Comment attirer les talents de la cyber… et les retenir

La croyance selon laquelle les technologies cyber peuvent fonctionner sans intervention humaine est tout simplement fausse. Il n’existe pas de solutionnisme technologique miracle. La clé ? Miser sur les talents de la cybersécurité. Considérés parfois à tort comme des freins à la productivité et à l’innovation, ils sont au contraire des hommes et femmes « chefs d’orchestre », qui aident à maitriser les coûts, protéger votre réputation, et soutenir votre innovation. A la croisée des chemins entre enjeux cyber et RH, vous avez tout intérêt à vous entourer de ces talents, et les garder.

Les talents de la cyber : des compétences pointues au service du business

Des métiers en constante évolution

La France est le 2ème pays d’Europe le plus touché par les ransomwares. Dans la dernière édition de son baromètre d’évaluation de la menace, l’éditeur de sécurité Anozr Way estime à près d’1,1 Md€ le montant cumulé des pertes de chiffre d’affaires pour les entreprises françaises causées par les ransomwares depuis début 2022..

Face à l’évolution constante de cette menace, il faut s’appuyer sur les experts qui sauront anticiper les risques, déployer les bonnes technologies, et garantir la sécurité informatique de l’entreprise sur le long terme.
Moins médiatisé que les Chief Digital Officer ou Data Scientists, et longtemps perçu comme le discret collaborateur à sweat à capuche qui installe l’antivirus sur votre ordinateur, le Responsable de la Sécurité des Systèmes d’Information (RSSI) est en réalité tout l’inverse de ce cliché.

Le RSSI est un véritable chef d’orchestre, acteur de la transformation de l’entreprise, capable de s’adapter aux enjeux. Il incarne la confiance numérique de l’entreprise et veille au respect des réglementations et de la conformité.

Niveau d’études du RSSI : Ingénieur Bac + 5 avec une spécialisation en cybersécurité Expérience professionnelle : supérieure à 5 ans dans le domaine de la cybersécurité

La mission du RSSI d’aujourd’hui s’appuie sur trois axes. Connaitre son territoire, anticiper les menaces qui peuvent toucher l’entreprise, et enfin, déployer les moyens pour s’en défendre. Si les technologies sont évidemment primordiales pour accompagner le RSSI au mieux dans ce travail, elles ne pourront jamais remplacer l’humain qui orchestre toute cette stratégie.
Les éditeurs de technologies permettent au RSSI de déployer toutes ses compétences en termes de réactivité, d’agilité dans la réponse, et d’analyse a posteriori. Or, lui seul sait tirer le meilleur parti de ces outils : à la manière d’un architecte, il sait composer le meilleur assemblage possible, le meilleur
armement, adapté aux spécificités de l’entreprise et de son secteur. Il est donc nécessaire de se reposer sur cet expert, ce « sachant », pour analyser la remontée d’informations permise par l’outil : il saura en tirer les conclusions les plus pertinentes et adapter la stratégie cyber en conséquence.
Ainsi, faites-lui confiance sur ses choix de technologies pour sécuriser votre parc informatique.
En termes de compétences, le RSSI est également capable de bien s’entourer. Il sait manager des équipes opérationnelles de grande ampleur, et coordonner des processus cyber très complexes, en composant avec ses équipes. Véritable pilier dans l’écosystème de la cybersécurité, il a aussi les ressources pour s’appuyer sur un réseau solide. Il échange constamment avec ses pairs, ainsi qu’avec les éditeurs de logiciels, pour anticiper les menaces à venir et les meilleures stratégies à adopter.
Grâce à sa connaissance fine des technologies de pointe et son réseau, le RSSI n’est pas un frein à la productivité, mais bien un partenaire.

Au service de la productivité et de l‘innovation

Pour innover, il faut de la sécurité en amont. Il faut se projeter dans une vision à long terme. L’innovation doit être soutenue par une stratégie cyber, sous peine de foncer droit dans le mur…

Dans un webinar organisé par HarfangLab et Gatewatcher, Benoit Moreau, Directeur Cybersécurité du groupe Nexter, illustre parfaitement cette idée : « La cybersécurité, c’est ce qui différencie une innovation d’un Darwin Award ». Le RSSI gère ainsi l’écosystème numérique du groupe, pour le pousser au mieux dans son développement. La politique de cybersécurité mise en place par le RSSI permet justement d’accompagner les projets d’innovation et les usages de demain.

Par ailleurs, la productivité de l’entreprise dépend de la fluidité et de l’agilité des process pour lesquels l’informatique est devenue centrale. L’usage croissant du télétravail, mais aussi des outils de Big Data ou de reporting, le Cloud computing ou encore la virtualisation, impliquent de pouvoir protéger les terminaux comme les données en toutes circonstances.

Au-delà des enjeux internes, la capacité de votre entreprise à rassurer le consommateur, à démontrer vos efforts en matière de sécurité des données, de transparence, s’impose comme un levier marketing. Il est désormais indispensable de s’inscrire dans une démarche dédiée à la cybersécurité.

