrutement : le défi
La cybersécurité n’est pas une notion nouvelle, elle existait déjà avant même la naissance d’Internet. En revanche, avec la multiplication des modes de connexion et des appareils numériques connectés, elle est devenue aujourd’hui essentielle à la survie des entreprises – et des institutions. La crise sanitaire, en développant brusquement – par nécessité, et sans préparation préalable – le travail à distance et l’utilisation d’équipement informatique personnel dans un cadre professionnel, a permis de révéler la myriade de failles de sécurité présentes dans nos systèmes, logiciels et appareils, faisant exploser exponentiellement les besoins en cybersécurité.
Experts en cybersécurité : une demande qui a doublé en 5 ans
Selon le rapport « Cybersécurité » 2022 de l’APEC, en 2021, plus de 7000 offres d’emploi cadre ont été publiées dans le domaine de la cybersécurité, quasiment 2 fois plus qu’en 2017 - et c’est sans compter les offres de recrutement des administrations publiques, qui ne transitent traditionnellement pas par les bases de données de l’APEC. Les besoins en cybersécurité touchent toutes les entreprises, institutions et administrations, mais plus de 50% des offres publiées le sont par des entreprises du domaine informatique (les ESN – Entreprises de Services Numériques). Si certains domaines sont sous représentés dans ces offres (fabricants de composants électroniques, aéronautique, automobile, naval ou ferroviaire par exemple), cela peut simplement refléter un recours fréquent à des prestataires externes sur ce type de poste, plutôt qu’un recrutement interne.
Aujourd’hui, la demande sur ce type de profil « cyber » est telle que nombre de recruteurs se tournent vers la « chasse » d’experts déjà en poste, ou vers des partenariats avec les écoles ou centre de formation dédiés, pour embaucher des alternants ou de jeunes diplômés dès leur sortie de l’école.
Les métiers de la cybersécurité
Plus de 75% des offres d’emploi cadre proposées en cybersécurité le sont sur 3 types de métiers :
- Gouvernance, Risques et Conformité (GRC)
- Conception, déploiement et maintenance informatique
- Gestion des incidents
De plus en plus d’entreprises cherchent à recruter des cadres en GRC, responsables de la sécurité des systèmes et capables d’évaluer les risques auxquels l’entreprise pourrait être confrontée. Une telle mission sous-entend une vision et une compréhension globale des systèmes internes utilisés par l’entreprise : difficile donc de recruter des profils junior sur de tels postes…
Plutôt que d’auditer ou de chercher à sécuriser des systèmes déjà existants, d’autres entreprises font le choix de développer de nouveaux outils et infrastructures, plus résistants aux cyberattaques. Gérés en internes de la conception à la maintenance, en passant par le déploiement, ces métiers sont surnommés Build & Run. Architectes, ingénieurs, développeurs ou administrateurs : nombreux sont les profils recherchés dans ces métiers.
Enfin, parmi les métiers les plus recherchés par les recruteurs, on trouve les spécialistes de la gestion des incidents : en cas de cyberattaque, ce sont eux qui collectent et analysent les preuves et données nécessaires pour comprendre comment l’attaque a pu avoir lieu, et comment éviter que cela ne se reproduise.
Le recrutement en cybersécurité, un véritable challenge
Les besoins en cybersécurité ont connu une explosion récente, malheureusement non corrélée au nombre de recrues potentielles sur le marché du travail. Si de plus en plus de jeunes sont conscients de la quasi-certitude de débouchés professionnels dans ce domaine, leur arrivée sur le marché du travail risque d’être trop tardive, et trop lente pour réussir à couvrir les besoins actuels.
Nous faisons également face à une importante dichotomie : les profils les plus recherchés doivent être à la fois expérimentés et formés récemment sur des technologies qui évoluent tellement rapidement qu’elles sont presque obsolètes le temps de créer des formations à leur sujet…
La « chasse » aux experts, quitte à les débaucher, ainsi que l’alternance, semblent être actuellement les solutions privilégiées par les entreprises à ces difficultés de recrutement. Bien entendu, elles doivent proposer des conditions de travail et de rémunération suffisamment attractives, notamment pour capter des talents déjà en poste. Il faudra également prendre en considération le besoin régulier qu’auront ces experts – ou futurs experts – à être formés pour être opérationnels sur de nouvelles technologies pour lutter contre de nouvelles attaques. Cette politique de formation pourra d’ailleurs être mise en avant pour attirer des candidats.
« Mieux vaut prévenir que guérir »
L’adage s’applique également au domaine de la cybersécurité. La prévention aux risques de cyberattaques devient absolument essentielle : les salariés sont la porte d’entrée principale lors d’actions malveillantes. Les pratiques dites d’« hygiène numérique » doivent absolument être normalisées, sur tous les postes, et tous les salariés devraient pouvoir bénéficier de connaissances de bases en sécurité informatique, même s’il faut pour cela passer par des actions de formation dédiées.
Et bien entendu, puisque prévenir ne suffit pas toujours, les investissements en recherche et développement d’outils de lutte contre les cyberattaques vont devoir se multiplier afin, dans la mesure du possible, de limiter le nombre de ces attaques, ainsi que les dégâts qu’elles pourraient causer.
Recruteurs ou experts en cybersécurité, et si vous nous faisiez profiter de votre expérience sur la question ?
[26/10/2022]