Les besoins en cybersécurité continuent de s’intensifier et la guerre en Ukraine ne fait que renforcer la crainte d’attaques de grande ampleur. La pénurie de talents en cybersécurité généralisée rend les systèmes informatiques des entreprises et des administrations plus vulnérables aux menaces toujours plus avancées et sophistiquées.

Conscientes des enjeux, face au manque croissant de compétences, elles tentent de trouver des solutions. Pour remédier à cette pénurie et augmenter leur niveau de protection, l’organisation est reconsidérée. Parallèlement, la mise en œuvre de nouveaux process de recrutement ou d’achats de prestations intellectuelles permet d’attirer et de fidéliser plus efficacement ces professionnels.

Prestataire incontournable du numérique, Stedy vous livre ses recommandations pour repenser votre stratégie d’entreprise en matière de cybersécurité, malgré l’absence de talents disponibles.

Adapter l’organisation au manque de talents cybersécurité qualifiés

Mettre en place une équipe de cybersécurité compétente et expérimentée est une opération qui requiert un fort investissement et nécessite un certain temps. Pour contourner cette problématique et le manque de profils confirmés, l’automatisation et l’externalisation semblent être une alternative intéressante.

Automatiser et externaliser pour compenser le manque de compétences en cybersécurité

Les innovations technologiques en cybersécurité peuvent compenser le manque de compétences humaines. Certaines fonctions de sécurité peuvent, en effet, être automatisées. Aussi, les Responsables de la Sécurité Informatique (RSI) optent pour des dispositifs de prévention des failles telles que l’EDR – Endpoint Detection & Response ou le XDR – Extended Detection & Response.

Ainsi, les experts du secteur préconisent des actions concrètes pour améliorer la cybersécurité en entreprise sur le long terme :

• Mettre en œuvre des outils et des processus d’automatisation
• Consolider les outils et les plateformes
• Se tourner vers des solutions de sécurité innovantes et simplifiées

Avec une meilleure efficacité opérationnelle, les collaborateurs déjà en poste seront plus disponibles pour exploiter leur savoir-faire. Ils pourront se consacrer à d’autres missions, telles que la détection, l’analyse et la neutralisation d’attaques sophistiquées. Toutefois, cette stratégie entraîne inévitablement une évolution du service. Vous devrez développer de nouvelles compétences pour adapter le rôle de chacun aux changements de processus.

De plus, ces outils constituent une aide puissante, mais ils nécessitent l’intervention de professionnels confirmés pour piloter les actions et suivre les opérations. Ainsi, l’outsourcing, ou RPO, est une approche complémentaire. Elle est largement préconisée pour trouver les perles rares, notamment sur des fonctions d’encadrement. L’expertise à aller chercher à l’extérieur peut aussi passer par l’assistance de consultants freelances ou salariés d’une ESN.

En parallèle, le recours à des prestataires spécialisés pourra être envisagé : MDR (Managed Detection and Response), fournisseurs de services de sécurité managés (MSSP). Dans ce cas précis, les équipes mutualisent la supervision de plusieurs clients à la fois.

L’externalisation d’une partie des processus et des fonctions de cybersécurité concerne généralement :

• L’évaluation et la limitation des risques
• La gestion de l’accès et la surveillance du réseau informatique
• La gestion de crise et la restauration des systèmes compromis

Les tests d’intrusion déterminants dans une stratégie de cybersécurité peuvent, ainsi, être conduits par des collaborateurs externes spécialisés en Penetration Testing. Leur savoir-faire aidera les entreprises à limiter les conséquences d’une attaque (vol de données, fuite de données personnelles, etc.).

Dès lors, faire appel à des prestataires indépendants de l’organisation permet de contourner votre difficulté à trouver sur le marché de l’emploi l’expertise requise. Ce procédé comble véritablement l’inexpérience d’une société face aux risques majeurs que présentent les cyberattaques.

Perfectionner le management pour préserver les compétences cybersécurité disponibles 

En Cybersécurité, face au manque de profils qualifiés, vous devez mettre en place une méthode managériale en phase avec les besoins des employés, mais aussi ceux des collaborateurs externes. Le choix d’une approche bienveillante est généralement favorable à l’engagement de ces profils convoités. En outre, la capacité à coordonner ces talents de l’IT aux statuts variés en mode projet sera déterminante pour les fidéliser.

Pensez également à ne pas délaisser votre processus d’onboarding. Trop souvent négligé, par manque de temps ou ignorance, cette étape est pourtant fondamentale. Et à l’ère de l’entreprise étendue, elle l’est d’autant plus pour les consultants cybersécurité, amenés à intervenir dans de nombreuses structures. En soignant leur accueil et en veillant à leur intégration, vous les incitez naturellement à revenir dans votre société en priorité.

