Comment recruter vos experts en cybersécurité ?

par

Edmond Kean

Comment recruter vos experts en cybersécurité ?

 

La grande démission, qui fait couler beaucoup d’encre à l’heure actuelle, pèse notamment sur les catégories d’emploi en pénurie dont celles de la cybersécurité. Au niveau mondial, selon le nouveau rapport d’enquête de l’ISACA (Information Systems Audit and Control Association), 62% des entreprises interrogées ont des postes vacants ou des équipes de cybersécurité en pénurie d’effectifs, tandis que 60 % rencontrent des difficultés à retenir les professionnels qualifiés du secteur. Alors même que les besoins en experts en cybersécurité n’ont jamais été aussi importants, les candidats manquent. 

 

Alors comment recruter ces experts ? Quels profils peut-on attendre ou exiger ?

 

Côté français, après avoir sorti en 2020, son panorama des métiers de la cybersécurité, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a livré, en octobre 2021, les fruits de son enquête sur les profils de la cybersécurité.

 

Les résultats sont intéressants, car montrant à la fois l’état actuel du marché français concernant les professionnels du secteur mais aussi en éclairant sur les attentes et demandes des entreprises.

 

Grâce à cette enquête, vous pouvez donc mieux appréhender qui sont les experts que vous souhaitez embaucher ou recruter.

 

Décryptons ensemble ces profils.

 

AdobeStock_474493985

 

Talents en cybersécurité : une pénurie continue

 

Après la croissance d’assauts cyberpirates en 2020 et 2021, dans le contexte particulier de la pandémie avec la mise en place du télétravail et la digitalisation accélérée des entreprises, la nécessité d’équipes de cybersécurité pour protéger les entreprises s’est révélée prioritaire. Si de nombreux postes ont été pourvus, des efforts restent à faire.

 

Selon les chiffres d'une étude réalisée par l’association (ISC)2, il manquerait encore 1,8 millions d'experts en cybersécurité dans le monde pour 2022, tandis que pour la France, on parle de plus de 5000 postes à pourvoir.  

 

Ce décalage actuel entre les besoins et les effectifs s’explique par de nombreux facteurs :

 

  • Une image caricaturale peu inspirante

Souffrant d’une image de « geek » surveillant 24H/24 et 7J/7 sur un écran des lignes de code, la profession d’experts en cybersécurité ne suscite pas beaucoup de vocations. Quant aux médias qui invitent des experts du domaine, ils ne font que renforcer cette mauvaise impression avec un langage cyber inaccessible et trop technique.

 

  • Une profession méconnue et mal valorisée

La cybersécurité est un secteur peu connu de par son boom récent l’inscrivant dans une forme de nouveauté floue. Au final, très peu de personnes en connaissent les tenants et les aboutissants. Difficile alors de se projeter dans un métier qu’on ne connait pas et dont peu vantent les avantages ou les modalités.

 

  • Une formation longue et continue

On parle souvent de “génération connectée”, concernant les nouvelles générations, mais la réelle facilité d’usage des outils informatiques et des réseaux sociaux que l’on observe chez eux n’en font pas des experts informatiques pour autant : il ne faut pas confondre utilisateurs et concepteurs. Devenir expert en sécurité informatique, c’est faire le choix d’un parcours d'études bac +4/5. Cela implique de maîtriser et de réactualiser sans cesse de nombreuses compétences techniques : langages de programmation, technologies des réseaux, systèmes d’exploitation, virtualisation, architecture Web, Big Data, Cloud, etc.

 

  • Les formations et formateurs manquent

S’il existe désormais des campus et des filières qui proposent des formations en cybersécurité, cela n’a pas toujours été la priorité des universités ou des écoles d’ingénieurs. Là aussi, un décalage entre les besoins et les formations existantes reste à combler.

