Le recrutement en cybersécurité devient de plus en plus difficile, avec 4 millions de postes actuellement vacants, soit une augmentation de 13 % par rapport à 2022 (ISC2 2023). Comme l’ont confirmé des études au cours des trois dernières années, ce défi ne fait que s’aggraver, laissant les CISO en difficulté pour recruter, manager et retenir des professionnels qualifiés. Diversifier le vivier de talents est également une priorité, les femmes ne représentant que 25 % du personnel cyber.

Chez Wavestone, nous suivons activement ce sujet et avons développé un benchmark pour évaluer le niveau de maturité des entreprises sur ce sujet. Avec des données provenant de plus de 20 organisations, nous sommes prêts à partager nos idées et observations.

Dans cet article, nous allons plonger dans les résultats et nous concentrer sur des sujets clés tels que le « career path », le recrutement, les formations et les plans de rétention. Et pour ceux qui resteront jusqu’à la fin, une petite surprise vous attend.

Si vous êtes un CISO à la recherche de solutions pratiques ou simplement intéressé par la gestion des talents en cybersécurité, cet article est pour vous. Relevons ensemble ce défi !

Un Score Global de Maturité de 45% en Gestion des Talents en Cybersécurité

Le niveau actuel de maturité en gestion des talents en cybersécurité est de 45 %, ce qui indique une marge d’amélioration significative dans ce domaine émergent. L’écart entre les scores les plus bas et les plus élevés varie de 27 % à 62 %.

Sur une note positive, il existe des performances solides dans chaque domaine, ce qui suggère que les entreprises peuvent tirer parti du partage des meilleures pratiques. L’objectif ultime est de constituer des équipes de cybersécurité compétentes et résilientes.

Le secteur de l’énergie a le niveau de maturité le plus élevé, tandis que le secteur public et les institutions ont le niveau le plus bas. Le graphique ci-dessus compare les niveaux de maturité de divers secteurs sur une échelle de 0 à 100 %. Les secteurs incluent l’énergie (58,2), le luxe et la vente au détail (52,4), les services (50), les finances (45,9), l’industrie (47,2) et le secteur public et les institutions (36,1).

Développer un Career Path pour Offrir des Perspectives de Croissance aux Talents

Le domaine de la cybersécurité fait face à une pénurie évidente de talents. En 2023, 4 millions de postes en cybersécurité étaient vacants, et ce chiffre continue d’augmenter. Les organisations ont un véritable défi à relever pour retenir leurs talents en cybersécurité et en attirer de nouveaux. Pourtant, un « career path » bien défini pourrait les y aider. Du point de vue des ressources humaines, il permet aux individus de prendre en charge leur propre développement, sert de cadre pour l’auto-évaluation des compétences et des axes de développement, et soutient l’épanouissement personnel. Cependant, la mise en place d’un « career path » efficace nécessite une planification minutieuse et peut prendre plus d’un an à être implémenté.

Lors de nos entretiens avec des CISO et des Talent Managers en cybersécurité, nous avons observé que bien que 66 % des organisations aient lancé des initiatives pour construire leur premier « career path » en cybersécurité, ces efforts ne sont pas encore pleinement matérialisés.

Exemple concret basé sur une mission client…

• Dans un projet client, après plusieurs phases de revues et d’ateliers sur les référentiels métiers et compétences en cybersécurité, nous avons identifié 11 nouvelles compétences en cybersécurité et 6 nouveaux métiers en cybersécurité, et les avons intégrés dans les référentiels. Cela a ensuite conduit à la création d’un premier « career path » dédié à la division cybersécurité.

Un « career path » bien défini est la pierre angulaire de la gestion des talents et représente un avantage stratégique pour les organisations en matière de rétention et d’attraction des talents, incitant de nombreuses entreprises à passer à l’action.

Conseils pour Diversifier Votre Pool de Recrutement

Le pool de talents en cybersécurité est à la fois limité et peu diversifié, ce qui rend le recrutement un défi crucial pour les organisations. Bien que les femmes représentent 50 % de la population mondiale, elles ne constituent que 25 % des professionnels de la cybersécurité (ISC2 2023). Cela souligne le besoin urgent de stratégies de recrutement plus inclusives.

