Pour Christian Toon, RSSI du cabinet d’avocats Pinsent Masons, il faut revoir les pratiques de recrutement pour attirer et conserver les talents en cybersécurité. (Photo Pixabay)
Le combat que doit mener en permanence la cybersécurité pour lutter contre la « pénurie de compétences » a fait perdre le cap au secteur en en matière de recrutement et de rétention des employés. C’est le point de vue de Christian Toon, RSSI du cabinet d’avocats londonien Pinsent Masons. Dans un secteur qui a besoin de diversité et d’innovation, le lauréat des UK CSO 30 Awards de cette année dit s’inspirer de l’univers des comics Marvel pour remettre en question les approches traditionnelles des RH pour recruter et retenir plus efficacement les compétences en sécurité. « Nous devons faire face à ce que certains décrivent comme une guerre des « talents », qui donne l’impression de se battre contre la prochaine organisation pour le bien commun. Je pense que nous nous sommes un peu égarés, à la fois du côté des représentants du personnel ou des employés potentiels, mais aussi de l’employeur », a expliqué Christian Toon, lors de la conférence UK CSO 30 2022, organisée le 6 décembre, pendant laquelle a eu lieu la remise des prix. « Les candidats sont là, mais il faut changer les pratiques traditionnelles d’embauche, car si l’on continue à faire ce que l’on a toujours fait, on obtiendra toujours ce que l’on a toujours eu », a-t-il ajouté .
Embaucher des Avengers, pas des clones
Christian Toon fait tout son possible pour ne pas embaucher et bâtir une équipe qui soit calquée sur son propre profil. « Cela ne permettrait pas d’aller vers ce que nous pouvons faire de mieux », souligne-t-il. Pour éviter ce travers, le RSSI de Pinsent Masons essaye de s’inspirer des Avengers de Marvel, cette équipe de super-héros fictifs issus d’horizons très différents et réunis pour combattre le mal et sauver le monde. Non, le RSSI n’espère pas que Spider Man entoilera le dernier cyberattaquant ou que Black Panther améliorera ses processus de gestion des correctifs. Mais il cherche à réunir la même diversité de compétences et de capacités dans son équipe de sécurité. « Si l’on regarde les Avengers, on voit que tout le monde est très différent. Ils ont tous une compétence ou une capacité très différente qu’ils apportent au combat. C’est comme cela que devrait être une équipe de sécurité ».
Pour trouver sa Captain Marvel, Linkedin ne suffit pas
« Cependant, il y a peu de chance de trouver une Captain Marvel sur LinkedIn, prête à cliquer sur « candidature simplifiée » pour répondre à une annonce, a continué Christian Toon. Il faut adopter une approche très différente, car le battage médiatique autour de la pénurie de compétences en cybersécurité pousse un grand nombre de cabinets de recrutement et de consultants à tenter de pousser leurs candidats. Sur le marché actuel, la confiance du recruteur peut être ainsi être mal placée. Il faut donc revoir ses modalités de recrutement et cibler autrement les profils sécrité. Il faut commencer par travailler avec des partenaires de confiance, tournés vers l’avenir, et juste après, rejoindre les communautés qui défendent les groupes sous-représentés. Les équipes de recrutement ne savent pas qu’il en existe des centaines, facilement accessibles via Google. Il faut aussi penser à regarder d’autres domaines que la cybersécurité, parce qu’il y a beaucoup de secteurs dans lesquels les gens cherchent à se reconvertir. Par exemple, si l’on veut recruter un candidat avec de bonnes compétences en communication dans le domaine de la technologie, on ne le trouvera pas forcément dans un environnement technologique, car tout le monde cherche dans le même vivier. En revanche, on peut trouver ce genre de profil dans d’autres secteurs comme l’hôtellerie ou la distribution. Il s’agit d’examiner les différentes options d’embauche. Récemment, nous avons constaté que lorsque ce sont les employés qui défendent l’entreprise, cela nous aide énormément, car les membres de l’équipe ont davantage de portée pour cibler la prochaine génération d’employés. »
Pas de « costume » pour les super-héros de la cybersécurité
Pour Christian Toon, il est également important de réfléchir à la culture de l’entreprise et à ce qu’elle offre aux employés dans la cybersécurité. Selon lui, cela ne correspond probablement plus à ce qu’attendent en particulier les nouvelles recrues. Le temps où l’on demandait à ces employés de porter un costume comme s’ils allaient au tribunal, alors qu’ils restaient assis devant leur ordinateur portable toute la journée, est révolu. Le lieu, le moment et la manière dont les gens veulent travailler jouent un rôle important dans le processus de décision. De nombreux secteurs ont abandonné le principe du 9h-17h. Les violations de données et les cyberattaques traversent les frontières et les fuseaux horaires, de sorte que peu importe l’organisation du moment qu’elle permet à l’employé de soutenir l’activité de l’entreprise.
Les codes vestimentaires, le temps de travail, la flexibilité des horaires, les concessions sur le style de vie, le bien-être et les soins de santé sont autant de facteurs décisifs pour choisir un employeur. Sans oublier la question du télétravail ou du travail hybride. « Certaines personnes veulent travailler à distance 100 % de leur temps, et dans le même temps, certains employeurs veulent une présence à 100 % au bureau, a rappelé Christian Toon. Bien sûr, chaque entreprise doit trouver son équilibre, mais elle doit reconnaître aussi que le monde a changé. Cinq jours par semaine pour réaliser un travail sur ordinateur que l’on peut faire à la maison ? Jamais! Les entreprises doivent justifier clairement la présence au bureau. Bien sûr, pour certaines entreprises ancrées dans une histoire ou qui ont toujours travaillé d’une certaine manière, ces changements seront difficiles. D’autant que, si l’on commence à appliquer des changements à certains, il faudra aussi les applipour les autres. Il y a donc un impact en chaîne à prendre en compte », a-t-il ajouté.
Michael Hill, IDG NS (adapté par Jean Elyan)