Faites-vous partie de ces entreprises qui observent un sous-effectif dans leurs équipes cybersécurité ? Vous êtes loin d'être seuls. Selon une étude menée par Kaspersky, 41 % des organisations européennes sont dans ce même cas. Si les menaces cyber se font plus nombreuses, le recrutement de talents pour y faire face reste très difficile.

Recruter vite, c'est une chose. Recruter bien, c'en est une autre. Heureusement pour vous, l’écosystème cyber se structure peu à peu et les acteurs clés offrent de nouveaux outils pour vous aider à recruter les bons talents armés des bonnes compétences, pour viser juste et faire grandir votre équipe. Regardons ça de plus près ensemble.

L’écosystème cybersécurité se structure, les entreprises aussi

D’année en année, la menace augmente et se professionnalise. Pour y faire face, l’écosystème n’a pas d’autre choix que de s’organiser.

2004 - 2018 : les fondations

Depuis une vingtaine d’années déjà, les standards tels que l'OWASP, l'ISO 27000, le NIST CSF, PCI-DSS,  HIPAA, et le HDS offrent des cadres de référence essentiels et largement utilisés. En complément, la labellisation et les certifications, comme les Critères Communs / CSPN, les labels PASSI, PDIS, PRIS, PACS, PAMS, et SecNumCloud, apportent des garanties sur les produits et services de sécurité.

Tous ces éléments ont structuré les priorités et fonctions clés dans le paysage cyber, et ont ainsi contribué à l’émergence de premiers rôles distincts : gouvernance, pilotage, sécurité opérationnelle, etc.

2018 - aujourd’hui : l’accélération

La deuxième étape de structuration de l’écosystème est liée à l’intensification du cadre réglementaire : le RGPD sur les données personnelles, la LPM sur les infrastructures critiques, la directive NIS sur les services essentiels…

Depuis 2024, cette situation s’accélère, avec la transposition dans le droit national de la directive européenne NIS2 qui vise à harmoniser le niveau de cybersécurité à l’échelle européenne, touchant la majorité des PME et des collectivités locales. C’est également le cas du récent Cyber Resilience Act adopté au niveau européen et qui s’applique à tous les produits connectés, directement ou indirectement, à un autre dispositif ou au réseau. Sans oublier l’AI Act et ses exigences en matière de confiance, d’éthique et de sécurité sur l’Intelligence Artificielle.

Une étude menée en 2023 par Splunk révèle d’ailleurs que plus de 8 RSSI sur 10 envisagent de réajuster leurs budgets pour donner la priorité à la mise en conformité aux nouvelles réglementations.

Aligner son recrutement sur ses vrais besoins avec les référentiels de compétences

Entre l’anticipation des cyberattaques d’un côté et les mises en conformité réglementaires de l’autre, la palette de compétences mobilisées par l’écosystème cybersécurité ne cesse de s'accroître !

Alors comment rester à jour ? Comment ne pas rater les nouvelles compétences indispensables et écarter sans hésiter celles devenues inutiles ? Comment dessiner des fiches de poste lisibles par le marché et alignées sur les vrais besoins de votre organisation ?

Des acteurs majeurs comme l'ANSSI, qui publie l’Observatoire des métiers de la cybersécurité, l’ENISA ou encore le NIST sont là pour accompagner les entreprises. Ils définissent des cadres pour aider les organisations à structurer leurs équipes, se conformer aux réglementations et se prémunir contre les menaces cyber. 

Les référentiels de compétences : des outils indispensables

Les référentiels de compétences en cybersécurité sont des outils en or pour structurer efficacement le secteur. Ils permettent en effet de clarifier et de standardiser les rôles et responsabilités au sein de l’écosystème cybersécurité. Pour mieux former les talents, mieux les recruter, mieux les faire évoluer au sein d'une équipe et d'une entreprise. Bref, pour faire grandir le secteur rapidement et efficacement. 

Ces cadres révèlent les interconnexions entre toutes les spécialités de la cybersécurité et illustrent la diversité des compétences requises.

Les référentiels cybersécurité en France

Les référentiels de l'ANSSI et du Campus Cyber ont été développés pour répondre spécifiquement aux besoins français. Ils prennent en compte les particularités réglementaires et les exigences du marché européen. Ces documents couvrent un large éventail de métiers de la cybersécurité et détaillent les compétences, formations et certifications nécessaires pour chaque rôle. Ce sont des outils indispensables pour les recruteurs : ils leur permettent de cibler efficacement les meilleures compétences pour renforcer leurs équipes de cybersécurité.

