Cybersécurité et recrutement : « La cybermenace est constante et les besoins resteront importants », selon Yann de Kersauson

Directeur associé du cabinet de recrutement Arthur Hunt Executive Search, Yann de Kersauson officie dans le recrutement de profils expérimentés de directeurs de la sécurité et de la sûreté corporate pour le compte de grandes entreprises, notamment dans des secteurs stratégiques et exposés. La cybersécurité s’est vite imposée dans son agenda et celui de ses clients. InCyber News l’a rencontré pour expliquer pourquoi, et comment, les organisations doivent intégrer et développer cette expertise pointue et très convoitée au sein de leurs équipes.

La cybersécurité est-elle un phénomène récent pour les entreprises, les collectivités et les institutions ?

Yann de Kersauson : On peut avoir en effet l’impression que c’est un sujet relativement nouveau parce que les médias l’évoquent de plus en plus fréquemment lorsque des organisations connues sont attaquées, comme ce fut le cas récemment avec les opérateurs de tiers payant santé Viamedis et Almerys ou encore France Travail. Pour autant, ce risque est avéré depuis déjà une bonne dizaine d’années. Simplement, le niveau de la menace ne cesse de s’élever au fur et à mesure que la connectivité se développe partout dans notre quotidien.

Plus les objets et les personnes sont connectés, plus les failles potentielles se multiplient. C’est systémique. Ensuite, il faut ajouter la progression fulgurante de l’intelligence artificielle et du quantique qui décuple les possibilités, l’augmentation des données qui fait de leurs détenteurs des cibles attrayantes. Le vol de données est un marché lucratif pour ceux qui s’y livrent en les revendant sur le darknet ou alors en exerçant du chantage et en exigeant des rançons pour les restituer.  

En parallèle, les infrastructures informatiques des organisations atteignent des niveaux de complexité immenses qui font que les brèches ne manquent pas. Ceci d’autant plus que les serveurs et les réseaux sont souvent externalisés dans le cloud computing et non plus seulement dans des structures internes. Enfin, la pandémie de covid-19 a engendré de nouvelles vulnérabilités avec l’adoption massive du télétravail. Et si l’on veut être très complet, il faut ajouter d’autres leviers qui font que la cybersécurité est cruciale.

Les conflits géopolitiques génèrent aussi des cyberattaques visant des entreprises ou des services publics et gouvernementaux. Les pirates informatiques frappent par militantisme et pour des raisons politiques. Quels que soient le mode opératoire et la raison qui motive une cyberattaque, le sujet de la cybersécurité n’est pas près de s’arrêter. D’après le cabinet de conseil Asterès, se fondant sur l’analyse de 385 000 cyberattaques en France en 2022, le coût moyen se situe à 59 000 euros pour les entreprises et les organisations.

Quels sont les acteurs qui ont pris la mesure du problème en recrutant des équipes dédiées et ceux qui peinent encore à étoffer la fonction face aux cybermenaces ?

Yann de Kersauson : La cybersécurité est devenue un secteur d’activité à part entière. On estime que 44 000 personnes travaillent actuellement dans ce domaine en France. Pour autant, la prise de conscience peut varier selon le domaine considéré. Je classe le marché en deux grandes catégories.

D’un côté, vous avez les organisations qui ont pris la mesure du problème depuis longtemps. On y trouve généralement les grandes entreprises. Parce qu’elles constituent des cibles de choix pour les pirates informatiques, elles mobilisent des moyens financiers, humains et technologiques considérables pour se protéger en permanence. Ensuite, il y a les acteurs de la technologie et de la santé qui détiennent quantité de données ultra-sensibles. Enfin, il y a les organismes publics et gouvernementaux pour lesquels le cyber-risque relève de la sécurité nationale.

De l’autre côté, ce sont essentiellement des PME qui peinent à investir et à dégager des moyens du fait de leurs ressources humaines et financières plus limitées. Vous avez aussi des secteurs entiers comme l’agriculture où le risque technologique n’est pas encore totalement considéré comme une priorité absolue. La cybersécurité est sous-investie.

