Les talents en cybersécurité : ne pas s’épuiser dans le recrutement, favoriser la mobilité interne !
![Image Cybermalveillance.gouv.fr étend [« SensCyber »], son dispositif de e-sensibilisation](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
![Image [IA, 6G, identité numérique :] États-Unis et UE poursuivent leur coopération](https://incyber.org//wp-content/uploads/2024/01/incyber-news-cybersecurite-cybersecurity-partenerariat-partnership-885x690.jpg)
![Image [PhilosoFIC :] les algorithmes génératifs, fossoyeurs ou accélérateurs de l’intelligence humaine ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-885x690.jpg)
La situation est claire, les talents manquent en cybersécurité. Les chiffres et les études se succèdent, on parle de dizaines de milliers de postes non pourvus. Et cela dans tous les pays du monde. Face à ce constat, nous avons voulu concrétiser cette situation et identifier les actions réalisées actuellement dans les organisations qui s’attaquent concrètement à ce problème.
Via des entretiens réalisés dans une quinzaine d’entreprises, nous avons collecté des informations sur leur maturité concernant la gestion des talents en cybersécurité, en utilisant des méthodologies issues de la Harvard Business Review. Les pratiques de gestion des talents sont classées et évaluées sur deux axes, l’individu/le collectif, court terme/long terme.
Les résultats complets seront bientôt diffusés mais les premières analyses sont parlantes et cohérentes par rapport à ce que nous observons sur le terrain. La maturité générale est faible, autour de 40%. Les entreprises adoptent une approche individuelle et court-termiste pour attirer les talents tournée vers les salaires, qui génère l’inflation actuelle.
Mais le point faible le plus marquant réside dans la gestion de l’individu à long terme. Quel parcours de carrière ? Quelles formations associées ? Quelle projection pour quel métier ? À quelles aspirations répondre ? L’approche collective est, elle aussi, en souffrance : la création de sens dans les équipes ou encore la gestion du knowledge management sont souvent en berne.
Cela entraîne deux problèmes principaux : le départ des équipes et aussi, mais peut-être surtout, un manque d’attractivité pour la filière cyber. En interne, l’équipe cyber est en effet souvent vue comme une entité isolée/déconnectée des métiers, qui travaille beaucoup (voire trop), qui est stressée, et surtout qui enferme pour le futur. Imaginez si on arrivait à montrer la richesse de la filière cyber et ses perspectives pour profiter d’un vivier incroyable de compétences : je parle évidemment des collaborateurs et collaboratrices de sa propre structure.
Il est donc évident qu’aujourd’hui, la gestion des talents cyber ne se résume pas aux difficultés de recrutement. Les RSSI devraient penser à valoriser, cultiver leurs équipes et leurs filières en interne et travailler à expliquer la variété des métiers et des compétences dont nous avons besoin.
L’enjeu étant de générer des envies de mobilité. Cette technique fonctionne même si elle demande des efforts. J’ai l’exemple d’une entreprise qui a réussi à attirer dix personnes en interne dans son équipe cyber. Évidemment, ces derniers n’étaient pas des experts en cybersécurité. Donc oui, il faudra les former. Ces collaborateurs sont cependant arrivés avec un bagage très utile dans la compréhension de l’entreprise, son fonctionnement, et avec tout un réseau que chacun d’entre eux avait déjà créé. C’est évidemment un excellent facilitateur pour faire avancer les projets en cybersécurité.
Attirons des talents qui ont des compétences qui nous manquent et qui sauront apprendre certaines qui leur manquent. L’expert mouton à cinq pattes que tout le monde cherche existe… En combinant les talents !