→ Le référentiel de l'ANSSI a structuré 26 métiers de la cybersécurité en 5 grandes familles qui sont : le pilotage de la cybersécurité, la conception et le maintien d’un système d’information sécurisé, la gestion des incidents et des crises de sécurité, les métiers de conseil, de service et de recherche, et les métiers connexes. 

→ La matrice de compétences des métiers de la cybersécurité par le Campus Cyber est inspirée des travaux de l’ANSSI. Elle propose une grille d’évaluation précise des compétences requises pour chacun des 24 métiers qu’elle référence.

Les référentiels cybersécurité en Europe 

Mis en place par l’ENISA, le référentiel European Cybersecurity Skills Framework (ECSF) vise à uniformiser les terminologies et les critères de compétences en cybersécurité à travers l'Union Européenne. Cette standardisation aide à aligner les attentes entre les formateurs, les employeurs et les talents, à s’assurer que tous parlent le même « langage » cybersécurité, en accord avec les réglementations en vigueur comme la directive NIS (Network and Information Systems) et le RGPD. 

Ce cadre, bien que limité à une douzaine de rôles, définit précisément les métiers de l’écosystème cybersécurité et les compétences nécessaires pour chacun d’entre eux. Il est précieux pour les recruteurs car il fournit une base commune pour évaluer les candidats en cybersécurité à travers toute l'Europe ; une sorte de pierre de Rosette des compétences cyber.

→ L’ECSF référence 12 métiers clés de la cybersécurité, sans catégorisation particulière.

Les référentiels cybersécurité aux États-Unis

Le référentiel National Initiative for Cybersecurity Education (NICE), développé par le National Institute of Standards and Technology (NIST), est le pionnier des cadres de compétences en cybersécurité. S’il n’est pas adapté au marché européen et à ses réglementations, il dispose tout de même d’un bel atout : sa flexibilité. 

Il permet aux entreprises de créer des profils de compétences personnalisés, adaptés à leur structure, à leurs enjeux et à leurs outils. Les recruteurs peuvent élaborer des plans de carrière sur mesure pour leurs collaborateurs et aligner les compétences des talents avec leurs objectifs. Ce cadre permet de cadrer non seulement le recrutement, mais aussi le développement continu des talents en cybersécurité en cartographiant les compétences et en créant des plans de formation adaptés.

→ NICE recense 52 profils, répartis en 7 catégories principales : Design and Development (DD), Implementation and Operation (IO), Oversight and Governance (OG), Protection and Defence (PD), Investigation (IN), Cyberspace intelligence (CI), Cyberspace Effects (CE).

Zoom sur les métiers et les compétences qui mettent tout le monde d’accord

Comment s’y retrouver entre le référentiel américain et ses 52 profils répartis en 7 catégories, le français qui liste 26 métiers dans 5 familles et l’européen qui recense 12 métiers sans catégorisation ?

En première intention, le référentiel le plus pertinent pour votre entreprise dépend essentiellement du contexte géographique dans lequel vous évoluez.

Ensuite, nous avons une excellente nouvelle à vous partager : malgré les différences de structure, les missions et compétences clés sont souvent les mêmes dans les différents référentiels.

Dans la suite de l’article, nous prenons le temps de détailler ces éléments qui mettent tout le monde d’accord.

Trois grandes catégories de métiers cybersécurité 

La grande majorité des métiers et missions de la cybersécurité appartient à l’une des catégories suivantes : la sécurité offensive, la sécurité défensive et la gouvernance.

L’offensif

Les professionnels du côté offensif de la cybersécurité jouent un rôle essentiel : ils identifient les vulnérabilités des systèmes informatiques. Leur mission consiste à simuler des cyberattaques pour tester l'efficacité des mesures de sécurité en place. Ils exploitent les faiblesses des systèmes afin de fournir des recommandations pour améliorer la sécurité. Cette approche proactive est cruciale pour anticiper les cybermenaces et renforcer les défenses avant qu'une attaque réelle ne survienne.

→ Dans les référentiels, on les appelle experts techniques en audit de sécurité, auditeurs informatiques, experts en tests d’intrusion, ethical hackers, vulnerability assessors, pentesters, red team operators. 

Le défensif

Les professionnels du côté défensif de la cybersécurité sont les gardiens de l’intégrité des systèmes informatiques. Leur mission est de surveiller, détecter et faire face aux cybermenaces en temps réel. C’est toute une galaxie de métiers qui répond à ce défi. Les analystes SOC sont responsables de la surveillance continue des réseaux pour identifier les activités suspectes. Les analystes forensics, quant à eux, enquêtent sur les incidents de sécurité pour comprendre comment ils se sont produits et prévenir les futures attaques. Les architectes de sécurité conçoivent des systèmes robustes et résilients face aux menaces. Cette approche est vitale pour assurer la protection continue des infrastructures informatiques contre les cyberattaques.