Le RSSI est donc un allié pour l’innovation et la productivité, mais aussi le garant de la réputation de votre entreprise. Vous avez construit une relation de confiance avec vos partenaires financiers, vos clients, vos fournisseurs. La réputation de votre entreprise repose aujourd’hui sur la sécurisation de leurs données, et le RSSI en est le gardien.

Les talents de la cyber au coeur de la stratégie de l’entreprise

Intégrez le RSSI au sein des équipes dirigeantes

Les entreprises font évoluer leur business models, leurs activités, ou leur organisation interne en fonction des usages numériques. Cette évolution a transformé le rapport à la sécurité.
Comment concilier innovation, expérience client, et cybersécurité, si celle-ci n’est pas pensée en amont ? De plus, quand on se lance dans un projet cyber qui coûte de l’argent, il faut qu’il soit rentable. Pour rentabiliser la stratégie cyber de votre entreprise, le RSSI a donc besoin de reprendre de la maitrise en interne, et d’avoir une vision globale et à long terme.

En ce sens, il doit devenir une partie prenante de la stratégie de l’entreprise et être en mesure d’anticiper l’ensemble des évènements de l’entreprise.

L’innovation digitale ne peut se faire qu’en intégrant la sécurité en amont, le « Security by design », dès la conception des nouveaux services ou produits. Cette nouvelle orientation impose aux organisations d’intégrer le RSSI au sein des équipes dirigeantes.

Connectez le RSSI à l’ensemble des métiers

Pour une stratégie cyber efficace et rentable, le RSSI doit d’abord connaitre son territoire. Le métier de RSSI est de plus en plus central et se retrouve connecté à tous les projets de l’entreprise.
Pour cela, il se doit d’aller régulièrement à la rencontre des unités métiers et des collaborateurs.
Il faut qu’il puisse dialoguer avec les métiers, connaitre leurs activités. Il n’est plus seulement un interlocuteur « technique » dont personne ne comprend le jargon. Il doit trouver un équilibre entre une vision de la stratégie numérique globale et des réalités de terrain. Or, il est aujourd’hui tout à fait capable de communiquer avec tout le monde. Il possède de nouvelles compétences clés : sens des affaires, capacités de communication et de présentation, gestion de crise et leadership.

Anticipez la pénurie de compétences et la guerre des talents

Aux Etats-Unis, le poste de responsable des risques cyber est l’un des emplois qui connait la plus forte croissance. Selon le Bureau of Labor Statistics (BLS), leur nombre devrait augmenter de 35 % entre 2021 et 2031, ce qui en fait la huitième profession à la croissance la plus rapide Outre-Atlantique. Un signe que les entreprises américaines ont compris la nécessité de miser dès maintenant sur les talents de la cybersécurité.

Les spécialistes en cyber sont aujourd’hui des perles rares. Les candidats avec une réelle expertise technique sont très difficiles à trouver mais également à retenir. Aujourd’hui, il faut plus de 3 mois à une entreprise pour recruter des salariés qualifiés en sécurité informatique.

En France, plus de 15 000 postes sont à pourvoir dans le domaine de la cybersécurité, selon le cabinet de consulting Wavestone. Et d’ici 2025, il faudra en créer 37 000 de plus pour faire face aux menaces planant sur le pays et ses entreprises.

Comment expliquer ce décalage entre l’offre et la demande ? Durant la pandémie de COVID-19, de nombreuses personnes ont choisi de se former, notamment dans le domaine de la sécurité informatique. Mais face à l’évolution extrêmement rapide du paysage des menaces cyber, et l’intérêt grandissant pour la filière, le nombre de candidats disponibles n’a pas pu répondre à l’importance des besoins.

De plus, une mauvaise image du métier persiste. 24% des étudiants en cybersécurité estiment que leur secteur n’est pas valorisé, ni reconnu socialement. Pour cause, la faible attractivité des grilles salariales et le manque de capacité des organisations à proposer des parcours de carrière dynamiques.

La plupart des dirigeants du secteur considèrent que 2023 sera l’année où la pénurie des talents sera à son apogée. Il faut donc se préparer à une ruée sur les talents.

En conclusion

Les entreprises qui ont déjà misé sur une politique de cybersécurité reposant sur le rôle central du RSSI ont pris un temps d’avance sur les autres. Protection de leur réputation, fluidité dans leurs process d’innovation, maîtrise des coûts liés à la transformation digitale : elles ont ainsi créé un avantage compétitif qui les démarque de leurs concurrentes.

La mise en place d’une politique de cybersécurité dans son entreprise revient à se questionner sur le rôle du RSSI, et la nature de la relation entre RSSI et dirigeants. C’est grâce au trio équipes dirigeantes – RSSI – éditeurs de technologies que la meilleure stratégie cyber sera possible.