Guillaume Collard (CSB.School) "Non, il n'y a pas de pénurie de professionnels dans la cybersécurité"
Pour le fondateur de la Cybsersecurity Business School et RSSI externe, les entreprise manquent d'expertise pour recruter correctement, notamment en ne ciblant pas les bons profils.
JDN. Les entreprises manquent-elles vraiment de main-d'œuvre en cybersécurité comme on l'entend souvent ?
Guillaume Collard. Pas tout à fait. Il existe une pénurie de compétences, mais pas une pénurie de professionnels comme le démontre l'Agence nationale de la sécurité des systèmes d'information dans son enquête sur l'attractivité et la représentation des métiers de la cybersécurité, menée en 2023. Le nombre d'emplois pourvus en cybersécurité n'a fait que croître entre 2021 et 2024. En 2024, 614 000 personnes travaillaient dans ce secteur. La pénurie ne concernait que 23 000 postes. Le pourcentage d'emplois non pourvus reste donc faible.
Le problème est qu'un certain nombre de jeunes demandeurs d'emploi ne peuvent pas accéder aux postes proposés. Et pour cause, 55% des offres d'emploi s'adressent à des profils qui ont plus de 6 ans d'expérience, et 21% à des candidats qui ont plus de 2 ans d'expérience. Cela signifie que 76% des postes ne s'adressent pas aux juniors.
Quant aux offres censées cibler les juniors, elles exigent souvent des compétences de senior tout en proposant des salaires de juniors. Nous constatons souvent ce phénomène. Récemment, je suis même tombé sur une offre de stage qui demandait d'élaborer et gérer de l'infrastructure à clé publique (PKI). Selon moi, elle nécessitait des candidats avec au moins 12 ans d'expérience. Cela n'avait donc pas de sens de l'adresser à des candidats à un stage.
Pourquoi tant d’offres proposent des salaires de juniors pour des postes de seniors ?
Pour des raisons budgétaires. Pour une entreprise, rémunérer un expert cybersécurité au-delà de 45 ou 50 000 euros est souvent très difficile. Elles sont donc poussées à proposer des offres d'emploi nécessitant parfois des compétences de responsable de la sécurité des systèmes d'information (RSSI) mais avec des salaires de juniors.
Pour contourner ce problème, des cabinets de conseil en cybersécurité proposent des prestations réalisées par des juniors présentés comme des seniors, à 400 euros la journée. Aussi, des experts juniors se lancent à leur compte. Ils peuvent d'ailleurs être très bons pour les entreprises qui ont peu d'obligations réglementaires, ou pour mettre en œuvre l'ISO 27001.
Aussi, pour comprendre ce phénomène, il faut s'éloigner de l'idée que la cybersécurité fournit nécessairement des hauts salaires. Certes, les RSSI des grands groupes et à Paris gagnent très bien leur vie, mais cela ne représente pas toute la réalité. Il faut distinguer Paris et les régions. En réalité, les salaires se situent plutôt entre 34 et 75 000 euros. Le salaire d'un junior se situe généralement entre 34 et 38 000 euros, tandis que celui d'un expert cyber senior tourne autour de 75 000 euros. Certains dépassent les 75 000 euros, mais ce n'est pas la majorité.
Les offres mal calibrées viennent-elles d’un manque de compréhension de la cybersécurité ?
Oui. Parfois, je vois passer des offres d'emploi sur Linkedin qui me donnent envie d'établir un best of des annonces les plus insolites. J'ai évoqué l'offre de stage précédemment. Mais il y a aussi les offres qui demandent des compétences qui n'ont rien à voir avec le poste. Par exemple, certaines demandent aux candidats de posséder une certification de pentest pour des postes de gouvernance, risque et conformité.
Le problème est que pour beaucoup de petites et moyennes entreprises et d'entreprises de taille intermédiaire, la cybersécurité est un sujet très récent. Généralement, ce type d'entreprise ne s'y intéresse qu'au moment de son premier incident cyber. Puis, elle se fait guider par le premier professionnel trouvé sur le marché. Si celui-ci est bon, qu'il a de l'expérience et explique bien l'importance de la cybersécurité, alors elle est mise sur le bon chemin et recrute correctement. En revanche, s'il s'agit d'un professionnel peu aguerri, alors il y a peu de chances qu'elle recrute de bons candidats ensuite. Je constate que beaucoup d'entreprises ne sont pas bien accompagnées pour adopter une bonne démarche cyber et recruter correctement.
Par ailleurs, beaucoup de ces entreprises ne comprennent pas ce qu'est la cybersécurité. Elles assimilent la cybersécurité uniquement aux technologies de l'information. Or la cybersécurité est plus englobante : elle ne consiste pas seulement à protéger les terminaux, mais à sécuriser l'ensemble des métiers en amont. Notre métier est de sécuriser les métiers, ce qui fait tourner l'entreprise.
Enfin, beaucoup de dirigeants privilégient la gestion d'entreprise par l'opportunité plutôt que par les risques. Ceux-ci ignorent donc totalement l'existence du risque cyber. Cela a pour conséquence que pour la majorité de ce type d'entreprises, recruter en cybersécurité ne s'inscrit pas dans une stratégie d'entreprise mais est comme une case à cocher, parfois simplement pour respecter une réglementation. Elles ne voient pas la cybersécurité comme un levier en termes de valeur alors que ça l'est. Pour preuve : j'accompagne en ce moment une PME de 50 salariés qui a décidé d'élever son niveau de cybersécurité. Cela lui a permis de pénétrer le marché américain qui nécessite le respect de normes strictes de cybersécurité pour les produits qu'il vend.
Les processus de recrutement sont-ils adaptés à la cybersécurité ?
Non, pas toujours. Beaucoup d'entreprises ne prennent pas en compte le fait que les métiers de la cybersécurité sont avant tout techniques et pratiques. Et qu'ils attirent des profils aux personnalités parfois atypiques. Elles continuent donc à faire passer à leurs candidats leur premier entretien avec le service des ressources humaines. Certains candidats échouent donc à cette étape alors même qu'ils sont brillants. Par exemple, je connais un jeune ingénieur cyber brillant qui n'arrive pas à passer cette première étape car il a une personnalité très introvertie.
Elles doivent aussi introduire dans leurs processus de recrutement des tests de compétences utiles et pertinents, ce qui n'est pas toujours le cas. Ces tests peuvent porter, par exemple, sur les normes et les réglementations, pour vérifier si le candidat sait déployer une feuille de route cyber, choisir les bons prestataires, etc.