De nos jours, les descriptions de poste traditionnelles exigent souvent trop, dissuadant ainsi les candidates potentielles. Seules 27 % des organisations les ont adaptées. Les études montrent que les hommes postulent s’ils remplissent 60 % des critères, tandis que les femmes attendent souvent de répondre à 100 % des exigences. Réécrire les descriptions pour les rendre plus inclusives, avec l’apport de relectrices, peut élargir leur attrait.

De plus, peu d’entreprises se concentrent sur l’image de marque interne (5 %) ou externe (22 %), alors que ces stratégies fonctionnent. Une image de marque transparente et une communication claire peuvent contribuer à démystifier les rôles en cybersécurité, attirer un pool de talents plus diversifié et renforcer la mobilité interne, faisant d’elles des outils de recrutement précieux.

Offrir des formations pour réduire les écarts de compétences au sein de votre organisation

Les écarts de compétences en cybersécurité sont un problème majeur, 92 % des professionnels signalant des lacunes et 75 % trouvant le paysage cyber actuel plus menaçant que jamais (ISC2, 2023).

Notre benchmark montre que seulement 33 % des entreprises disposent d’un catalogue de formations cartographié selon les compétences, et 94 % abordent la formation de manière réactive, en fonction de la demande. Cette approche réactive peut entraîner des loupés pour un développement proactif des compétences. Une formation efficace est essentielle pour doter les employés des compétences nécessaires pour faire face aux menaces et aux tendances en constante évolution de la cybersécurité.

Exemples concrets basés sur une mission client…

• Parcours de formation automatisés : mise en place d’un outil automatisé capable de générer des parcours de formation personnalisés en fonction des besoins et du niveau de compétences des employés.
• Catalogue de formation consolidé : un catalogue de formation unifié, cartographié selon les 17 nouvelles compétences en cybersécurité et 16 nouveaux rôles en cybersécurité, offrant une feuille de route claire pour le développement des employés.

Améliorer la Rétention Grâce à une Collaboration Efficace avec les Ressources Humaines

Collaborer étroitement avec l’équipe des ressources humaines pour créer un plan de rétention solide est essentiel pour le succès de l’organisation. Bien que de nombreuses entreprises disposent de processus pour soutenir le développement des talents, ceux-ci ne sont souvent pas formalisés, ce qui provoque des difficultés dans la gestion quotidienne.

Les organisations doivent commencer par évaluer les compétences et les forces uniques de chaque membre de l’équipe et déterminer comment les utiliser au mieux pour atteindre les objectifs de l’organisation. La réalisation d’entretiens individuels est précieuse à cet égard. Les managers peuvent ainsi obtenir des informations sur le stade de carrière actuel de chaque employé et ses aspirations futures. Ces informations permettent de concevoir des plans de développement personnalisés alignés sur leurs objectifs.

Cependant, il est important de se rappeler qu’un plan de rétention n’est pas une solution unique. Il doit être flexible et adaptable, capable d’évoluer en fonction des besoins changeants de votre équipe et du paysage de la cybersécurité. En travaillant avec les ressources humaines pour mettre en œuvre un plan sur mesure et adaptable, vous vous assurez que vos talents en cybersécurité se sentent valorisés, motivés et engagés. N’oubliez pas qu’une rétention efficace est tout aussi cruciale que l’attraction des meilleurs talents, alors faites de la collaboration stratégique avec les ressources humaines un élément clé de votre stratégie de gestion des talents.

Framework A²BCⁿ : Un Framework pour Prendre Soin de vos Talents et Sécuriser votre Organisation

En conclusion, prendre soin des talents est essentiel pour sécuriser votre organisation. Le framework A²BCⁿ offre une approche structurée pour y parvenir. En se concentrant sur l’évaluation et l’attraction des talents, la construction de la confiance avec vos talents, et le soin et le développement de votre équipe, cette approche mixte, combinant des stratégies de cybersécurité et de ressources humaines, garantit une équipe efficace et résiliente, prête à relever les défis de demain.

Cet article Naviguer dans le labyrinthe de la gestion des talents en cybersécurité : un guide pour les passionnés de la gestion des talents est apparu en premier sur RiskInsight.

Vous avez peut-être vu les grands titres soulignant les problèmes de pénurie de talents dans les dernières nouvelles – il ne s’agit malheureusement pas d’une « fake news ». La guerre des talents existe réellement sur le marché de la cybersécurité. Au cours des derniers mois, nous avons lu de nombreux articles, documents académiques, rapports sur ce sujet émergent ; nous avons discuté avec des RSSI et des Talent Managers (un vrai travail à plein temps !) et les 3 principaux défis restent les mêmes : comment recruter, manager et cultiver nos talents ?

