Blog

1 juin 2020

Le difficile processus de recrutement du Directeur Cybersécurité

La crise pandémique a provoqué une augmentation des cyberattaques particulièrement dans les entreprises en télétravail. Pour faire face aux attaques, dans de nombreuses entreprises, recruter un Directeur Cybersécurité est fondamental, un processus loin d’être simple. 

Par Michel Juvin, Expert Cybersécurité, et Christophe Mombazet, Responsable du pôle IT, SI et CyberSécurité chez Taste.

Afin de réduire au mieux l’exposition aux cyber-risques, près de 51% des entreprises prêtent attention à leur organisation ainsi qu’à leur effectif d’experts en cybersécurité. Ceci fait suite à la publication par le CESIN du baromètre de la cybersécurité en janvier 2020 [1]. Ce besoin pour l’entreprise doit être piloté par un Directeur Cybersécurité situé au plus haut dans l’organisation. Il est fondamental de considérer que le sujet cyber est global à l’entreprise et n’est pas restreint à la DSI. 

La première étape consiste à recruter du personnel au niveau Direction pour coordonner les mesures prises afin de protéger l’information de l’entreprise. 

Pour répondre aux risques, il faut commencer par analyser l’évolution de l’organisation afin d’établir le recrutement (ou la promotion en interne) du Directeur Cybersécurité. Le directeur Cybersécurité, une fois recruté et positionné, sera un élément efficace dans la réduction des risques cybers. Son rôle dans la gestion des risques liés au capital informationnel et son positionnement, nécessite une adaptation de l’organisation interne, des changements qui ne sont pas toujours faciles à intégrer par le Comité de Direction. 

Le Directeur en Cybersécurité se charge de : 
  • La surveillance des vulnérabilités liées à l’infrastructure technique mais aussi aux modes de fonctionnement ou encore à la sous-traitance, relatives à la gestion de l’information de l’entreprise, 
  • La mise en place de l’organisation (ressources humaines) qui maintient en condition opérationnelle de sécurité les infrastructures et services de l’entreprise à l’aide de procédures de sécurité, 
  • La production du tableau de bord de suivi des actions de réduction des vulnérabilités et de l’exposition aux cyber-attaques, 
  • La veille technique et fonctionnelle pour être en mesure d’anticiper une éventuelle attaque ou défaillance des services de l’entreprise, 
  • La communication / formation / sensibilisation de tous les employés à la protection du capital informationnel. 

Le positionnement du Directeur Cybersécurité est souvent fonction de l’activité de l’entreprise. Il est important de prendre en considération l’importance de l’information. Plus elle est importante pour la vie de l’entreprise et plus une organisation composée de plusieurs personnes sera désignée pour protéger ce capital informationnel. Les moyens déployés sont proportionnels à la prise de conscience de la valeur des données et des risques encourus par la cybercriminalité. 

Une fois positionné, le Directeur Cybersécurité devra identifier et définir le rôle des autres employés qui eux aussi contribuent à la protection de l’information. Ces personnes appartiennent majoritairement à la DSI ou sont en prestation de services, services définis par les contrats de sous-traitance de la DSI. 
Parfois, le Directeur Cybersécurité est rattaché à la Direction Informatique et dans ce cas il est nécessaire qu’il ait à minima un rôle transverse dans l’entreprise. 

Les entreprises ayant acquis une sensibilité aux cyber-risques, disposent de plus en plus d’un « département de gestion des risques » composé de plusieurs représentants qui travaillent tous ensemble avec des actions suivies, contrôlées et rapportées au plus haut niveau de management. On y trouve des représentants de la Cybersécurité, de l’Audit, du Contrôle Interne (s’il existe), de la Direction Juridique, de la gestion de la finance/assurance, de la gestion de la sécurité physique, et parfois de représentants métiers ainsi que de la Direction Informatique. Le représentant de ce « département de la gestion des risques » doit préférablement siéger au comité de Direction de l’entreprise. 

Les clefs de la réussite à la protection de l’information sont la transversalité et la mise à disposition des moyens nécessaires. 

