Le recrutement en cybersécurité était autrefois difficile. C’est désormais un goulot d’étranglement qui ralentit tout. Les menaces continuent d’augmenter et les cyberattaques ne diminuent pas non plus. C'est pourquoi les équipes ont du mal à suivre le rythme, car le vivier de talents ne croît pas assez vite.
Cet écart n’est pas non plus minime. Dans le rapport Global Cybersecurity Outlook 2024 du Forum économique mondial, 71 % des organisations ont déclaré avoir des postes non pourvus en matière de cybersécurité, et beaucoup ont déclaré que les pénuries restaient leur plus grand obstacle à la construction de défenses plus solides. Le problème ne réside pas seulement dans le recrutement de personnel, mais également dans la création d’une main-d’œuvre en cybersécurité capable de protéger les systèmes critiques. [1]
Si vous embauchez aujourd’hui, vous n’êtes pas seulement en concurrence avec d’autres entreprises. Vous êtes en concurrence avec du temps, de la pression et un processus qui n'a pas été conçu pour ce marché.
Les vieilles habitudes de recrutement font fuir les bons talents
Une grande partie du recrutement en cybersécurité se fait toujours comme en 2015. Les offres d'emploi exigent une expérience irréaliste, de longues listes d'outils et des titres qui ne correspondent pas au poste. C'est là qu'interviennent les filtres obsolètes de formation en cybersécurité, même lorsque le poste ne nécessite pas de diplôme formel. Les candidats forts sont écartés parce que leur expérience ne correspond pas au modèle.
Si vous recrutez pour des postes en cybersécurité, la rapidité est plus importante que la plupart des équipes ne l'admettent. Un processus lent ne signifie pas seulement un document ouvert. Cela signifie que votre équipe actuelle subit une pression supplémentaire et fait plus avec moins, tandis que les offres d'emploi en cybersécurité restent inactives. Cela signifie également que les meilleurs candidats avancent rapidement, surtout lorsque le processus de recrutement comporte trop de retards et d'étapes peu claires.
Les diplômes comptent moins que le jugement dans le monde réel
La cybersécurité n'est pas un domaine où un CV raconte toute l'histoire. Un candidat peut lister les certifications en cybersécurité tout en ayant des difficultés dans des situations réelles. Les employeurs commencent à rechercher des personnes capables de penser clairement sous pression, de prioriser la gestion des risques et d'expliquer ce qui compte. C'est plus difficile à simuler et plus facile à croire.
Vous voyez désormais de plus en plus d'équipes de recrutement poser des questions pratiques. Comment réagiriez-vous si des données sensibles étaient exposées ? Comment les contrôles réels sont-ils validés par rapport aux normes de sécurité internes ? Ces entretiens révèlent également si quelqu'un comprend le travail derrière des rôles tels qu'analyste en sécurité de l'information ou analyste de logiciels malveillants, plutôt que seulement le titre. Lorsqu’un candidat peut bien répondre, cela indique plus qu’une longue liste d’outils de cybersécurité ne le pourrait jamais.
Les rôles à distance et flexibles font désormais partie de l'accord
Le travail de cybersécurité n’est pas lié à un bureau. Les alertes n'attendent pas les heures de bureau et le travail d'intervention ne se soucie pas de l'endroit où quelqu'un est assis. C'est pourquoi la flexibilité fait partie de ce qui permet de pourvoir les postes, en particulier pour les candidats qualifiés qui ne démarrent pas leur carrière à partir de zéro et qui savent ce dont ils ont besoin pour rester productifs.
Si votre entreprise insiste toujours pour embaucher exclusivement pour les bureaux, vous réduisez délibérément votre vivier de talents. De nombreux candidats solides ne postuleront même pas lors de la recherche d'emploi, surtout si vos critères bloquent quelqu'un en dehors de leur ville. D’autres postuleront pour un emploi mais partiront une fois qu’ils auront trouvé une meilleure configuration ailleurs. Les options à distance accélèrent également le recrutement car la planification est plus facile et vous pouvez atteindre des talents en dehors de votre zone locale.