Dans cet article, nous avons rassemblé les différentes situations, nos observations et les premières leçons que nous pouvons tirer des actions mises en place pour relever ces défis.

Prenez le temps d’analyser les forces et les faiblesses de votre équipe afin d’identifier les compétences complémentaires que vous devez rechercher…

Au-delà de combler les rôles, il est essentiel d’avoir une vision stratégique des compétences pour mettre en place une division cyber pérenne. À ce stade, votre mantra doit être le suivant : « Recruter les bonnes personnes pour aujourd’hui… et pour demain ».

Lorsque les compétences des personnes correspondent à leur rôle, les tâches sont exécutées efficacement et chacun contribue à une organisation plus cyber sécurisée. Je doute que quelqu’un me contredise sur ce point, mais c’est souvent plus facile à dire qu’à faire.

Voici les premières questions que vous pouvez vous poser pour avancer dans la bonne direction…

Savez-vous ce dont vous avez besoin ? Avez-vous défini toutes les activités cyber que vous devez couvrir ? Avez-vous défini votre stratégie « faire ou acheter » (internalisation ou externalisation) ? Avez-vous identifié les compétences et les personnes nécessaires pour mener à bien ces activités ?

Il s’agit d’une liste non exhaustive de questions que vous devriez vous poser en tant qu’organisation pour mieux cerner vos besoins et connaître vos collaborateurs avant de lancer une feuille de route d’actions.

Il est important de connaître ses besoins et son équipe pour plusieurs raisons : (1) aider à la répartition des tâches : auparavant, les équipes cyber étaient plus petites, et la polyvalence était donc cruciale. Aujourd’hui, les équipes sont plus grandes rendant possible la spécialisation et facilitent l’optimisation des compétences complémentaires (2) aider à identifier les formations et les axes de développement : avoir une vision claire de votre équipe et de ses activités vous aide à identifier les lacunes en matière de compétences et à fournir les opportunités de formation et de développement appropriées aux personnes qui en ont le plus besoin. Avec les compétences manquantes identifiées d’une part, et les besoins identifiés d’autre part, vous pouvez commencer à rechercher vos candidats idéaux grâce à une offre d’emploi qui en dit long (mais ne cherchez pas d’écureuils violets, ils n’existent pas) !

Gardez un œil sur les prochains « insights et focus » sur le sujet des descriptions des emplois cyber !   

Cultiver l’équipe aujourd’hui, attirer demain : La recette pour des équipes cyber durables

Il s’agit d’expliquer concrètement ce qu’est la cybersécurité et quelles sont ses activités. #transparence

D’après les discussions avec les RSSI et les talent Managers, la transparence sur la description du poste fonctionne et donne aux gens un sentiment d’appartenance et d’utilité, ce qui favorise un meilleur travail d’équipe.

Permettez-nous de vous présenter quelques actions concrètes et faciles à mettre en œuvre pour faire avancer les choses :

• Promouvoir en interne les métiers de la cybersécurité et les personnes qui les exercent : en expliquant concrètement ce que ça signifie de travailler dans la cybersécurité, quels sont les postes disponibles et ce que font réellement les personnes concernées, vous pouvez inciter les gens à rejoindre votre équipe, accroître la mobilité interne, renforcer le sentiment d’appartenance à la division cyber et donner une perspective à votre équipe.
• Promouvoir vos activités de cybersécurité à l’extérieur : faites-vous connaître en participant à des communautés cyber et à des conférences importantes (événements scolaires, collaborations avec des universités, des instituts de recherche ou des organisations, etc.)
  • Organiser/participer à des ateliers de upskilling/reskilling (compétences transférables).
  • Incluez des personnes inspirantes dans votre processus de recrutement et votre image de marque (comme le CISO, le chef d’équipe, etc.).

La cybersécurité reste un sujet obscur pour les personnes extérieures à l’écosystème. Pour y remédier, chacun/chacune doit commencer par expliquer ce qu’il/elle fait.

Maîtriser l’art de prendre soin de son équipe

Vous devez maintenant savoir que c’est un réel atout de savoir qui est votre équipe, qui sont vos collaborateurs, de qui vous avez réellement besoin pour mener les activités, pour avoir une bonne image de marque afin d’attirer les gens. Mais ce qui fera la différence sur le long-terme, c’est de prendre soin de vos collaborateurs en leur offrant un environnement de travail bienveillant et des perspectives d’évolution. Quand ce qui va suivre est clair, il est plus facile pour les collaborateurs de se projeter dans l’entreprise dans les années à venir.

