Un marché de l'emploi saturé, des profils aux compétences complexes et des technologies qui évoluent à la vitesse de la lumière : tous les ingrédients sont rassemblés pour que votre recrutement de spécialistes en cybersécurité se transforme en une véritable galère. 

Le mouton à cinq pattes n’existe pas. Deux pistes s’offrent à vous pour recruter vite et bien : se tourner vers les profils juniors et adopter un recrutement basé sur les compétences. Découvrez comment identifier, attirer et recruter des talents de la cybersécurité pertinents et efficaces rapidement pour renforcer vos équipes et sécuriser votre entreprise.

Le b. a.-ba : quel spécialiste cybersécurité recruter ?

La cybersécurité, ce n'est pas un métier mais une galaxie de spécialités. Derrière le terme galvaudé d’« expert en cybersécurité », se cachent des dizaines de profils différents, chacun avec son set unique de compétences et de responsabilités. Si l'écosystème cyber a réussi à structurer ses différents métiers, les recruteurs continuent de chercher le mouton à cinq pattes. Une mauvaise habitude dont on ferait mieux de se débarrasser pour pouvoir recruter mieux et plus vite. 

Alors, comment choisir le bon profil pour votre organisation ?

1) Identifiez vos besoins en cybersécurité

Les enjeux ne sont pas les mêmes dans tous les secteurs. Une banque devrait se concentrer sur la sécurité des transactions et la conformité réglementaire, tandis qu'un hôpital mettrait l'accent sur la protection des données des patients et que, pour une entreprise de e-commerce, la priorité pourrait être la sécurité des transactions en ligne et la protection contre les fraudes. Sous un autre angle, les enjeux et compétences requises varient aussi en fonction des technologies. Clarifier vos besoins vous aidera à cibler le profil adéquat.

2) Évaluez vos ressources actuelles

Comprendre ce que vous avez déjà en place — du côté des équipes et des technologies — est crucial. Quels processus sont déjà bien rodés ? Lesquels restent encore à défricher ? Quels outils savez-vous manier ? Quelles compétences sont présentes au sein de votre entreprise ? Et surtout, sur quels périmètres votre futur talent de la cybersécurité devra-t-il travailler ? Répondre à ces questions est crucial pour savoir quel type de spécialiste viendra compléter votre arsenal.

3) Pensez à long terme

La cybersécurité évolue rapidement. Recrutez quelqu'un qui non seulement répondra à vos besoins actuels mais pourra également s'adapter et répondre aux menaces et opportunités émergentes. Et peut-être aurez-vous, à terme, besoin de développer une équipe entière de cybersécurité ? Recrutez quelqu'un capable de grandir avec votre entreprise.

→ Pour vous aider à clarifier ces questionnements, consultez notre article sur les compétences de la cybersécurité.

4) Quel que soit le poste, soyez intransigeants sur les soft skills

Le recrutement d'un expert en cybersécurité, c'est un peu comme chercher une aiguille dans une botte de données numériques. Juniors ou séniors : finalement, peu importe, soyez intransigeants sur ces compétences « soft » qui feront la différence dès l’arrivée du talent dans votre entreprise, et sur la durée. 

Voici les compétences transverses essentielles qui vous aideront à reconnaître le bon candidat quand vous le verrez.

• Excellentes communication et pédagogie : Votre futur expert doit être capable de démystifier des concepts complexes pour tout un chacun dans l'entreprise, depuis le technicien jusqu'au membre du conseil d'administration. Ce n'est pas tout de sécuriser, il faut aussi savoir expliquer pourquoi et comment.

• Humilité : Le moindre excès de confiance peut avoir des impacts considérables. Votre expert ne doit jamais rien prendre pour acquis et toujours remettre ses compétences en question pour affronter les nouvelles menaces.

• Rigueur et attention au détail : En cybersécurité, chaque détail compte. Une erreur minuscule peut ouvrir la porte à de grands problèmes. Votre recrue doit pouvoir repérer et corriger ces erreurs avant qu'elles ne deviennent critiques.

• Pensée critique et esprit de synthèse : Faire face à un flux constant de données et de menaces exige de savoir analyser rapidement les données et prendre des décisions informées sous pression.

• État d’esprit de hacker : Anticiper les mouvements de l'adversaire est crucial. Votre expert doit pouvoir penser comme un attaquant pour mieux protéger vos systèmes.

• Travail en équipe et compétences interpersonnelles : La cybersécurité n'est pas un sport solo. Votre recrue devra travailler main dans la main avec différentes équipes pour intégrer des stratégies de sécurité à travers l'organisation.

• Éthique professionnelle : Avec de grands pouvoirs viennent de grandes responsabilités. Manipuler des informations sensibles exige une intégrité sans faille.

• Résilience et gestion du stress : Les crises ne préviennent pas. Votre expert doit rester performant même quand la pression monte.