Les employeurs veulent des spécialistes capables de s'approprier le travail
Les entreprises sont de plus en plus précises sur leurs besoins. Ils ne veulent plus de soutien général en matière de sécurité. Ils recherchent quelqu'un qui peut prendre en charge un domaine tel que la sécurité du cloud, la réponse aux incidents, la sécurité des applications ou la gouvernance, y compris un travail plus approfondi en matière de sécurité des infrastructures. C'est la différence entre pourvoir un poste et renforcer une équipe.
Ce niveau de concentration est logique lorsque la demande continue d’augmenter. Les offres d'emploi mondiales en cybersécurité ont augmenté de 350 %, passant de 1 million d'ouvertures en 2013 à 3,5 millions en 2021, et le nombre de postes ouverts est resté à 3,5 millions jusqu'en 2023, dont plus de 750 000 aux États-Unis. Si vous recrutez dans des entreprises privées, ce niveau de spécialisation devient la norme et non l'exception. [2]
Lorsque l'embauche est si compétitive, les employeurs ne peuvent pas se permettre des rôles vagues ou des recrutements généraux qui nécessitent une direction ferme. Ils veulent des spécialistes capables d’intervenir, de prendre en charge le travail et de renforcer rapidement l’équipe. Des stratégies de sécurité claires et une propriété définie facilitent également l'intégration, car le rôle n'est pas une cible mouvante. C'est aussi ce qui soutient le développement professionnel à long terme des personnes que vous embauchez.
Le processus de recrutement est de plus en plus court et plus ciblé
Le recrutement en cybersécurité devient plus pratique. Les entreprises réduisent les cycles d’entretiens et resserrent les délais. Ils remplacent également les questions génériques par des scénarios réels pour tester la prise de décision. C'est une meilleure utilisation du temps pour toutes les personnes impliquées.
Les descriptions de poste évoluent également. Une description de poste solide est conçue pour obtenir le bon résultat, et non le résultat le plus rapide. Il est tentant de recycler un ancien message pour une fonctionnalité similaire, mais ce raccourci peut se retourner contre vous. Si vous attirez les mauvais candidats ou si vous présentez le poste de manière incorrecte, vous créez des problèmes qui prendront beaucoup plus de temps à résoudre. [3]
Les meilleurs JD sont clairs sur leur rôle correspondant, à quoi ressemble l'équipe et ce qui est attendu au cours des premiers mois. Ils indiquent également la catégorie d'emploi appropriée afin que les candidats sachent s'il s'agit d'un poste de haut niveau ou d'un poste de débutant avec une marge d'évolution. Lorsque le champ d'application est clair, vous êtes plus susceptible d'attirer des personnes qui comprennent les cheminements de carrière en cybersécurité et qui peuvent adapter leur expérience aux besoins réels du poste.
En conclusion
Chaque poste vacant en cybersécurité exerce une pression sur le reste de l’équipe et augmente les risques dans toute l’entreprise. C'est le véritable coût d'une embauche lente. Si votre processus repose sur des délais longs et des exigences rigides, vous continuerez à perdre de bons candidats. L'embauche devient plus facile lorsque la portée du poste est claire, que le cycle d'entretien est serré et que la flexibilité est considérée comme un élément normal du poste.
Références :
- “Près de 4 millions d'emplois en cybersécurité ne sont pas pourvus – voici pourquoi vous devriez envisager de vous lancer dans ce secteur”, Source : https://www.forbes.com/sites/jackkelly/2024/08/16/nearly-4-million-cybersecurity-jobs-are-vacant-heres-why-you-should-consider-breaking-into-this-sector/
- “Rapport sur l'emploi en cybersécurité : 3,5 millions d'offres d'emploi en 2025”, Source : https://apnews.com/press-release/ein-presswire-newsmatics/technology-steve-morgan-ein-presswire-newsmatics-2c99c00b8673966bde5eca81f6535320
- “Il est temps d'abandonner les descriptions de poste traditionnelles. Voici pourquoi et ce que les entreprises devraient faire différemment.” Fontaine: https://www.entrepreneur.com/growing-a-business/why-traditional-job-descriptions-arent-cutting-it-anymore/484657