Et avant de s’occuper de leur équipe, les RSSI doivent également prendre soin d’eux-mêmes. 40 % des RSSI déclarent subir un « stress élevé » au quotidien et 28 % d’entre eux sont proches du burn-out (Cyber Workforce Study, ISC²). Il est difficile de s’occuper des autres si l’on ne s’occupe pas d’abord de soi…

Pour éviter cela, les RSSI doivent établir une relation de confiance avec leur direction générale afin de pouvoir définir les objectifs stratégiques, prioriser les activités, obtenir les ressources, etc. Et il est essentiel de savoir s’entourer de personnes de confiance pour déléguer les tâches et créer une stratégie opérationnelle efficace.

Le recrutement n’est que le début du voyage ; le développement est l’objectif ultime. Néanmoins, les organisations ont tendance à oublier (négliger) ce dernier point, qui est peut-être le plus important. C’est comme obtenir une certification ISO 27001, assez facile (bien sûr, cela demande du travail !), mais la maintenir, c’est la vraie affaire.

Pour donner des perspectives aux membres de l’équipe, il faut établir des parcours de carrière avec leurs « passerelles » et les moyens disponibles pour évoluer dans ces parcours : compétences requises par poste et étapes clés, catalogue de formation, mobilités internes, processus d’évaluation personnalisé, etc.

Cultiver vos talents, c’est les aider à se développer et renforcer leurs compétences/capacités par des formations, du travail en équipe ou avec des communautés cyber, leur donner des perspectives d’évolution/croissance au sein de votre entreprise. En tant qu’être humain, nous avons besoin de savoir où nous en sommes et où nous allons, nous avons besoin d’une vision qui soit un élan motivateur (dans notre vie #existentialcrises). 

Si nous prenons l’exemple de la pyramide des besoins de Maslow, les gens ont besoin d’avoir un sentiment d’appartenance et de se sentir utiles. Cultiver les talents, c’est donc aussi créer un « esprit d’équipe » par le biais de rituels. Ce n’est un secret pour personne qu’un environnement/une atmosphère de travail convivial(e) est un critère crucial dans le choix d’un emploi et peut augmenter la productivité des gens de 12 % (Université de Warwick, Royaume-Uni), en particulier pour les jeunes d’aujourd’hui.

Donner une perspective de croissance/évolution est essentiel, surtout pour les experts. De nombreuses organisations considèrent encore le management comme la seule voie de réussite, mais dans certains secteurs comme l’industrie, nous pouvons observer un changement. L’expertise est de plus en plus appréciée et valorisée comme une voie de réussite alternative au management ; certains peuvent combiner les deux, mais ce n’est pas une nécessité. C’est pourquoi les cercles d’expertise sont essentiels pour reconnaître les experts à l’intérieur et à l’extérieur de leur organisation – en leur donnant la possibilité d’assister à des événements cyber spécifiques qui peuvent également leur permettre de développer leur réseau et d’acquérir davantage de compétences.

En résumé, attirer et cultiver les talents prend du temps, et le recrutement des talents devient un élément central dans les stratégies d’entreprise. En embrassant la diversité et en promouvant l’égalité des sexes, nous nous aventurons dans de nouvelles dimensions pour construire des équipes solides, avisées et résilientes. 

Nous aimerions ouvrir le secteur de la cybersécurité à ceux/celles qui ne le connaissent pas, à favoriser la diversité et à créer des vocations. Tendons la main aux gens et n’attendons pas qu’ils/elles viennent à nous.  

Nous avons créé un outil de benchmark pour explorer ce sujet aux multiples facettes (avec des recherches encore en cours) et évaluer la maturité des organisations. N’hésitez pas à nous contacter si vous souhaitez y participer ! Nous serions ravis de partager avec vous les bonnes idées que nous avons recueillies sur le marché… et les pièges à éviter.

Les licornes (ne vous méprenez pas, je ne parle pas des start-ups), les écureuils violets, les Ninja, les Rockstars, n’existent pas mais si nous combinons des profils divers, nous pouvons obtenir cette équipe hautement qualifiée !

Cet article La Quête des Ecureuils Violets de la Cybersécurité : Comment les Trouver et les Garder est apparu en premier sur RiskInsight.