• Adaptabilité et apprentissage continu : La cybersécurité évolue à une vitesse fulgurante. Se former continuellement est non négociable.

Recruter des profils juniors : la clé du succès

Face à la pénurie de talents expérimentés et à la quête vaine du mouton à cinq pattes, il est temps de rediriger vos efforts vers les profils réellement juniors. Ces jeunes recrues apportent une perspective fraîche, s'adaptent rapidement pour devenir les experts de demain, soulagent les équipes dès aujourd'hui, et représentent un coût salarial moindre (ce qui n’est pas négligeable). Mais recruter des profils juniors requiert une somme d’actions spécifiques. Regardons tout cela de plus près !

Créez des postes dédiés aux juniors pour répondre à vos défis du moment et ceux de demain

Ouvrez des postes précisément adaptés aux profils juniors, à leurs compétences et à leur niveau d'expérience. Ces postes doivent se spécialiser sur des activités fondamentales, récurrentes et déjà encadrées . Jouer sur les trois facettes de la cybersécurité (offensive, défensive, organisationnelle) sera également clé pour fluidifier l’intégration dans les équipes et les processus de l’entreprise 

Des rôles axés sur l’intégration de la sécurité dans les projets, que ce soit via la réalisation d’analyses de risques et de conformité, le suivi des plans d’actions ou la conduite de certains contrôles de sécurité et d’activités de veille, peuvent tout à fait être attribués à des juniors dès lors que ces missions sont déjà procédurées. Sous l'œil avisé d’un tuteur expert en cybersécurité, ils se familiariseront vite avec l'environnement et les outils de votre entreprise, monteront rapidement en compétences et soutiendront les efforts des équipes déjà en place.

Faites grandir ces nouveaux professionnels de la cybersécurité

Dans la continuité des activités fondamentales, offrez à vos profils juniors des voies de spécialisation pour qu'ils puissent évoluer et se transformer en experts dans des domaines spécifiques de la cybersécurité. Grâce à des programmes de formation continue et/ou du mentorat avec des professionnels expérimentés, vous constituez les prochains piliers de votre équipe. 

Les juniors doivent pouvoir toucher à tout pour acquérir de l’expérience, aider là où c'est nécessaire, explorer leurs propres appétences et progressivement déterminer leur future spécialisation : 

• Les compétences en cybersécurité offensive : savoir simuler des cyberattaques pour repérer les failles avant que les véritables attaquants ne le fassent, et savoir recommander des solutions pour renforcer la sécurité.

→ Il est tout à fait possible, par exemple, de confier à un junior la réalisation des scans réseaux et des scans de vulnérabilités dans un premier temps, pour progressivement le faire monter sur des tests plus manuels et des tests d’intrusion plus complets avec le temps. 

• Les compétences en cybersécurité défensive : être capable de surveiller et défendre les réseaux contre les menaces, d’analyser les violations de sécurité, et d’assurer l'intégrité des systèmes d'information.

→ Le traitement d’alertes déjà couvertes par des fiches réflexes, la documentation d’incidents clos par des profils expérimentés, ou encore la participation à des actions de sensibilisation sont autant de responsabilités sur lesquelles missionner vos nouvelles recrues, et qui permettront d’aller vers un traitement des alertes et des incidents de bout en bout. 

• Les compétences en cybersécurité organisationnelle : Savoir gérer les risques, maintenir les standards de gouvernance, garantir la conformité avec les réglementations, et conduire des évaluations de risque et des audits de sécurité internes pour s'assurer que l'organisation respecte les meilleures pratiques en matière de sécurité. 

→ En débutant par des analyses d’écart avec les référentiels de l’entreprise, le suivi des plans d’action ou des analyses de risques sur des périmètres simples, la capacité de votre nouveau talent à évoluer sur des réflexions et des périmètres plus larges viendra rapidement.

C’est gagnant-gagnant : en offrant des perspectives de carrière claires et motivantes à vos recrues juniors, vous les fidélisez et vous renforcez votre expertise interne.

→ Pour une vision plus précise des compétences requises pour chaque métier de la cybersécurité, nous vous conseillons de consulter le guide des compétences des métiers de la cyber élaboré par le Campus Cyber.

Miser sur le recrutement par compétences

Rédiger une offre d’emploi claire et réaliste

Soyez réalistes, voilà le meilleur conseil qu’on puisse vous donner. 

Pour attirer les bons candidats, commencez par rédiger des descriptions de poste claires et en phase avec les réalités du marché. Concentrez-vous sur les compétences essentielles requises pour un rôle plutôt que de lister toutes les compétences du secteur et adaptez vos exigences au niveau d’autonomie et d’expertise dont vous avez réellement besoin. 