En résumé, préserver les compétences disponibles passe donc par une organisation capable de s’adapter aux différents types de collaborateurs en cybersécurité : employés, freelances, salariés indépendants…

Stratégies pour attirer et retenir les talents de la sécurité informatique

Travailler sa visibilité en valorisant la carrière cybersécurité : salaire, formation et opportunité d’évolution

Pour s’engager dans une mission ou sur un poste, un Expert Cybersécurité est motivé par plusieurs facteurs. Sans surprise, le salaire arrive en première position. Mais d’autres éléments doivent être pris en compte, afin d’optimiser votre stratégie de recrutement ou d’achats de prestations intellectuelles.

Votre suivi de la formation, votre réputation en matière d’innovation et de SI, et le potentiel d’évolution devront ainsi être présentés au talent. Ces aspects déterminants sont à valoriser dès le départ pour le « séduire » et obtenir son engagement. Une démarche d’Inbound Recruiting peut d’ailleurs booster la désirabilité de l’organisation.

Offrir aux collaborateurs des d’opportunités de formation et leur garantir un accompagnement dans leur progression est fondamental. Les programmes de formation continue sont aujourd’hui essentiels pour conserver les talents. Encouragez-les à participer à des compétitions de piratage éthique, proposez-leur de passer des certifications professionnelles et facilitez la réalisation de ces projets.

En l’absence de telles initiatives, ils risquent de penser que la seule manière de se perfectionner est un changement d’entreprise. Or, pour attirer et retenir les meilleurs experts en cybersécurité, le développement perpétuel des compétences est incontournable. Cet avantage concurrentiel de poids peut également être défendu en offrant aux futures recrues un mentorat, une approche vivement appréciée par les profils juniors. Une autre piste est d’accompagner les salariés de votre service informatique vers une reconversion en cybersécurité, dans la mesure où ils songent à donner un nouvel élan à leur carrière.

Dans la Tech, et encore plus en cybersécurité, travailler sa marque employeur et sa visibilité constitue donc une démarche efficace pour créer un sourcing performant. Pour autant, il ne dispense pas de processus d’embauche ou d’achats de PI rigoureux. Pour renforcer la sûreté informatique de votre organisation, trouver un prestataire externe ou engager un bon candidat implique plusieurs entretiens, voire des tests techniques. 

Ces précautions ne sont pas toujours comprises par les talents, pourtant cette vigilance extrême est légitime. Un mauvais choix de partenaire cybersécurité pourrait avoir des répercussions graves sur la pérennité de votre activité.

Stop au clonage des profils IT : oser la diversité dans le secteur de la cybersécurité

Cette vigilance est d’autant plus compréhensible que la cybersécurité s’ouvre à de nouveaux profils. La Tech a encore des efforts à fournir à l’égard de la diversité. Et la pénurie de talents oblige justement les décideurs à revoir leurs critères et méthodes de sélection.

Dénicher des experts de la sécurité informatique, au périmètre d’intervention très vaste : toutes les organisations en rêvent. Mais ce haut niveau d’exigence réduit considérablement votre réserve potentielle de collaborateurs. 

En basant votre recrutement (ou achats de PI) sur des caractéristiques tout aussi pertinentes, vous détecterez des compétences essentielles à la protection de vos données. Le profil idéal d’un consultant en cybersécurité dépend aussi de chaque organisation. Un partenaire réactif, performant en management, pédagogie et coopération peut vous convaincre et vous garantir un service de qualité malgré un profil atypique.

Il a été largement démontré que les minorités et les femmes sont, par exemple, sous-représentées dans l’IT. En s’engageant dans la lutte contre les préjugés, le secteur Cybersécurité pourrait voir son vivier de talents qualifiés croître plus rapidement. Et en adaptant leurs techniques d’évaluation, les entreprises optimiseraient leur capacité à déceler les profils intéressants, y compris ceux issus d’une reconversion professionnelle.

Dans cet esprit, l’entraînement itératif à travers une approche ludique de la sécurité informatique contribue à déconstruire les idées reçues. Les jeux de cybersécurité permettent justement d’attirer plus de professionnels et de les former de manière précoce. Ils ont le pouvoir de faire connaître ces métiers d’avenir, de susciter plus de vocations, et ce, dès le collège. En outre, ils participent à l’évolution des mentalités sur les moyens d’apprentissage.

Enfin, le sujet sensible des cybercriminels désireux de se reconvertir en hackers éthiques mérite réflexion. Leur maîtrise des procédés utilisés par les attaquants constitue une valeur inestimable pour faire obstacle aux menaces.

Une fois les doutes dissipés et les vérifications effectuées, intégrer un ancien hacker permet d’anticiper avec perspicacité, les failles et les vulnérabilités du SI, comme Facebook et Google… Ces entreprises ont toutes deux fait appel au savoir-faire d’un hacker talentueux : George Hotz. C‘est en déjouant les systèmes de protection de l’iPhone et de la PS3 que ce pirate informatique, connu sous le nom de « GeoHot », avait été repéré.

En incluant dans vos effectifs des cyberattaquants repentis, à l’instar de ces grands groupes, vous pourriez à votre tour bénéficier d’un niveau de compétences exceptionnel !