2022 pourrait être une des années les plus difficiles pour recruter dans le secteur de la cybersécurité, selon les prévisions annuelles de Beyondtrust. Le manque de talents entraîne une hausse des salaires dans les grosses structures : 50% des profils gagnent plus de 35 000 euros bruts annuels, mais les 63% les plus rémunérés (75 000 euros ou plus annuels) sont employés dans des structures de plus de 1 000 salariés selon l’Observatoire des Métiers de la cybersécurité. Dans ce contexte, les petites entreprises n’ont ni l’aura nécessaire pour attirer les meilleurs profils, ni les moyens de s’aligner sur les salaires demandés. Pourtant, les besoins sont bien réels.
Toujours un train de retard
Pour certains experts, cette pénurie est en partie liée à l’état de la formation académique. « Même si les formations ont un peu progressé, elles ont toujours un cran de retard par rapport aux technologies qui évoluent très vite et aux hackers toujours plus innovants, regrette Eric Chau, CTO de Datategy, éditeur du logiciel PapAI. Les cours de cybersécurité, proposent beaucoup de théorie, afin d’apprendre aux étudiants à reconnaître les attaques. Il manque le côté pratique, qui doit permettre d’y répondre ! »
En attendant de remettre les formations françaises au goût du jour, pas question d’aller recruter à l’étranger : la pénurie est internationale. « Le besoin de compétences concerne l’ensemble des prestataires de services, les éditeurs de logiciel, les organismes publics et les utilisateurs au niveau mondial », constate Anne Doré, secrétaire générale adjointe de Clusif et en charge du groupe de travail « Cybersécurité, source de diversité et d’inclusion ». Le sujet est déjà transversal aujourd’hui, il le sera encore plus demain, avec l’adoption de toujours plus de technologies à sécuriser – notamment par le biais du déploiement d’objets connectés dans les entreprises.
Des solutions pour les petites structures
Dans ce contexte de raréfaction des profils et d’augmentation des salaires, les entreprises peuvent aussi miser sur des équipes mixtes. « Tous les postes ne demandent pas les mêmes compétences, explique Anne Doré. Certains enjeux de cybersécurité demanderont des profils très pratico-techniques, d’autres plus théoriques, comme ceux qui s’intéressent aux enjeux de gouvernance, de risque ou de conformité. » Autrement dit, certains sujets demandent plutôt d’être formé en stratégie d’entreprise ou aux techniques de veille que d’avoir un profil d’ingénieur. Universités et écoles de commerce donnent la possibilité aux étudiants de se former à ces sujets et permettent de prévenir les risques d’attaques plutôt que d’avoir à y répondre.
Il est aussi possible de miser sur des profils moins experts, et donc moins coûteux pour les entreprises. « À nos débuts, nous avons été confrontés à ce dilemme. Nous avons donc recruté des juniors, que nous avons continué à former en interne pour les faire grandir », témoigne Eric Chau. Cela n’est toutefois possible qu’en acceptant de prendre le temps nécessaire pour jouer le rôle de formateur, ou dédier des ressources (notamment financières) au sujet. Il existe encore d’autres profils, plus abordables que les spécialistes de la cybersécurité. « De nombreux professionnels se reconvertissent dans cette voie », confirme Anne Doré.
Enfin, pour les entreprises qui n’ont pas du tout les moyens de recruter à temps plein, une dernière solution peut s’envisager : le temps partagé. Cette pratique consiste à embaucher un salarié via une structure tierce, sur un temps donné. « Le temps partagé est une bonne réponse pour contrer cette pénurie. C’est un moyen d’acquérir une certaine expertise à moindre coût », avance Jad Joumblat, PDG et fondateur de Securitrust, entreprise spécialisée dans le conseil en informatique. Chez Securitrust, DPO et RSSI sont disponibles en temps partagé à partir d’un jour par mois. « Le vrai défi est alors d’attirer les talents grâce à des missions suffisamment challengeantes », avertit Anne Doré.