Alors que 15 000 talents1 spécialistes de la cybersécurité manquent à l’appel, la France ambitionne de créer 37 000 emplois dans le secteur cyber d’ici 20252. Encore peu mature et en mutation constante, le marché de la cybersécurité continue à croître et le besoin d’experts a quasiment doublé en l’espace de 5 ans3. Comment contrer la pénurie des talents, susceptible de brider le développement de la cybersécurité dans les entreprises ? Quelques éléments de réponse.
Des experts de la cybersécurité plus volatiles que jamais
La difficulté est déjà bien connue des organisations : à peine recrutés, les talents cyber sont immédiatement chassés. Non seulement la durée moyenne de recrutement est élevée et coûteuse, mais la question de la rétention se pose fortement dès l’intégration. D’après une étude (ISC)², 31 % des talents cyber ayant quitté une entreprise au cours des deux dernières années souhaitaient avant tout saisir une opportunité professionnelle plus attractive4.
Les causes de cette volatilité dépassent toutefois la seule question du salaire ou du type de poste. En effet, les études pointant un risque accru de burnout chez les professionnels de la cybersécurité se multiplient. L’exposition à un niveau de stress élevé, conduisant parfois à l’épuisement professionnel, pousse également les talents à rechercher des conditions de travail plus favorables. À titre d’exemple, dans l’étude (ISC), 21 % des sondés évoquent le burnout comme principale raison de départ. Et d’ici à 2025, un quart des talents cyber, fuyant un quotidien trop stressant, devraient même changer de métier5.
Mieux appréhender les attentes des talents
Avant même de débuter leur carrière professionnelle, les étudiants émettent des réserves quant à l’attractivité des métiers de la cybersécurité6 :
- près d’un quart notent un déficit de valorisation du secteur,
- 37 % estiment ces professions stressantes,
- 43 % anticipent des difficultés de conciliation vie privée-vie professionnelle.
Ainsi, la question de l’attractivité du secteur, aussi bien pour les futurs talents que pour ceux déjà en poste, s’avère cruciale. Soigner la culture d’entreprise, offrir des conditions de travail flexibles, proposer des opportunités d’évolution, éviter d’isoler le CISO ou le RSSI en faisant porter sur lui seul le risque de cyberattaque… L’attraction et la rétention des talents se travaille en tenant compte des attentes des talents encore en devenir, somme toutes assez lucides sur la réalité du secteur cyber aujourd’hui. Certains points faibles identifiés correspondent en effet aux motifs de départ des professionnels en activité.
Favoriser l’apprentissage en continu des professionnels de la cybersécurité
Les nouvelles menaces ne cessent de se multiplier. Pour cette raison, les talents cyber sont particulièrement conscients de la nécessité de maintenir leur expertise. Leur employabilité en dépend. Reverse-engineering, threat intelligence, pentest… Il est probable que les organisations qui offrent à leurs experts cybersécurité la possibilité de participer à des projets R&D tiennent là un puissant levier de rétention. L’étude (ISC)² le montre : les talents cyber sont très largement passionnés par leur métier.
> À lire aussi
Le facteur humain, au cœur de la cybersécurité
L’incontournable recours à des talents externes
Plus de 60 % des entreprises dans le monde estiment que leurs équipes cybersécurité sont sous-staffées. Et pour cause, des postes restent durablement vacants. En 2022, 36 % des organisations déclaraient avoir un poste de niveau CISO non pourvu, un chiffre qui n’a cessé d’augmenter au cours des 5 dernières années.
En matière de cybersécurité, le recours à l’externalisation est élevé. Près de la moitié des entreprises misent sur des talents et services et externes (70 % en cas de difficultés de recrutement avérées)4. Le management de transition constitue une réponse possible à ce contexte pénurique : combinant réactivité et expertise, cette solution temporaire proposée par des acteurs tels que Valtus peut s’avérer salutaire. Au-delà de la nécessité de réduire le risque de cyberattaque, l’enjeu est également de soulager les équipes en place. En ce sens, le manager de transition devient un acteur de la rétention des talents.
1 Wavestone, mars 2022
2 Stratégie nationale d’accélération pour la cybersécurité
3 Étude Apec Cybersécurité : un marché de l’emploi cadre diversifié et de plus en plus porteur, Juin 2022
4 (ISC)² Cybersecurity workforce study, 2022
5 Étude Gartner, Predicts 2023: Cybersecurity Industry Focuses on the Human Deal, Février 2023
6 Enquête ANSSI, L’attractivité et la représentation des métiers de la cybersécurité, 2022
7 Étude ISACA, State of cybersecurity 2022