Le renseignement ou la validation des acquis du candidat


Le recrutement de la bonne personne est donc stratégique pour l’entreprise pour laquelle il faut définir en amont, le contexte et les enjeux. 

Chez Taste, le Responsable du Pôle IT/Cyber a accompagné de nombreuses grandes entreprises dans le recrutement de profils cybers dont plusieurs Directeurs Cybersécurité pour de grands groupes et des ETI. 
Un constat s’impose : les besoins sont très différents d’une entreprise à l’autre même si la démarche globale reste la même. 
Ces recrutements sont difficiles du fait de la pénurie de talents. La demande est forte et les bonnes compétences se font rares. L’objectif est de trouver la bonne personne, celle qui aura le meilleur profil avec le bon savoir-faire (hard skills) et le bon savoir-être (soft skills). 

Les hard skills s’évaluent par l’analyse de différentes informations: formation initiale et continue, certifications, analyse de la carrière, tests techniques, prises de références … 
Les soft skills sont fondamentaux pour ce poste très transverse qui sera confronté à de fortes résistances au changement. Pour bien les évaluer, il faut définir en amont, les savoir-être indispensables au poste puis vérifier si le candidat dispose de ces qualités. Les savoir-être changent selon le contexte. 

Les soft skills s’évaluent dans le cadre des entretiens de sélection, dans le cadre de la prise de référence et à l’aide d’outils. Tout d’abord, il convient de noter que les prises de références, moyen historique d’obtenir de l’information sur les candidats, ne peuvent se faire sans l’accord explicite de ceux-ci. 
Concernant les outils, chez Taste , le travail de séléction s’effectue avec Assessfirst, plateforme rapide et puissante capable d’évaluer un profil. Le processus est réalisé sous la forme d’un test de personnalité à la suite duquel le candidat reçoit ses résultats. Le debrief se fait par le consultant. En plus de dégager un inventaire de personnalité, ce test permet de mettre en lumière les principaux drivers de motivation et les comportements clefs du candidat. Pour obtenir une évaluation pertinente, l’analyse doit être la plus fine possible avec une exposition au préalable du contexte du recrutement.. 

Cette analyse permet bien souvent de choisir la bonne personne parmi les finalistes, en rendant la décision la plus factuelle possible. Cette dernière étape peut être également l’occasion d’une compétition entre les candidats par le biais de la présentation de leur proposition de valeur avec une feuille de route. La validation de cette feuille de route sera très utile au moment de la prise de fonction tout comme l’expertise du recruteur qui saura vérifier les acquis ou décèlera d’éventuelles incohérences. Cette expérience du recruteur est essentielle pour confirmer la logique du parcours du candidat et son adéquation avec les attentes pour la fonction et de l’entreprise. 

Cependant, certains cabinets de chasse de tête ont tendance à sous-traiter à des indépendants ou à des solutions informatiques qui vérifient automatiquement les compétences demandées car le nombre de candidats à examiner est important. 

Face à la vitesse d’évolution des technologies et des méthodes dans le domaine de la cybersécurité, la question des diplômes se pose. Cette évolution rend rapidement caduques les formations de plus d’une dizaine d’années. Elon Musk indiquait récemment: “I don’t care if you even graduated high school” [2]. Seule une analyse précise de l’expérience du candidat pourra être retenue. Peut-être qu’enfin une approche plus anglo-saxonne dans ce domaine sera acceptée par les recruteurs : à savoir, analyser le parcours plutôt qu’un diplôme datant de plus de 10 ans ! 
L’important est de comprendre si le candidat a bien intégré l’objectif et les principes de la formation ainsi que sa fonction dans l’entreprise, qui lui aura permis de développer de réelles compétences dans le domaine. 

Les compétences du Directeur Cybersécurité


Beaucoup de compétences techniques, fonctionnelles et personnelles sont nécessaires pour assurer ce rôle dans les entreprises. Le CESIN a publié une longue liste des fonctions du Directeur Cybersécurité qui mérite d’être lue [3]

Le recrutement du Directeur Cybersécurité sera influencé par l’activité, la taille et/ou l’exposition aux risques cybers de l’entreprise. 