→ Dans les référentiels, on les appelle analystes SOC, analystes forensic, architectes sécurité, incident responders, cyber defense analysts, security engineers, cryptologues, responsables de CERT/CSIRT. 

La gouvernance

Les professionnels en gouvernance sont indispensables pour la gestion stratégique de la sécurité des informations. Leur mission est de développer et de mettre en œuvre des politiques de sécurité, de gérer les risques et d'assurer la conformité réglementaire. Les analystes GRC (Gouvernance, Risques et Conformité) évaluent les risques et élaborent des politiques pour atténuer ces risques tout en garantissant la conformité aux normes et aux réglementations. Les RSSI supervisent l’ensemble des activités de sécurité au sein de l'organisation, définissent la stratégie de sécurité et coordonnent les efforts pour protéger les informations sensibles. Cette approche stratégique est essentielle pour créer une culture de sécurité et assurer une gestion efficace des risques.

→ Dans les référentiels, on les appelle analystes GRC, responsables de la sécurité des systèmes d'information (RSSI), compliance managers, risk managers, security policy advisors, ou tout simplement directeurs cybersécurité.

Zoom sur 4 rôles clés dans la cybersécurité 

Le métier d'Auditeur technique (offensif)

Sa mission : L’auditeur technique identifie les vulnérabilités en réalisant des tests d’intrusion, complétés par des revues d’architecture, de configuration ou de code.

Ses tâches principales : Il effectue des tests d’intrusion pour identifier les vulnérabilités, rédige des rapports détaillant les failles de sécurité et les recommandations, collabore avec les équipes opérationnelles pour aider à la correction des vulnérabilités identifiées. 

Ses compétences les plus importantes (selon la matrice Campus Cyber) : Adapter sa communication aux différents interlocuteurs, réaliser des audits techniques de sécurité, agir avec rigueur et éthique.

Le métier d'Analyste SOC (défensif)

Sa mission : L’analyste SOC surveille les réseaux en temps réel pour détecter, analyser et répondre aux incidents de sécurité.

Ses tâches principales : Il surveille les systèmes et réseaux pour détecter les activités suspectes, analyse les incidents de sécurité et détermine leur gravité, et réagit rapidement aux menaces en appliquant des plans d’endiguement et de réponse.

Ses compétences les plus importantes (selon la matrice Campus Cyber) : maîtriser les menaces et vulnérabilités, superviser la sécurité du SI, analyser les flux réseaux, mettre en place, analyser et corréler les journaux d’événements, automatiser les outils SSI.

Le métier d'Analyste GRC (gouvernance)

Sa mission : L’analyste GRC gère les risques, assure la conformité réglementaire et développe des politiques de sécurité.

Ses tâches principales : Il évalue les risques et développe des stratégies d'atténuation, assure la conformité aux réglementations et normes de sécurité et rédige et maintient les politiques de sécurité de l’entreprise.

Ses compétences les plus importantes (selon la matrice Campus Cyber) : analyser les risques cyber, intégrer les enjeux métiers, analyser et synthétiser, agir avec rigueur et éthique, adapter sa communication aux différents interlocuteurs.

Le métier de RSSI (gouvernance)

Sa mission : Le RSSI définit et supervise la stratégie globale de sécurité de l’information d’une organisation.

Ses tâches principales : Il élabore et met en œuvre des stratégies de sécurité, supervise les équipes de sécurité, coordonne les efforts de sécurité et gère les incidents de sécurité majeurs et assure la communication avec la direction.

Ses compétences les plus importantes (selon la matrice Campus Cyber) : analyser les risques cyber, mettre en place une politique de cybersécurité, appliquer les normes & standards de la SSI, maîtriser les menaces et vulnérabilités, superviser la sécurité du SI, intégrer les enjeux métiers, communiquer par écrit et  à l'oral en interne et en externe en Français et en langues étrangères, agir avec rigueur et éthique, gérer les situations stressantes, manager une équipe, fédérer ses interlocuteurs, adapter sa communication aux différents interlocuteurs.

Si nous devions vous donner un seul conseil, en tant que recruteur, ce serait de vous familiariser avec les référentiels listés dans cet article et de sélectionner celui qui correspond le mieux à votre entreprise. Cet exercice vous permettra de prendre du recul sur les compétences cruciales dans votre contexte spécifique. Profitez-en pour renforcer votre proximité avec vos hiring managers cyber. Mais ce n'est que la première étape pour recruter efficacement les profils qu'il vous faut. La deuxième est tout aussi importante : rédiger une fiche de poste claire et lisible pour attirer les meilleurs talents.