Naviguer dans le labyrinthe de la gestion des talents en cybersécurité : un guide pour les passionnés de la gestion des talents

Êtes-vous un CISO, un Talent Manager ou un spécialiste de la cybersécurité ayant pour défi de recruter et de retenir des talents qualifiés en cybersécurité ? Vous n’êtes pas seul.

Le recrutement en cybersécurité devient de plus en plus difficile, avec 4 millions de postes actuellement vacants, soit une augmentation de 13 % par rapport à 2022 (ISC2 2023). Comme l’ont confirmé des études au cours des trois dernières années, ce défi ne fait que s’aggraver, laissant les CISO en difficulté pour recruter, manager et retenir des professionnels qualifiés. Diversifier le vivier de talents est également une priorité, les femmes ne représentant que 25 % du personnel cyber.

Chez Wavestone, nous suivons activement ce sujet et avons développé un benchmark pour évaluer le niveau de maturité des entreprises sur ce sujet. Avec des données provenant de plus de 20 organisations, nous sommes prêts à partager nos idées et observations.

Dans cet article, nous allons plonger dans les résultats et nous concentrer sur des sujets clés tels que le « career path », le recrutement, les formations et les plans de rétention. Et pour ceux qui resteront jusqu’à la fin, une petite surprise vous attend. 😉

Si vous êtes un CISO à la recherche de solutions pratiques ou simplement intéressé par la gestion des talents en cybersécurité, cet article est pour vous. Relevons ensemble ce défi !

 

Un Score Global de Maturité de 45% en Gestion des Talents en Cybersécurité

Le niveau actuel de maturité en gestion des talents en cybersécurité est de 45 %, ce qui indique une marge d’amélioration significative dans ce domaine émergent. L’écart entre les scores les plus bas et les plus élevés varie de 27 % à 62 %.

Sur une note positive, il existe des performances solides dans chaque domaine, ce qui suggère que les entreprises peuvent tirer parti du partage des meilleures pratiques. L’objectif ultime est de constituer des équipes de cybersécurité compétentes et résilientes.

 

 

Le secteur de l’énergie a le niveau de maturité le plus élevé, tandis que le secteur public et les institutions ont le niveau le plus bas. Le graphique ci-dessus compare les niveaux de maturité de divers secteurs sur une échelle de 0 à 100 %. Les secteurs incluent l’énergie (58,2), le luxe et la vente au détail (52,4), les services (50), les finances (45,9), l’industrie (47,2) et le secteur public et les institutions (36,1).

 

Développer un Career Path pour Offrir des Perspectives de Croissance aux Talents

Le domaine de la cybersécurité fait face à une pénurie évidente de talents. En 2023, 4 millions de postes en cybersécurité étaient vacants, et ce chiffre continue d’augmenter. Les organisations ont un véritable défi à relever pour retenir leurs talents en cybersécurité et en attirer de nouveaux. Pourtant, un « career path » bien défini pourrait les y aider. Du point de vue des ressources humaines, il permet aux individus de prendre en charge leur propre développement, sert de cadre pour l’auto-évaluation des compétences et des axes de développement, et soutient l’épanouissement personnel. Cependant, la mise en place d’un « career path » efficace nécessite une planification minutieuse et peut prendre plus d’un an à être implémenté.

Lors de nos entretiens avec des CISO et des Talent Managers en cybersécurité, nous avons observé que bien que 66 % des organisations aient lancé des initiatives pour construire leur premier « career path » en cybersécurité, ces efforts ne sont pas encore pleinement matérialisés.

Voici des conseils d’organisations leaders sur le marché… Référentiel métiers : développez une liste détaillée de tous les rôles en cybersécurité, incluant les responsabilités et les exigences. Cartographie des compétences : identifiez les compétences essentielles pour chaque rôle et créez une matrice des compétences pour repérer les lacunes et les besoins futurs. Catalogue et cartographie des formations : alignez les programmes de formation avec les rôles ou les compétences spécifiques pour s’assurer que les employés soient bien préparés à exceller dans leurs rôles.

 

Exemple concret basé sur une mission client…

• Dans un projet client, après plusieurs phases de revues et d’ateliers sur les référentiels métiers et compétences en cybersécurité, nous avons identifié 11 nouvelles compétences en cybersécurité et 6 nouveaux métiers en cybersécurité, et les avons intégrés dans les référentiels. Cela a ensuite conduit à la création d’un premier « career path » dédié à la division cybersécurité.

Un « career path » bien défini est la pierre angulaire de la gestion des talents et représente un avantage stratégique pour les organisations en matière de rétention et d’attraction des talents, incitant de nombreuses entreprises à passer à l’action.

 

Conseils pour Diversifier Votre Pool de Recrutement

Le pool de talents en cybersécurité est à la fois limité et peu diversifié, ce qui rend le recrutement un défi crucial pour les organisations. Bien que les femmes représentent 50 % de la population mondiale, elles ne constituent que 25 % des professionnels de la cybersécurité (ISC2 2023). Cela souligne le besoin urgent de stratégies de recrutement plus inclusives.

De nos jours, les descriptions de poste traditionnelles exigent souvent trop, dissuadant ainsi les candidates potentielles. Seules 27 % des organisations les ont adaptées. Les études montrent que les hommes postulent s’ils remplissent 60 % des critères, tandis que les femmes attendent souvent de répondre à 100 % des exigences. Réécrire les descriptions pour les rendre plus inclusives, avec l’apport de relectrices, peut élargir leur attrait.