 

Le défi du recrutement cybersécurité pour les entreprises

 

Résultat de cette situation : pourvoir les postes de cybersécurité et retenir les Talents continue d’être un défi pour de nombreuses entreprises. Au niveau mondial, le constat est sans appel selon le rapport de l’ISACA : les postes vacants ont augmenté de 8% par rapport à 2021.

 

Et lorsque des candidats répondent à l’appel, il faut savoir s’armer de patience : une entreprise sur cinq déclare qu’il faut plus de six mois pour trouver des candidats qualifiés afin de pourvoir les postes vacants.

 

La difficulté ne s’arrête pas au recrutement mais aussi à la rétention des talents car ils sont constamment chassés et sollicités : le rapport indique une hausse de 7 %, des difficultés à retenir les professionnels qualifiés, par rapport à 2021. Les raisons en sont multiples : attirés par de meilleurs salaires ou de plus grandes possibilités d'évolutions voire à la recherche d’un meilleur management…

 

Conséquences ? Plus d’un Talent en poste sur deux n’hésitent pas à accepter les offres d’autres entreprises.


AdobeStock_272612573

 

Anatomie de l’expert en cybersécurité en France

 

Porté par ces problématiques, il est intéressant, pour la France, d'examiner les informations fournies par l'enquête de l’ANSSI sur les enjeux autour de ces profils. “Menée auprès de 2 381 professionnels de la cybersécurité”, l’enquête éclaire les tendances concernant “les profils types, la formation, l’expérience, le recrutement, la rémunération ou encore l’épanouissement au travail”.

 

Quel niveau d'études ou de formation attendre ?

 

Selon les résultats de l’enquête, on observe un haut niveau d’études mais peu de spécialistes en cybersécurité.

 

  • Plus de 75% possèdent un diplôme ou un niveau de qualification supérieur ou égal à bac +5 (master, diplôme d’école d’ingénieur, DESS, DEA). Cela dépasse même les 80 % dans les entreprises dont le le cœur de métier est la cybersécurité.

  • Parmi eux, 53,4% ont un diplôme et/ou une certification dans le domaine de la cybersécurité.

  • Ce sont les moins de 30 ans qui sont les plus diplômés en spécialité cybersécurité et notamment en formation initiale (71%).


Cependant, l’accès au secteur n’est pas uniquement réservé aux plus qualifiés :

 

  • Plus de 20% ont un niveau allant de Bac +2 à Bac +4


A noter : le domaine d’expertise pour 48 % des professionnels se situe dans le domaine de l’informatique/numérique et non dans la cybersécurité. Un tiers seulement des interrogés le sont.

 

Les formations initiales en cybersécurité dans les université ou les grandes écoles étant récentes, ces résultats n'ont donc rien de surprenant. Beaucoup ont suivi un cursus plus généraliste en informatique/numérique pour ensuite s’orienter vers la cybersécurité

 
 

Source : https://www.ssi.gouv.fr/uploads/2021/10/anssi-les_profils_de_la_cybersecurite-enquete_2021.pdf

 

Observation importante à signaler, nombreux encore sont ceux qui n’ont ni diplôme ni certification en cybersécurité :

 

  • Plus de 46 % des professionnels n’ont ni diplôme ni certification spécialisés en cybersécurité ( plus de 62% dans les structures non spécialisées en cybersécurité).

 

Ce qui tend à démontrer plusieurs éléments : d’abord une situation passée avec un manque de formation dans ce secteur de la cybersécurité qui pèse encore aujourd’hui. Ensuite, un intérêt réel mais récent pour ce secteur nouveau, issu du boom digital, avec le développement de formations initiales spécialisées dans les universités ou grandes écoles. Cette situation amène alors, sur le marché, une nouvelle génération de jeunes diplômés spécialisés en cybersécurité contrairement aux décennies précédentes.

