Le recrutement des meilleurs talents en sécurité est devenu plutôt complexe. 45% des entreprisesindiquent qu’elles peinent à pourvoir les postes ouverts dans cette discipline. La problématique devrait d’ailleurs s’accentuer : aujourd’hui, ce sont plus d’un million de postes de professionnels de la sécurité qui sont vacants et ce chiffre devrait bondir à 3,5 millions d’ici 2021 dans le monde.

 

Cette pénurie de compétences pèse lourdement sur les entreprises (70%) : elle induit davantage de travail pour les équipes existantes, implique de consacrer plus de temps à former des juniors par manque de profils expérimentées, et aboutit à une sécurité qui se contente, pour l’essentiel, d’être réactive. En effet, 22% des entreprise estiment que leur équipe de sécurité n’est pas suffisamment étoffée et 18% indiquent qu’elles ne sont pas capables d’assurer la charge de travail qui pèse sur elles.

La complexité est donc au rendez-vous alors que les attributions des équipes de cybersécurité évoluent rapidement. Le rôle de chaque professionnel de la cybersécurité n’est pas toujours clair pour nombre d’entreprises. Ces dernières ne savent pas forcément ce qu’elles peuvent attendre d’eux et comment bâtir une équipe de cybersécurité efficace. Nous pourrions débattre longuement sur les orientations et la gestion de la fonction dédiée à la cybersécurité mais, à la base, une équipe de cybersécurité est définie par ceux que l’entreprise recrute pour assurer cette fonction.

Les guides de recrutement du RSSI : identifier, embaucher et intégrer les nouveaux talents

Les RSSI et autres managers en charge du recrutement en cybersécurité doivent identifier, attirer, évaluer et recruter les meilleurs talents. Par ailleurs, les RSSI sont en première ligne face à des menaces qui évoluent constamment et se sophistiquent dans l’utilisation de vecteurs d’attaque. Ils doivent également s’adapter à des dirigeants métiers qui exigent que les stratégies de sécurité ne soient plus un frein, mais plutôt un levier de développement. Enfin, ils doivent répondre à des directions générales qui veulent un reporting et des indicateurs de risques en temps réel.

L’objectif ici est d’offrir aux professionnels de la sécurité un ensemble de bonnes pratiques et de recommandations qui accéléreront l’identification et l’évaluation des candidats et rendront les tâches de recrutement plus efficaces. Bien qu’exhaustives dans leur approche, elles couvrent les rôles et responsabilités des RSSI et managers en charge du recrutement, mais aussi des recruteurs RH et autres collaborateurs impliqués dans ce processus. Voici les six bonnes pratiques à adopter :

  1. Définir et rédiger des descriptions de poste efficaces. Voici qui est plus facile à dire qu’à faire, surtout lorsqu’on sait que le candidat classique passe moins de 60 secondes à lire la description de poste avant de se décider à y répondre ou pas. Une description de poste pertinente spécifie bien sûr le rôle de celui qui sera recruté. Mais, au-delà, il s’agit surtout de “vendre” cette opportunité aux candidats potentiels qualifiés pour les motiver à postuler. En coulisses, une description de poste aide le manager qui recrute, ses pairs et collaborateurs, ainsi que les autres parties prenantes, à se mettre d’accord sur le périmètre du rôle et des responsabilités du candidat retenu.
  2. Planifier une campagne d’annonce pour un poste. Les candidats explorent en moyenne 17,7 canaux différents lorsqu’ils recherchent un emploi. Et ceci, sans prendre en compte les candidats passifs. Il est essentiel que votre annonce apparaisse sur le maximum de canaux possibles, mais il est tout aussi essentiel de cibler où votre annonce apparaîtra. Car, au final, “l’endroit où vous pêchez détermine les types de poisson pêché”.
  3. Entretien avec les candidats et shortlist. Même si la demande surperforme l’offre, une annonce d’emploi attrayante et une stratégie efficace d’annonce du poste à pourvoir sauront attirer 40, 50, si ce n’est des centaines de postulants. Bien sûr, l’étude des CV, lettres de motivation et autres éléments de candidature est chronophage. De plus les recruteurs courent le risque de ne pas retenir les meilleurs candidats dans leur shortlist.
  4. L’entretien, un processus de communication bilatéral. L’entretien donne la possibilité aux entreprises d’en savoir davantage sur les compétences, le profil, les ambitions, le style de travail des candidats, ainsi que la façon dont ils se présentent. L’entretien est aussi l’occasion pour un candidat d’évaluer son employeur potentiel. Et pourtant, la majorité des entreprises pêchent dans leur capacité à offrir des expériences positives lors des entretiens.
  1. Sélection et validation du candidat retenu. Un recrutement est une course de fond où tout peut se jouer dans les derniers mètres : la sélection d’un candidat parmi d’autres…mais aussi la nécessité de devoir recommencer l’épreuve depuis le début. Il devient essentiel de disposer des bons processus pour éviter de sélectionner un mauvais candidat. Et, bien sûr, pour éviter d’avoir à tout recommencer parce que vos meilleurs candidats sont mécontents de leur expérience.
  1. L’accueil, l’engagement et la fidélisation des professionnels de la sécurité. Ce qui se passe dans les premières semaines de la prise de poste d’un collaborateur influence s’il ou elle démarre sur les chapeaux de roues ou si son expérience est faite de haut et de bas dans un contexte flou et frustrant.

Recruter, mais sans y consacrer trop de temps

Les RSSI qui tirent parti des recommandations et bonnes pratiques citées ci-dessus progresseront dans la recherche, l’évaluation et la sélection des candidats, et bien sûr, en matière d’entretien, d’évaluation et de recrutement des candidats les plus pertinents.

En consacrant moins de temps au recrutement, et à la formation des équipes de sécurité, les RSSI peuvent s’impliquer davantage dans la conception et la mise en œuvre de programmes de sécurité proactifs et adaptés à l’univers actuel des menaces.

______________
Christophe Auberger est Directeur Technique France de Fortinet.