PME : la bonne méthode pour recruter en cybersécurité
De plus en plus de petites et moyennes entreprises (PME) et d'entreprises de taille intermédiaire (ETI) doivent recruter des experts en cybersécurité pour se conformer à des obligations réglementaires, comme la directive NIS 2, et contractuelles. Mais faute de maîtrise du sujet, elles peinent à identifier et attirer les profils adaptés. Résultat : les réseaux sociaux professionnels regorgent d’annonces recherchant des experts aux compétences de senior, pour des rémunérations dignes de débutants, observe Nicolas, trentenaire fort de huit années d'expérience en cybersécurité. "Pour beaucoup d'entre elles, ce ne sont pas des moutons à cinq pattes qu'elles recherchent, mais à 18 pattes !", ironise de son côté Olivia Défond, recruteuse spécialisée en cybersécurité. Sans parler des annonces "pas claires et mal rédigées", sans rapport avec le poste proposé, et des processus de recrutement inadaptés aux métiers de la cybersécurité qui font fuir des candidats. Alors, comment peuvent-elles faire mieux ?
Un accompagnement nécessaire
"Il existe beaucoup d'entreprises qui ne disposent pas de compétences internes en cybersécurité et qui n'ont donc personne pour les aider à flécher correctement les offres d'emploi. Je vois donc régulièrement sur LinkedIn des publications d'offres qui sont de simples copier-coller d'autres offres ou qui sont générées par des IA. J'ai par exemple vu une offre d'emploi destinée à des juniors qui leur demandait l'obtention d'une certification qu'on obtient après cinq ans d'expérience. Parfois, les RH sont sollicités pour écrire ces offres d'emploi alors qu'ils ne peuvent pas être spécialistes de tous les métiers", observe Guillaume Collard, fondateur de la Cybersecurity business school (CSB.School) et RSSI externe. "Cela se remarque souvent que ceux qui rédigent les offres d'emploi ne sont pas du sérail", confirme Nicolas.
Une fois que le processus de recrutement est lancé, ces entreprises sont confrontées au même problème. Elles ne disposent pas des experts capables d'évaluer le niveau des candidats. "Cela fait fuir les candidats. Surtout dans les métiers de la cybersécurité où les gens sont puristes et ont parfois un ego surdimensionné. Quand un recruteur est hors sujet et ne comprend pas son domaine, il se dit qu'il n'a pas envie de mettre les pieds dans son entreprise", observe Guillaume Collard.
Pour éviter de publier des offres peu attrayantes et d'engager des processus qui font fuir des candidats, Guillaume Collard recommande tout simplement à ces entreprises de se faire accompagner par des recruteurs spécialisés en cybersécurité. Ceux-ci sont capables de rédiger correctement la fiche de poste, et d'identifier le profil le plus adapté à leurs besoins tout en prenant en compte leurs contraintes budgétaires : "Avant de chercher des candidats, j'organise systématiquement avec mes clients une réunion pour creuser leurs besoins et réécrire la fiche de poste si nécessaire", précise Olivia Défond.
Autre stratégie préconisée par la chasseuse de têtes : avant de recruter un expert cyber, l'entreprise peut avoir recours à un prestataire externe comme l'est le responsable de la sécurité des systèmes d'information à temps partagé. "Cela permet à l'entreprise de mieux se renseigner sur ce qu'elle cherche dans son projet de recrutement". L'entreprise peut aussi recourir à ses services pour l'intégrer dans le processus de recrutement afin d'évaluer correctement le niveau des candidats.
L'expérience plutôt que les diplômes
"Pour recruter un profil cyber, la meilleure des approches est de réaliser le premier entretien avec un opérationnel. Car un responsable RH qui ne s'y connaît pas en cybersécurité fait fuir le candidat. Ensuite, un second entretien avec le N+2. Le dernier entretien doit être focalisé uniquement sur la personnalité du candidat". Lors du premier entretien, c'est l'expérience du candidat qui doit être mise en valeur et non pas ses diplômes : "Si le candidat a un bac + 5 mais qu'il n'a jamais tripoté la technologie, il n'aura que des connaissances théoriques. Si l'entreprise n'a pas les moyens pour le former, il va donc prendre du temps en interne. Mieux vaut qu'il n'ait pas de bac + 5, mais qu'il ait testé la technologie, qu'il se soit entraîné, etc."
C'est pourquoi elle préconise, lors de cet entretien, de tester techniquement le candidat : "Pour bien recruter en cybersécurité, il est nécessaire de mettre en place des mises en situation, des immersions de deux heures dans l'entreprise, durant lesquelles va pouvoir se révéler le candidat. Cela se pratique encore peu. C'est dommage car la cybersécurité est très situationnelle : un expert peut être bon dans telle entreprise, et mauvais dans une autre, car le contexte n'est pas le même, la réglementation non plus, et la surface d'attaque encore moins". Ces immersions peuvent être accompagnées de tests techniques. Toutefois, ceux-ci ne sont pas nécessairement adaptés aux candidats à un poste de RSSI, précise Guillaume Collard : "Pour un poste de RSSI, il faut surtout vérifier que le candidat connaît les normes, les règlements, etc. Il s'agit avant tout de tests de connaissances".
Quant au dernier entretien, qui peut se dérouler avec les ressources humaines, il doit évaluer la personnalité du candidat à l'aune de la spécialité du poste. "Si l'entreprise recherche un profil technique comme l'est un analyste, alors elle doit s'assurer qu'il est curieux, patient et rigoureux. Il n'est pas du tout nécessaire de l'évaluer sur sa capacité à communiquer. En revanche, si l'entreprise recherche un RSSI, alors elle doit évaluer le candidat sur sa capacité à convaincre, à écouter les autres, en plus d'être curieux".