 

Un secteur professionnel dynamique

 

page2image999760416
 

Source : https://www.ssi.gouv.fr/uploads/2021/10/anssi-communique_presse-observatoire_des_metiers.pdf

 

La cybersécurité est un domaine qui se caractérise par une forte intégration de nouveaux profils : près d’un professionnel sur deux (45%) a 5 ans et moins d’expérience en cybersécurité ! On ne peut pas mieux témoigner de la croissance dynamique et récente de ce secteur.

 

Point important, l'accès aux métiers de la cybersécurité peut se faire à tout âge :

 

  • 47 % des nouveaux entrants ont moins de 30 ans

  • 29,3 % sont, à contrario, âgés de 40 ans et plus.


Les reconversions dans le secteur de la cybersécurité sont donc possibles même si, en général, les professionnels du secteur ont entre 30 et 49 ans.

 

On observe alors la présence de deux catégories de salariés : d’un côté, les jeunes diplômés, souvent avec une formation initiale en cybersécurité et de l’autre, les plus anciens, issus du monde informatique et en reconversion pour combler les besoins du secteur. Ces plus anciens, sans formation/diplôme spécifique en cybersécurité, ont appris sur le tas ou par un apprentissage interne dans l’entreprise.

 

L’enquête précise :

 

  • 71 % des moins de 30 ans ont obtenu leur diplôme spécialisé en cybersécurité en formation initiale

  • 51 % parmi les nouveaux entrants n’ont ni diplôme, ni certification en cybersécurité

 

Cela témoigne de deux choses :

 

  • Les nouvelles générations sont de plus en plus diplômées en cybersécurité

  • L’absence de barrières concernant les diplômes ou formations au vu de la situation et des besoins du secteur

 

“ La clé est la flexibilité. Que ce soit en élargissant les recherches pour inclure des candidats sans diplôme ou en fournissant un soutien, des formations et des horaires flexibles capables d’attirer et de retenir les Talents qualifiés, les organisations peuvent faire avancer les choses en renforçant leurs équipes et en comblant les lacunes en matière de compétences “ a déclaré Jonathan Brandt, directeur des pratiques professionnelles et de l’innovation au sein de l’ISACA.

 

Dans ces conditions et pour se maintenir à jour en compétences ou se former, les professionnels s’appuient alors sur :

 

  • La veille et les réseaux professionnels (87 %)

  • l’autoformation (85 %)

  • La formation continue (32%)

 

Où sont les femmes ?

 

 

Source : La cybersécurité fait face à une pénurie de talents constante

 

Résumons : quel est le profil type du professionnel en cybersécurité en France ?

Il s’agit d'un homme entre 30 et 49 ans travaillant dans le secteur privé, en Île-de-France, avec un niveau bac +5.

 

En 2021, les femmes ne représentaient que 25 % de la main-d'œuvre mondiale en matière de cybersécurité. Microsoft estime, de son côté, à 62 000 le nombre de professionnels de la cybersécurité en France dont 18 %  de femmes seulement.

 

Ce ne sera une surprise pour personne, les résultats de l’enquête française montrent que les professionnels sont très majoritairement des hommes (89%) avec seulement un peu plus de 10/11% de femmes…

 

A noter : le taux de féminisation est plus important au sein des structures spécialisées (offres de services ou de solutions spécialisées).

 

Mais si l’on veut pourvoir, selon Microsoft, les 2 à 3 millions d'emplois vacants en cybersécurité dans le monde d’ici à 2025, il est problématique de voir encore trop de femmes exclues de ces métiers.

 

Comment expliquer cette situation ?

 

De nombreux préjugés existent encore : d’après l'(ISC)2, une femme interrogée sur trois, dans le monde, associe les professionnels de la sécurité informatique à des « geeks » et perçoivent les métiers du secteur de la cybersécurité et des domaines technologiques, comme plus adaptés aux hommes. Le fait que les études dans ce domaine soient dominées par la présence d’étudiants masculins n’aident en rien les femmes à se projeter dans ce secteur. 