Une récente étude menée par ESG (Enterprise Strategy Group) et l’ISSA (Information Systems Security Association) constate que le marché peine à recruter. En 2023, 71% des professionnels de la sécurité déclarent que leur entreprise est affectée par cette pénurie de talents, contre 57% en 2021. Constatez-vous une pareille tendance sur le marché du recrutement sur ce sujet ?

Yann de Kersauson : 25% de postes sont non pourvus dans le secteur de la cybersécurité en France en 2023 (soit environ 15 000 postes). Le marché du recrutement est très clairement en tension pour plusieurs raisons. Il y a d’abord la pénurie de talents. La cybersécurité est un domaine particulièrement technique qui requiert des compétences spéciales pointues comme la cryptologie que peu de gens maîtrisent et qui sont longues à acquérir.

La formation des experts est également un enjeu. Elle est chronophage et nécessite en permanence des mises à jour à mesure que les technologies évoluent. Or, il n’est pas évident de concilier ce point avec l’urgence des impératifs de sécurité actuels. C’est une course constante qui explique que la pénurie existe. Il ne faut pas perdre de vue également le côté « mercenaire » de certains experts qui rejoignent d’abord l’organisation la mieux disante. Dès lors, les moins fortunés peinent à recruter.

Quels sont les principaux enjeux en matière de cybersécurité que doivent relever les différentes organisations en termes de recrutement ?

Yann de Kersauson : Il existe plusieurs domaines où la cybersécurité recrute. En premier lieu, il y a la prévention en amont qui consiste à identifier les vulnérabilités d’une infrastructure informatique, à mettre en place les dispositifs de sécurité, de chiffrement et de surveillance adéquats et à sensibiliser les collaborateurs aux risques d’intrusion frauduleuse. Ensuite, il y a la protection active quand des actes malveillants sont détectés. Il faut mettre en œuvre la riposte pour interrompre l’attaque, analyser la tactique adverse, restaurer les systèmes corrompus et déclencher les plans de continuité de l’activité.

La formation est enfin un volet fondamental. Les profils doivent constamment être au fait des évolutions technologiques tout en étant capable de monter en expertise à travers l’obtention de certifications très exigeantes. Bien connaître les règles de conformité est aussi un point essentiel. De même que les tendances cyber observées par l’Anssi, qui publie régulièrement un bulletin d’alerte.

Au-delà de la technicité exigée pour ces rôles, vous ajoutez que l’art du leadership est également indispensable pour assurer pleinement la fonction. Pourquoi ?

Yann de Kersauson : L’expertise technologie est de toute évidence capitale mais elle doit s’accompagner pour les directeurs cybersécurité d’un sens aigu de la communication et du leadership. Il convient pour ces derniers de bien comprendre les activités de l’entreprise pour définir, mettre en place et gérer les dispositifs de cybersécurité les mieux adaptés et savoir expliquer à un comité exécutif pourquoi telle stratégie est engagée.

Ensuite, en cas de crise déclarée, il est fondamental de savoir gérer et coordonner les équipes, d’arbitrer les priorités, de décrypter les faits de façon intelligible (et comment y remédier) pour les autres dirigeants de l’entreprise, notamment les communicants et les juristes qui sont dans la cellule de crise.

La cybersécurité est de toute évidence un secteur d’avenir. Quels conseils donneriez-vous à celles et ceux qui souhaitent s’y reconvertir ou y évoluer ? Y a-t-il des filières spécifiques ?

Yann de Kersauson : Les grandes écoles d’ingénieurs demeurent la voie la plus pertinente pour y accéder et construire sa carrière. Il convient d’acquérir de solides bases en informatique puis de se spécialiser, en obtenant si possible des certifications qui attestent de votre niveau élevé de compétences.

Ensuite, j’encourage les expériences dans le service public qui permet aux personnes d’avoir des missions très variées, notamment en matière de défense des intérêts nationaux et de la souveraineté du pays. C’est extrêmement formateur et cela constitue un très beau passeport professionnel pour aller éventuellement ensuite dans des structures privées. Les rémunérations y sont de surcroît très correctes.

L’État a récemment relevé la grille des salaires. La fourchette va de 55 000 euros par an pour un expert de moins de cinq ans d’expérience et jusqu’à 156 000 euros pour quelqu’un ayant de plus de vingt ans d’expérience. La cybermenace est constante et ne risque pas de se tarir. Les besoins de recrutement resteront importants.