Alors que organisations et gouvernements redoublent d’efforts pour se protéger contre les cyberattaques et autres menaces, le secteur de la cybersécurité connaît une croissance rapide. Cependant, le besoin d’experts en cybersécurité de tout niveau est loin d’être satisfait. En effet, le secteur est confronté à une crise de recrutement importante, avec une pénurie mondiale de 3,4 millions d’experts en cybersécurité rapportée en 2022. Cette situation rend les organisations et le public particulièrement vulnérables aux cyberattaques toujours plus sophistiquées. Pour faire face à cette crise, les organisations doivent reconsidérer donc leur approche au recrutement pour ces postes.

Des stéréotypes qui portent atteinte au recrutement

Alors que les responsables RH sont confrontés à la pénurie de compétences dans le domaine de la cybersécurité, les stéréotypes omniprésents sur les professions de la cybersécurité peuvent limiter l’intérêt des candidats pour ces fonctions, ce qui ne fait qu’aggraver le problème. En effet, la cybersécurité est souvent perçue comme le domaine privilégié des hommes jeunes, blancs et hautement spécialisés en technologie, qui traquent les pirates informatiques dans le monde en ligne.

Cette perception démographique est étayée par la réalité. Aux États-Unis, les femmes ne représentent que 24 % de la main-d’œuvre dans le domaine de la cybersécurité, tandis que l’ensemble des minorités ethniques n’en représentent que 22 %. Toutefois, il existe un vaste réservoir de candidats potentiels qui pourraient être recrutés dans ce domaine et à qui l’on pourrait enseigner des compétences clés.

Le secteur offre une multitude de rôles

Les compétences les plus demandées dans le domaine de la cybersécurité sont la détection de menaces et l’analyse des menaces émergentes. En effet, les professionnels doivent comprendre les méthodes opératoires des acteurs hostiles, être capables de les détecter et réagir aux premiers signes d’une menace. Ils doivent reconnaître les signes avant-coureurs et agir rapidement pour assurer la sécurité des personnes et de l’organisation. En cas d’incident, il est essentiel que les organisations disposent de personnel possédant les compétences nécessaires pour gérer ce type de situation, afin de minimiser les dommages et d’empêcher que les systèmes ne subissent des préjudices importants.

Chaque organisation a ses propres systèmes, mais un aspect négligé est que de nombreux bureaux sont aujourd’hui complètement dématérialisés avec des équipes travaillant en distanciel via le réseau cloud. Ces systèmes sont particulièrement vulnérables à des attaques majeures si l’infrastructure du réseau n’est pas correctement protégée contre les cybermenaces.

Pas seulement pour les génies de la technologie

Une autre facette de la perception de ce secteur qui décourage souvent les professionnels de le considérer en premier lieu est qu’on a tendance à croire que les rôles en cybersécurité exigent des compétences ultra-techniques et que les emplois dans ce domaine sont exclusivement axés sur la technologie.

Toutefois, il existe de nombreuses fonctions de cybersécurité qui ne nécessitent pas de formationtechnique poussée et qui pourraient s’appuyer sur des compétences non-techniques existant déjà au sein des organisations. Par exemple, l’audit informatique, l’analyse des risques, la conformité, l’élaboration de politiques et la gouvernance sont des domaines de la cybersécurité souvent négligés qui nécessitent des compétences hautement transférables d’un autre domaine.

La gestion de projet est l’une des compétences transférables les plus demandées. Les professionnels de la cybersécurité doivent planifier, exécuter et gérer correctement les projets au sein des organisations afin de préserver la sécurité de leurs systèmes. Des compétences en matière de leadership et de travail en équipe sont également nécessaires pour coordonner et gérer les incidents de sécurité.

Comment encourager les talents aux compétences non-techniques à rejoindre le secteur ?

Le jargon est utile entre experts sur le lieu de travail, mais dans les descriptions de postes à pourvoir, il peut aliéner des candidats bien qualifiés qui sont découragés parce qu’ils n’ont pas le même niveau d’expertise. Les annonces d’emploi doivent donc être réécrites et utiliser un langage clair mettant l’accent sur des compétences, telles que la communication, la résolution de problèmes et le travail en équipe. Ces dernières sont en effet aussi importantes que les compétences techniques dans les annonces pour ces postes à pourvoir.

Les annonces devraient également mettre en évidence les compétences transférables, telles que la gestion de projet et l’analyse des risques, afin de rendre les postes attrayants pour des personnes issues de milieux différents.

Les organisations doivent activement rechercher et recruter une diversité de professionnels de la cybersécurité en incluant des candidats issus de minorités sous-représentées. Pour ce faire, elles doivent envisager des partenariats avec des entreprises de cybersécurité du secteur privé pour dispenser des formations, ou bien avec des établissements d’enseignement supérieur et des organismes sectoriels pour créer ces filières clés de talents dans le secteur. Ce faisant, les organisations peuvent puiser dans une mine de talents inexploités, ce qui peut déboucher sur des solutions de cybersécurité plus innovantes et efficaces. Cela garantit également une approche durable du développement de la prochaine génération d’experts en cybersécurité, afin de rester en avance et vigilant dans un paysage numérique en constante évolution.

En conclusion, pour résoudre la crise du recrutement dans le secteur de la cybersécurité, les organisations doivent lutter contre les stéréotypes, donner la priorité aux compétences non-techniques et travailler activement à la diversification du vivier de talents.

Les gouvernements et les organisations se doivent de former des individus issus de milieux diversifiés afin d’assurer la protection du public contre toutes formes de cybermenaces et de cyberattaques.

Christine Abdalla Mikhaeil, professeure adjointe en systèmes d’information à l’IESEG School of Management