 

Dans ce contexte de pénurie mondiale de talents dans la cybersécurité, la féminisation est ainsi une véritable opportunité ou un défi que doivent vite relever entreprises, pouvoirs publics et monde de l’éducation. 

 

Les profils les plus recherchés sur le marché

 

Actuellement, la répartition des professionnels peut se résumer ainsi : 

 

·       Plus de 58% exercent dans une structure non spécialisée en cybersécurité contre plus de 40% dans une structure spécialisée

·       73 % exercent dans le secteur privé contre seulement 22 % dans le secteur public, 3 % en indépendant ou auto-entrepreneur et 1 % dans le milieu associatif. 

·       44,2% des répondants se regroupent autour de 5 métiers principaux : consultant en cybersécurité, RSSI (Responsable de la sécurité des systèmes d'information), architecte cybersécurité, auditeur de la sécurité technique et Analyste de la menace cybersécurité.

·       Le RSSI est le métier le plus répandu dans les structures non spécialisées, tandis que le consultant est le plus présent parmi celles spécialisées.

 

L’enquête a pu examiner 15 665 offres en cybersécurité sur toute la France et d’en retenir les 5 profils les plus recherchés :

 

  1. Ingénieur en cybersécurité (30%)

  2. Consultant en cybersécurité (12%)

  3. Architecte en cybersécurité (10%)

  4. Analyste en cybersécurité (8%)

  5. Expert en cybersécurité (5%)

 

Point important observé, les 3 premiers profils regroupent plus de 50% des offres du marché ouvert.

 

Le profil d’ingénieur en cybersécurité représente 30,4% des offres d’emploi mais n’est que très marginalement présent parmi les professionnels répondants. En réalité, il s’agit d’un intitulé assez large regroupant plusieurs réalités avec des attentes en termes de niveau de qualification et de compétences techniques adaptées aux besoins actuels des entreprises. On est loin d’une réalité ou d’une identité métier. 

 

A noter : le profil de RSSI, qui correspond par ailleurs au second métier occupé par les professionnels, ne représente que 3,1 % des offres d’emploi.

 

Faut-il recruter via le “marché caché” ou “ouvert” ?

 

Le “marché caché”, aussi appelé “marché invisible” constitue “ toutes les offres d'emploi qui ne sont pas publiées sur les sites d'emploi, par opposition au "marché visible" qui utilise les canaux traditionnels pour recruter des candidats”. “Ce sont, par exemple, tous les recrutements qui résultent de candidatures spontanées, du bouche-à-oreille, de la cooptation, d'une prise de contact sur les réseaux sociaux ou d'une annonce publiée chez votre boulanger”.

 

L’enquête s'est donc intéressée au mode de recrutement des professionnels de la cybersécurité. Le constat est clair, il existe un recours dominant au marché dit "caché" c'est-à-dire via les réseaux professionnels, l'approche directe et les candidatures spontanées : 

 

  • 56 % des répondants déclarent avoir été recrutés via le “marché invisible”, dont plus de 67% dans les structures spécialisées en cybersécurité.

  • Seuls 29 % des répondants ont été recrutés via le marché visible. 

  • 81 % déclarent même avoir été approchés directement au cours des deux dernières années.

 

Pourquoi ?

 

On peut trouver différents éléments expliquant cette situation  :

 

  • La pénurie de Talents qui ne motive pas à chercher dans le marché ouvert

  • Le besoin de Talents expérimentés avec une ancienneté confirmée

  • Le choix de la mobilité interne pour faire évoluer ses propres salariés

 

Pour toutes ces raisons, certaines entreprises préféreront donc user du marché invisible quitte à jouer la carte de la reconversion de leurs Talents dans le domaine informatique vers une spécialisation en cybersécurité.

 

A noter : Cette mobilité interne dans le mode de recrutement est plus présente dans les structures non spécialisées en cybersécurité (17,3%) par rapport aux structures spécialisées (4,6%).