À titre d’exemple : vous pouvez exiger des compétences avancées pour les activités en développement, mais être plus flexible sur les activités les plus documentées et industrialisées dans votre organisation car votre nouveau collaborateur pourra progresser rapidement et efficacement sur ces sujets. 

En étant précis et transparent sur vos attentes, vous attirerez des candidats qui correspondent mieux à vos besoins réels et éviterez de perdre du temps avec des profils inadéquats.

→ Pour rédiger des offres d’emploi de qualité, on ne peut que vous conseiller de vous baser sur l’un des référentiels disponibles et détaillés dans notre article. 

Diffuser et chercher au bon endroit 

Avec un marché de l'emploi en cybersécurité à la compétitivité record, il faut savoir sortir des sentiers battus pour dénicher les meilleurs talents. Mobilisez les différents canaux à votre disposition, en prenant soin de n’oublier ni les généralistes, ni les spécialisés :

• Les plateformes d'offres d'emploi traditionnelles sont toujours un bon point de départ même si souvent saturées. Elles offrent une large visibilité et attirent une variété de profils, des jeunes diplômés aux professionnels expérimentés.

• Collaborer avec des universités, des écoles spécialisées en cybersécurité et des acteurs de la formation en ligne comme OpenClassrooms peut également être très fructueux, car les nouveaux diplômés apportent souvent des compétences à jour sur les dernières technologies et tendances du secteur.

• Explorer les forums comme le FIC (Forum International de la Cybersécurité / Forum inCyber) et LeHack pour rencontrer des talents passionnés et à jour sur les tendances actuelles.

• Les cabinets de recrutement spécialisés en cybersécurité peuvent réduire significativement le temps de recrutement et vous aider à trouver des candidats qui correspondent précisément à vos besoins.

Pensez également à concentrer vos efforts sur des profils distincts selon la nature de vos besoins :

• Les consultants sont des professionnels expérimentés qui peuvent offrir une expertise immédiate. Avec leur compréhension approfondie de divers secteurs, ils peuvent endosser un rôle stratégique ou de gestion de projet.

• Les freelances offrent une expertise pointue et une flexibilité pour renforcer votre équipe selon vos besoins et vos projets à court terme.

Les étudiants en alternance vous permettent de façonner un talent à l’image de votre entreprise et de ses enjeux. Vous bénéficiez de leur contribution immédiate et de leur regard neuf sur de nouveaux outils, développez des compétences ciblées et construisez une relation de long-terme avec un potentiel futur salarié. 

Enfin, encourager les mobilités internes et la reconversion professionnelle au sein de votre entreprise peut combler les lacunes en cybersécurité. Ces formations permettent aux salariés déjà présents et au fait de vos enjeux de monter en compétences et de contribuer plus efficacement à la sécurité de votre entreprise.

→ Des alternants spécialisés en cybersécurité sont déjà disponibles pour rejoindre vos rangs. Pour les rencontrer, rendez-vous sur notre « section recrutement ». 

Préparer l’entretien technique

Préparez-vous à plonger dans le vif du sujet avec votre candidat ! L'entretien technique n'est pas juste une formalité, c'est votre chance de voir ses compétences en action. Mobilisez un expert cybersécurité de vos effectifs ou, à défaut, sollicitez un cabinet spécialisé. L'expert pourra poser des questions techniques pointues et évaluer avec précision les compétences du candidat. Par ailleurs, sa présence renforcera la crédibilité du processus d'entretien auprès du talent et il pourra apporter un autre éclairage sur les défis quotidiens du poste.

Envisagez le recours à des études de cas ou des simulations de scénarios réalistes pour voir comment le candidat applique ses compétences de manière pratique. 

→ Nos experts vous guident dans la préparation des entretiens techniques : découvrez les études de cas pour les talents de la cybersécurité.

Travailler sa marque employeur

Y’a plus qu’à… attirer des talents ! 

Pour vous démarquer, il faut mettre en avant ce qui rend votre entreprise unique. Les candidats vont spontanément aller chez les grands noms du marché qui débordent déjà de candidatures. Valorisez votre approche du recrutement par les compétences et votre accompagnement des profils juniors pour les aider à évoluer. Chaque étape de votre recrutement doit refléter les valeurs de votre entreprise et les promesses portées en tant qu’employeur, de l’offre d’emploi à la proposition d’embauche en passant par les entretiens.

Insistez sur votre mission pour attirer des talents qui vous ressemblent. Au-delà de la technologie, la cybersécurité est un métier du care. Ceux qui sont motivés par l'impact qu'ils peuvent avoir au quotidien resteront et contribueront de manière durable à la sécurité de votre entreprise. Ils sauront pourquoi ils restent, pourquoi ils s'investissent, et pourquoi ils aident leurs collègues chaque jour. Ils seront des collaborateurs passionnés et dévoués, prêts à s'investir pleinement dans la mission de votre entreprise.