« Pénurie de talents », « déficit de compétences », « épuisement des employés en cybersécurité », « taux de turnover élevé » : en tant que professionnel de la cybersécurité, ces expressions vous sont certainement familières, pour le meilleur ou pour le pire.
Vous avez peut-être vu les grands titres soulignant les problèmes de pénurie de talents dans les dernières nouvelles – il ne s’agit malheureusement pas d’une « fake news ». La guerre des talents existe réellement sur le marché de la cybersécurité. Au cours des derniers mois, nous avons lu de nombreux articles, documents académiques, rapports sur ce sujet émergent ; nous avons discuté avec des RSSI et des Talent Managers (un vrai travail à plein temps !) et les 3 principaux défis restent les mêmes : comment recruter, manager et cultiver nos talents ?
Dans cet article, nous avons rassemblé les différentes situations, nos observations et les premières leçons que nous pouvons tirer des actions mises en place pour relever ces défis.
Prenez le temps d’analyser les forces et les faiblesses de votre équipe afin d’identifier les compétences complémentaires que vous devez rechercher…
Au-delà de combler les rôles, il est essentiel d’avoir une vision stratégique des compétences pour mettre en place une division cyber pérenne. À ce stade, votre mantra doit être le suivant : « Recruter les bonnes personnes pour aujourd’hui… et pour demain ».
Lorsque les compétences des personnes correspondent à leur rôle, les tâches sont exécutées efficacement et chacun contribue à une organisation plus cyber sécurisée. Je doute que quelqu’un me contredise sur ce point, mais c’est souvent plus facile à dire qu’à faire.
Voici les premières questions que vous pouvez vous poser pour avancer dans la bonne direction…
Savez-vous ce dont vous avez besoin ? Avez-vous défini toutes les activités cyber que vous devez couvrir ? Avez-vous défini votre stratégie « faire ou acheter » (internalisation ou externalisation) ? Avez-vous identifié les compétences et les personnes nécessaires pour mener à bien ces activités ?
Il s’agit d’une liste non exhaustive de questions que vous devriez vous poser en tant qu’organisation pour mieux cerner vos besoins et connaître vos collaborateurs avant de lancer une feuille de route d’actions.
Il est important de connaître ses besoins et son équipe pour plusieurs raisons : (1) aider à la répartition des tâches : auparavant, les équipes cyber étaient plus petites, et la polyvalence était donc cruciale. Aujourd’hui, les équipes sont plus grandes rendant possible la spécialisation et facilitent l’optimisation des compétences complémentaires (2) aider à identifier les formations et les axes de développement : avoir une vision claire de votre équipe et de ses activités vous aide à identifier les lacunes en matière de compétences et à fournir les opportunités de formation et de développement appropriées aux personnes qui en ont le plus besoin. Avec les compétences manquantes identifiées d’une part, et les besoins identifiés d’autre part, vous pouvez commencer à rechercher vos candidats idéaux grâce à une offre d’emploi qui en dit long (mais ne cherchez pas d’écureuils violets, ils n’existent pas) !
Gardez un œil sur les prochains « insights et focus » sur le sujet des descriptions des emplois cyber ! 😉
Cultiver l’équipe aujourd’hui, attirer demain : La recette pour des équipes cyber durables
Il s’agit d’expliquer concrètement ce qu’est la cybersécurité et quelles sont ses activités. #transparence
D’après les discussions avec les RSSI et les talent Managers, la transparence sur la description du poste fonctionne et donne aux gens un sentiment d’appartenance et d’utilité, ce qui favorise un meilleur travail d’équipe.
Permettez-nous de vous présenter quelques actions concrètes et faciles à mettre en œuvre pour faire avancer les choses :
- Promouvoir en interne les métiers de la cybersécurité et les personnes qui les exercent : en expliquant concrètement ce que ça signifie de travailler dans la cybersécurité, quels sont les postes disponibles et ce que font réellement les personnes concernées, vous pouvez inciter les gens à rejoindre votre équipe, accroître la mobilité interne, renforcer le sentiment d’appartenance à la division cyber et donner une perspective à votre équipe.
- Promouvoir vos activités de cybersécurité à l’extérieur : faites-vous connaître en participant à des communautés cyber et à des conférences importantes (événements scolaires, collaborations avec des universités, des instituts de recherche ou des organisations, etc.)
- Organiser/participer à des ateliers de upskilling/reskilling (compétences transférables).
- Incluez des personnes inspirantes dans votre processus de recrutement et votre image de marque (comme le CISO, le chef d’équipe, etc.).
La cybersécurité reste un sujet obscur pour les personnes extérieures à l’écosystème. Pour y remédier, chacun/chacune doit commencer par expliquer ce qu’il/elle fait.
