Selon Christian Toon, RSSI du cabinet d’avocats international Pinsent Masons, il faut revoir les pratiques d’embauche pour attirer et conserver les talents en cybersécurité.
Le combat que doit mener en permanence la cybersécurité contre la « pénurie de compétences » a fait perdre le cap au secteur pour ce qui concerne le recrutement et la rétention des talents. Tel est l’avis de Christian Toon, RSSI du cabinet d’avocats londonien Pinsent Masons. Dans un secteur qui a besoin de diversité et d’innovation, le lauréat des UK CSO 30 Awards de cette année dit s’inspirer de l’univers des Marvel Comics pour remettre en question les approches traditionnelles des RH, recruter et conserver plus efficacement les compétences en sécurité. « Nous devons faire face à ce que certains décrivent comme une guerre des talents, car on a l’impression de se battre contre l’organisation future pour le bien commun. Je pense que nous nous sommes un peu égarés, à la fois du point de vue du délégataire ou de l’employé potentiel, mais aussi du point de vue de l’employeur », a expliqué M. Toon, qui s’exprimait lors de la conférence UK CSO 30 2022, organisée le 6 décembre, pendant laquelle a eu lieu la remise des prix. « Les candidats sont là, mais il faut changer les pratiques traditionnelles d’embauche, car si l’on continue à faire ce que l’on a toujours fait, on obtiendra toujours ce que l’on a toujours eu », a-t-il ajouté.
Embaucher des Avengers, pas des clones
M. Toon met un point d’honneur à ne pas embaucher et construire une équipe qui ne ressemblera qu’à ce qu’il est. « Ce n’est pas ce que nous faisons de mieux », a-t-il déclaré. Pour éviter cela, le RSSI de Pinsent Masons essaye de s’inspirer des Avengers de Marvel, cette équipe de super-héros issus d’horizons très différents et réunis pour combattre le mal et sauver le monde. Non, le RSSI n’espère pas que Spider-Man règlera son compte au dernier cyberattaquant ou que la Panthère noire améliorera ses processus de gestion des correctifs. Mais il cherche à intégrer la même diversité de compétences et de capacités dans sa propre équipe de sécurité. « Si l’on regarde les Avengers, on voit que tout le monde est très différent. Ils ont tous une compétence ou une capacité très différente qu’ils apportent au combat. C’est comme cela que devrait être une équipe de sécurité. »
Pas de Capitain Marvel sur LinkedIn
« Cependant, il y a peu de chance de trouver un Captain Marvel sur LinkedIn prêt à cliquer sur ‘‘easy apply’’ pour répondre à une annonce », a encore déclaré M. Toon. « Il faut adopter une approche très différente, car le battage médiatique autour de la pénurie de compétences en cybersécurité fait qu’un tas de cabinets de recrutement et de personnes essayent de placer ces profils, ce qui signifie que, sur le marché actuel, la confiance vis-à-vis de l’entreprise qui recrute peut être remise en question », a-t-il fait valoir. « Il faut donc revoir ses modalités de recrutement et cibler ces profils autrement », a ajouté Christian Toon. « La première chose à faire est de travailler avec des partenaires de confiance, tournés vers l’avenir, et la seconde est de se lancer dans la foulée dans les groupes communautaires qui défendent les groupes sous-représentés. Les équipes de recrutement ne savent pas qu’il y en a des centaines, facilement accessibles via Google. Il faut aussi penser à autre chose qu’à la cybersécurité, parce qu’il y a beaucoup d’autres secteurs dans lesquels les gens cherchent à se recycler. Par exemple, si l’on veut recruter une personne ayant de bonnes compétences en communication dans le domaine de la technologie, on ne trouvera pas forcément le bon candidat dans un environnement technologique, puisque tout le monde cherche dans le même vivier. Par contre, on peut trouver ce genre de profil dans d’autres secteurs comme l’hôtellerie ou le commerce de détail », fait encore remarquer le RSSI. « Il s’agit d’examiner les différentes options d’embauche. Récemment, nous avons constaté que la défense des intérêts des employés est un grand pas en avant, car la sensibilisation des membres de l’équipe permet vraiment de bien cibler la prochaine génération de personnes pour notre future équipe. »
Les super-héros ne portent pas tous des costumes
« Il est également important de réfléchir à la culture de l’entreprise et à ce qu’elle offre aux nouveaux talents de la sécurité et à ceux qui sont déjà en place », a aussi déclaré M. Toon. « A certains égards, ce que les employeurs offrent ou ont offert ne correspond probablement plus à ce qu’attendent les nouvelles recrues de la sécurité. » Le temps où l’on demandait aux personnes chargées de la sécurité de porter un costume, comme si elles allaient au tribunal, alors qu’elles restaient assises devant leur ordinateur portable toute la journée, est révolu. Le lieu, le moment et la manière dont les gens veulent travailler jouent un rôle important dans le processus de décision. De nombreux secteurs ont abandonné le principe du « 9 à 5 ». Les violations de données et les cyberattaques traversent les frontières et les fuseaux horaires, de sorte que l’essentiel pour l’employé est de soutenir l’activité de l’entreprise. Les codes vestimentaires, le temps de travail, la flexibilité des horaires, les réductions liées au style de vie, le bien-être et les soins de santé sont autant de facteurs décisifs dans le choix de l’employeur. Il y a aussi tout ce qui concerne l’offre de travail « à distance/hybride ». « Certaines personnes veulent travailler à distance 100 % de leur temps, et certains employeurs veulent une présence à 100 % au bureau », a expliqué M. Toon. « Certes, chaque entreprise doit trouver son équilibre, mais elle doit reconnaître aussi que le monde a changé. Cinq jours par semaine pour faire un travail sur ordinateur que l’on peut faire à la maison ? Aucune chance. Les entreprises doivent justifier clairement la présence au bureau », a-t-il encore déclaré. « Il se peut que pour une entreprise ancrée dans l’histoire ou qui a toujours fait les choses d’une certaine manière ces changements soient difficiles », a admis le RSSI. « D’autant que, si l’on commence à faire des changements pour l’un, il faut en faire pour les autres. Il y a donc un impact en chaîne à prendre en compte », a-t-il conclu.