De plus, peu d’entreprises se concentrent sur l’image de marque interne (5 %) ou externe (22 %), alors que ces stratégies fonctionnent. Une image de marque transparente et une communication claire peuvent contribuer à démystifier les rôles en cybersécurité, attirer un pool de talents plus diversifié et renforcer la mobilité interne, faisant d’elles des outils de recrutement précieux.

Voici des conseils d’organisations leaders sur le marché… Descriptions de poste : créez ou révisez les descriptions de poste pour qu’elles soient accessibles et inclusives. Et n’oubliez pas de vérifier que vous ne demandez pas 10 certifications 😉. Relecture par une femme : faites relire les descriptions de poste par une employée pour garantir leur inclusivité. Stratégie de marque interne et externe : développez une marque qui met l’accent sur la diversité et l’inclusivité, collaborez avec des universités, des associations, et utilisez des modèles féminins pour promouvoir la cybersécurité. Formation au recrutement : formez votre équipe aux méthodes de recrutement inclusives pour améliorer la diversité.

 

Offrir des formations pour réduire les écarts de compétences au sein de votre organisation

Les écarts de compétences en cybersécurité sont un problème majeur, 92 % des professionnels signalant des lacunes et 75 % trouvant le paysage cyber actuel plus menaçant que jamais (ISC2, 2023).

Notre benchmark montre que seulement 33 % des entreprises disposent d’un catalogue de formations cartographié selon les compétences, et 94 % abordent la formation de manière réactive, en fonction de la demande. Cette approche réactive peut entraîner des loupés pour un développement proactif des compétences. Une formation efficace est essentielle pour doter les employés des compétences nécessaires pour faire face aux menaces et aux tendances en constante évolution de la cybersécurité.

Voici des conseils d’organisations leaders sur le marché… Catalogue de formations : créez un catalogue de formations détaillé qui s’aligne sur les compétences et les rôles en cybersécurité, en utilisant diverses plateformes d’apprentissage (par exemple, Pluralsight, LinkedIn Learning, MOOC gratuits sur le site du centre national de compétences, etc.). Allocation de temps et de budget : consacrez du temps et un budget spécifique à la formation des employés pour montrer l’engagement de l’organisation envers l’apprentissage continu et le développement des compétences.

 

Exemples concrets basés sur une mission client…

• Parcours de formation automatisés : mise en place d’un outil automatisé capable de générer des parcours de formation personnalisés en fonction des besoins et du niveau de compétences des employés.
• Catalogue de formation consolidé : un catalogue de formation unifié, cartographié selon les 17 nouvelles compétences en cybersécurité et 16 nouveaux rôles en cybersécurité, offrant une feuille de route claire pour le développement des employés.

 

Améliorer la Rétention Grâce à une Collaboration Efficace avec les Ressources Humaines

Collaborer étroitement avec l’équipe des ressources humaines pour créer un plan de rétention solide est essentiel pour le succès de l’organisation. Bien que de nombreuses entreprises disposent de processus pour soutenir le développement des talents, ceux-ci ne sont souvent pas formalisés, ce qui provoque des difficultés dans la gestion quotidienne.

Les organisations doivent commencer par évaluer les compétences et les forces uniques de chaque membre de l’équipe et déterminer comment les utiliser au mieux pour atteindre les objectifs de l’organisation. La réalisation d’entretiens individuels est précieuse à cet égard. Les managers peuvent ainsi obtenir des informations sur le stade de carrière actuel de chaque employé et ses aspirations futures. Ces informations permettent de concevoir des plans de développement personnalisés alignés sur leurs objectifs.

Cependant, il est important de se rappeler qu’un plan de rétention n’est pas une solution unique. Il doit être flexible et adaptable, capable d’évoluer en fonction des besoins changeants de votre équipe et du paysage de la cybersécurité. En travaillant avec les ressources humaines pour mettre en œuvre un plan sur mesure et adaptable, vous vous assurez que vos talents en cybersécurité se sentent valorisés, motivés et engagés. N’oubliez pas qu’une rétention efficace est tout aussi cruciale que l’attraction des meilleurs talents, alors faites de la collaboration stratégique avec les ressources humaines un élément clé de votre stratégie de gestion des talents.

Voici des conseils d’organisations leaders sur le marché… Pilotage de la rétention des employés : consacrez du temps à définir vos objectifs de rétention, vos KPI et des actions concrètes. Une seule organisation a mis en place un moment de leadership trimestriel (1 jour par trimestre) pour se concentrer sur les individus et discuter de l’évolution de l’équipe. Évaluations des talents : consacrez du temps (entretien annuel) pour créer une relation de confiance et évaluer les compétences, la performance et le potentiel des professionnels de la cybersécurité. Seules 5 % des entreprises ont intégré ce processus dans leur stratégie de gestion des talents en cybersécurité.

 

Framework A²BCⁿ : Un Framework pour Prendre Soin de vos Talents et Sécuriser votre Organisation

 

En conclusion, prendre soin des talents est essentiel pour sécuriser votre organisation. Le framework A²BCⁿ offre une approche structurée pour y parvenir. En se concentrant sur l’évaluation et l’attraction des talents, la construction de la confiance avec vos talents, et le soin et le développement de votre équipe, cette approche mixte, combinant des stratégies de cybersécurité et de ressources humaines, garantit une équipe efficace et résiliente, prête à relever les défis de demain.