 

Quelle rémunération ?

 
page3image990078448

 

Source : https://www.ssi.gouv.fr/uploads/2021/10/anssi-communique_presse-observatoire_des_metiers.pdf

 

Concernant la rémunération, 50,3% des professionnels français perçoivent une rémunération brute annuelle variable comprise entre 35 000 euros et 64 999 euros/an.

 

A noter: le grand écart  avec 12 % qui perçoivent moins de 35 000€ brut/an tandis que 12 % touchent 100 000 € ou plus brut/an.

 

L’explication de ces variations semble se trouver dans la taille des structures employeurs :

 

  • si vous travaillez dans des structures de moins de 250 salariés, alors vous ferez partie des plus de 40% dans la catégorie des 12% les moins rémunérés (moins de 35 000 €/an)

  • Si vous travaillez dans des structures de 1000 salariés et plus, alors vous ferez partie des plus de 63 % dans la catégorie des 12% les plus rémunérés (75 000 € et plus/an)

 

Ces chiffres se rapprochent de l’enquête Rémunérations à l’ère post-covid ; focus sur le secteur IT, conduite en 2020 par le groupe Hays ou de l'étude sur les salaires dans l’IT et le digital en 2019 et 2020.

 

Il va de soi que ces salaires évoluent en fonction des années et de l’ancienneté ou des postes.


A noter : si le salaire moyen, en France, d’un développeur informatique vient de franchir 35 000-40 000€/an (en moyenne) et semble être en bonne position dans les pays de l’OCDE, on est loin des USA, du Canada ou de la Suisse où un développeur peut espérer aujourd’hui 40k par an (en moyenne selon une étude Codingame et Coderpad), les États-Unis proposent 87 073€, la Suisse 82 151€ et le Canada, presque 65 000€…

 

Le rêve américain a encore de beaux jours devant lui pour les Talents en cybersécurité du monde entier.

 
 

Source : La cybersécurité fait face à une pénurie de talents constante

 

 

Quelles leçons tirer de cette radiographie de nos profils français, experts en cybersécurité ?

 

Une première observation : l'évolution vers un public plus jeune et plus diplômé en cybersécurité est la future tendance du marché. Mais attendre l’arrivée de ces diplômés à Bac+5 est une solution de long terme et ne permet pas, aujourd’hui, de combler les postes à pourvoir.

 

En attendant ces nouvelles générations, issues des nouvelles formations ou écoles, les entreprises font alors appel à des Talents issus du monde informatique mais non spécialisés en cybersécurité. Avec ou sans diplômes/certifications, on n’hésite pas à accepter des salariés prêt à se reconvertir. Cette entrée ou reconversion peut se faire à tout âge dans un secteur où la demande est forte. Les entreprises peuvent aussi, par la suite, encourager leurs équipes ou collaborateurs à se certifier pour couronner cette démarche de reconversion ou de spécialisation.

 

Si le “marché invisible” capte pour l’instant l’essentiel des offres, les années à venir devraient rééquilibrer cette situation avec la venue en force sur le marché des jeunes entrants plus spécialisés dont ont nécessairement besoin les entreprises qui, par défaut, se tournent encore vers leur vivier interne.

 

Cependant la question des salaires va forcément rester épineuse car plus l’on recherche des hauts diplômés, très spécialisés, plus les rémunérations attendues sont élevées. Il faudra donc trouver des compromis sans quoi les départs vers d’autres pays plus généreux en terme de rémunération ou tout simplement vers d’autres entreprises risquent de poser problème.

 

Le marché du secteur de la cybersécurité a de beaux jours devant lui, laissant penser que les pénuries actuelles, sans pour autant disparaitre, sauront vite trouver un point d'équilibre dans les années à venir.

 

Vous êtes intéressés par des Talents en cybersécurité ? Découvrez nos offres

 

Edmond Kean

par Edmond Kean