Maîtriser l’art de prendre soin de son équipe
Vous devez maintenant savoir que c’est un réel atout de savoir qui est votre équipe, qui sont vos collaborateurs, de qui vous avez réellement besoin pour mener les activités, pour avoir une bonne image de marque afin d’attirer les gens. Mais ce qui fera la différence sur le long-terme, c’est de prendre soin de vos collaborateurs en leur offrant un environnement de travail bienveillant et des perspectives d’évolution. Quand ce qui va suivre est clair, il est plus facile pour les collaborateurs de se projeter dans l’entreprise dans les années à venir.
Et avant de s’occuper de leur équipe, les RSSI doivent également prendre soin d’eux-mêmes. 40 % des RSSI déclarent subir un « stress élevé » au quotidien et 28 % d’entre eux sont proches du burn-out (Cyber Workforce Study, ISC²). Il est difficile de s’occuper des autres si l’on ne s’occupe pas d’abord de soi…
Pour éviter cela, les RSSI doivent établir une relation de confiance avec leur direction générale afin de pouvoir définir les objectifs stratégiques, prioriser les activités, obtenir les ressources, etc. Et il est essentiel de savoir s’entourer de personnes de confiance pour déléguer les tâches et créer une stratégie opérationnelle efficace.
Le recrutement n’est que le début du voyage ; le développement est l’objectif ultime. Néanmoins, les organisations ont tendance à oublier (négliger) ce dernier point, qui est peut-être le plus important. C’est comme obtenir une certification ISO 27001, assez facile (bien sûr, cela demande du travail !), mais la maintenir, c’est la vraie affaire.
Pour donner des perspectives aux membres de l’équipe, il faut établir des parcours de carrière avec leurs « passerelles » et les moyens disponibles pour évoluer dans ces parcours : compétences requises par poste et étapes clés, catalogue de formation, mobilités internes, processus d’évaluation personnalisé, etc.
Cultiver vos talents, c’est les aider à se développer et renforcer leurs compétences/capacités par des formations, du travail en équipe ou avec des communautés cyber, leur donner des perspectives d’évolution/croissance au sein de votre entreprise. En tant qu’être humain, nous avons besoin de savoir où nous en sommes et où nous allons, nous avons besoin d’une vision qui soit un élan motivateur (dans notre vie #existentialcrises).
Si nous prenons l’exemple de la pyramide des besoins de Maslow, les gens ont besoin d’avoir un sentiment d’appartenance et de se sentir utiles. Cultiver les talents, c’est donc aussi créer un « esprit d’équipe » par le biais de rituels. Ce n’est un secret pour personne qu’un environnement/une atmosphère de travail convivial(e) est un critère crucial dans le choix d’un emploi et peut augmenter la productivité des gens de 12 % (Université de Warwick, Royaume-Uni), en particulier pour les jeunes d’aujourd’hui.
Donner une perspective de croissance/évolution est essentiel, surtout pour les experts. De nombreuses organisations considèrent encore le management comme la seule voie de réussite, mais dans certains secteurs comme l’industrie, nous pouvons observer un changement. L’expertise est de plus en plus appréciée et valorisée comme une voie de réussite alternative au management ; certains peuvent combiner les deux, mais ce n’est pas une nécessité. C’est pourquoi les cercles d’expertise sont essentiels pour reconnaître les experts à l’intérieur et à l’extérieur de leur organisation – en leur donnant la possibilité d’assister à des événements cyber spécifiques qui peuvent également leur permettre de développer leur réseau et d’acquérir davantage de compétences.
En résumé, attirer et cultiver les talents prend du temps, et le recrutement des talents devient un élément central dans les stratégies d’entreprise. En embrassant la diversité et en promouvant l’égalité des sexes, nous nous aventurons dans de nouvelles dimensions pour construire des équipes solides, avisées et résilientes.
Nous aimerions ouvrir le secteur de la cybersécurité à ceux/celles qui ne le connaissent pas, à favoriser la diversité et à créer des vocations. Tendons la main aux gens et n’attendons pas qu’ils/elles viennent à nous.
Nous avons créé un outil de benchmark pour explorer ce sujet aux multiples facettes (avec des recherches encore en cours) et évaluer la maturité des organisations. N’hésitez pas à nous contacter si vous souhaitez y participer ! Nous serions ravis de partager avec vous les bonnes idées que nous avons recueillies sur le marché… et les pièges à éviter.
Les licornes (ne vous méprenez pas, je ne parle pas des start-ups), les écureuils violets, les Ninja, les Rockstars, n’existent pas mais si nous combinons des profils divers, nous pouvons obtenir cette équipe hautement qualifiée ! 😎
