Le combat que doit mener en permanence la cybersécurité pour lutter contre la « pénurie de compétences » a fait perdre le cap au secteur pour ce qui concerne le recrutement et la rétention des talents. Tel est l'avis de Christian Toon, RSSI du cabinet d'avocats londonien Pinsent Masons. Dans un secteur qui a besoin de diversité et d'innovation, le lauréat des UK CSO 30 Awards de cette année dit s'inspirer de l'univers des comics Marvel pour remettre en question les approches traditionnelles des RH et recruter et conserver plus efficacement les compétences en sécurité. « Nous devons faire face à ce que certains décrivent comme une guerre des talents, car on a l'impression de se battre contre la prochaine organisation pour le bien commun. Je pense que nous nous sommes un peu égarés, à la fois du point de vue des représentants du personnel ou des employés potentiels, mais aussi du point de vue de l'employeur », a expliqué Christian Toon, qui s'exprimait lors de la conférence UK CSO 30 2022, organisée le 6 décembre, pendant laquelle a eu lieu la remise des prix. « Les candidats sont là, mais il faut changer les pratiques traditionnelles d'embauche, car si l'on continue à faire ce que l'on a toujours fait, on obtiendra toujours ce que l'on a toujours eu », a-t-il ajouté.
Embaucher des Avengers, pas des clones
Christian Toon fait tout son possible pour ne pas embaucher et bâtir une équipe qui soit calquée sur lui-même. « Cela ne permettrait pas d'aller vers ce que nous pouvons faire de mieux », souligne-t-il. Pour éviter ça, le RSSI de Pinsent Masons essaye de s'inspirer des Avengers de Marvel, cette équipe de super-héros fictifs issus d'horizons très différents et réunis pour combattre le mal et sauver le monde. Non, le RSSI n'espère pas que Spider Man entoilera le dernier cyberattaquant ou que Black Panther améliorera ses processus de gestion des correctifs. Mais il cherche à intégrer la même diversité de compétences et de capacités dans sa propre équipe de sécurité. « Si l'on regarde les Avengers, on voit que tout le monde est très différent. Ils ont tous une compétence ou une capacité très différente qu'ils apportent au combat. C'est comme cela que devrait être une équipe de sécurité ».
Pas de Captain Marvel sur LinkedIn
« Cependant, il y a peu de chance de trouver une Captain Marvel sur LinkedIn, prête à cliquer sur candidature simplifiée pour répondre à une annonce », a poursuivi Christian Toon. « Il faut adopter une approche très différente, car le battage médiatique autour de la pénurie de compétences en cybersécurité fait qu'un tas de cabinets de recrutement et de consultants essayent de placer ces profils, ce qui signifie que, sur le marché actuel, la confiance du recruteur peut être mal placée », a-t-il fait valoir. « Il faut donc revoir ses modalités de recrutement et cibler ces profils autrement », a ajouté Christian Toon. « La première chose à faire est de travailler avec des partenaires de confiance, tournés vers l'avenir, et juste après, de rejoindre les communautés qui défendent les groupes sous-représentés. Les équipes de recrutement ne savent pas qu'il y en a des centaines, facilement accessibles via Google. Il faut aussi penser à regarder d'autres domaines que la cybersécurité, parce qu'il y a beaucoup de secteurs dans lesquels les gens cherchent à se reconvertir », a-t-il ajouté. « Par exemple, si l'on veut recruter une personne ayant de bonnes compétences en communication dans le domaine de la technologie, on ne trouvera pas forcément le bon candidat dans un environnement technologique, puisque tout le monde cherche dans le même vivier. En revanche, on peut trouver ce genre de profil dans d'autres secteurs comme l'hôtellerie ou la distribution », fait encore valoir le RSSI. « Il s'agit d'examiner les différentes options d'embauche. Récemment, nous avons constaté que lorsque ce sont les employés qui défendent l'entreprise, cela nous aide énormément, car les membres de l'équipe ont davantage de portée pour cibler la prochaine génération d'employés. »
PublicitéLes super-héros ne portent pas tous des costumes
« Il est également important de réfléchir à la culture de l'entreprise et à ce qu'elle offre aux nouveaux talents de la sécurité et à ceux qui sont déjà en place », a aussi insisté Christian Toon. « À certains égards, ce que les employeurs offrent ou ont offert ne correspond probablement plus à ce qu'attendent les nouvelles recrues de la sécurité ». Le temps où l'on demandait aux employés chargés de la sécurité de porter un costume, comme s'ils allaient au tribunal, alors qu'ils restaient assis devant leur ordinateur portable toute la journée, est révolu. Le lieu, le moment et la manière dont les gens veulent travailler jouent un rôle important dans le processus de décision. De nombreux secteurs ont abandonné le principe du 9h-17h. Les violations de données et les cyberattaques traversent les frontières et les fuseaux horaires, de sorte que peu importe l'organisation du moment qu'elle permet à l'employé de soutenir l'activité de l'entreprise. Les codes vestimentaires, le temps de travail, la flexibilité des horaires, les concessions sur le style de vie, le bien-être et les soins de santé sont autant de facteurs décisifs pour choisir un employeur. Il y a aussi tout ce qui concerne l'offre de travail « à distance/hybride ». « Certaines personnes veulent travailler à distance 100 % de leur temps, et certains employeurs veulent une présence à 100 % au bureau », a expliqué Christian Toon. « Certes, chaque entreprise doit trouver son équilibre, mais elle doit reconnaître aussi que le monde a changé. Cinq jours par semaine pour effectuer un travail sur ordinateur que l'on peut faire à la maison ? Aucune chance. Les entreprises doivent justifier clairement la présence au bureau », a-t-il insisté. « Il se peut que, pour une entreprise pétrie par l'histoire ou qui a toujours fait les choses d'une certaine manière, ces changements soient difficiles », a admis le RSSI. « D'autant que, si l'on commence à faire des changements pour l'un, il faut en faire pour les autres. Il y a donc un impact en chaîne à prendre en compte », a-t-il ajouté.