Le candidat devra notamment avoir eu un parcours qui lui permette de comprendre et maîtriser la technologie, surtout dans le domaine de l’infrastructure afin d’être capable d’orienter/ de conseiller sur les choix technologiques et les paramétrages appliqués sur les solutions techniques mises en place par les équipes IT. Pour cela, il existe des formations théoriques. Il doit surtout rester en contact avec des experts y compris avec les fournisseurs, qui vont lui permettre d’avoir une position avisée sur ces choix technologiques grâce à leur discours et présentations de nouvelles solutions techniques. 

Sur le plan fonctionnel, il faut examiner le parcours professionnel du candidat et vérifier qu’il maîtrise le fonctionnement standard de l’entreprise et de son organisation. Une bonne connaissance des procédures de cybersécurité est nécessaire car il aura certainement à les mettre en œuvre pour aider à l’acquisition des étapes de la cyber-maturité. 
Enfin, sur le plan des « softskills », l’intelligence émotionnelle s’avère de plus en plus essentielle pour bien assimiler les enjeux humains et organisationnels. Les qualités nécessaires sont principalement, l’empathie, l’écoute, la communication, ainsi qu’un certain charisme pour devenir le référent cyber de l’entreprise. 

La confidentialité des informations 


Lors d’un échange entre un candidat et un recruteur, le candidat donne l’accès à son CV, sa lettre de motivation… Depuis le 25 mai 2018, nous avons tous conscience des données à caractère personnel contenues dans ces documents. Les recruteurs et DRH, sont soumis à l’application de la nouvelle réglementation. Il est impératif, pour le cabinet de recrutement ou la RH de l’entreprise, de supprimer ou de rendre anonyme les données identifiantes recueillies lors des campagnes de recrutement après deux ans (ou re-solliciter l’accord du candidat pour les conserver pour deux nouvelles années) hormis un consentement par défaut du candidat. 

Le salaire de référence et l’expérience du candidat 


Les salaires des Directeurs Cybersécurité varient en fonction de l’ancienneté et tourne autour de 100K€ d’après l’étude de rémunération 2020 du site Robert Walters [4]. Parfois, on constate que plus d’ancienneté (> 15 ans) est moins bien rémunérée … ce qui est peu compréhensible alors que l’expérience est absolument nécessaire dans cette fonction. Ces études ne sont pas représentatives des salaires constatés auprès de la communauté des Experts en Cybersécurité. 

Le salaire des Directeurs Cybersécurité expérimentés est en moyenne entre 100K€ et 200K€+ et varie en fonction de la taille de l’entreprise (dimension internationale ou non) et le domaine d’activité. Dans le domaine de la finance ou les grands groupes par exemple, les ressources cybers sont plus importantes et nécessitent des compétences de gestion d’équipe ; donc les salaires (comme les responsabilités) sont plus importants. 

En premier lieu, l’expérience est absolument nécessaire car elle permet : 
  • D’avoir déjà vécu une situation (potentiellement), 
  • De savoir où chercher les meilleurs experts pour conseiller ou venir en aide à l’entreprise (en cas de crise par exemple) en utilisant son réseau (amis professionnels ou partenaires), 
  • D’apprendre le fonctionnement de l’entreprise plus rapidement en ayant déjà travaillé dans de nombreux domaines fonctionnels … 
  • De diminuer le temps d’apprentissage 
  • D’avoir potentiellement été dans des fonctions légèrement différentes : Consultant, Auditeur, Contrôleur Interne voire DSI pour bien comprendre les enjeux de cette fonction, et bien sûr avoir été pendant plusieurs années Directeur Cybersécurité (CISO chez les Anglosaxons), 
  • De savoir anticiper les situations à risques qu’elles soient stratégiques, comportementales ou liées à la communication de l’entreprise. 

Ensuite, le positionnement dans l’organisation permet de rapidement comprendre les principales fonctions exercées et l’expérience acquise. Par exemple, si le candidat a été sous la responsabilité du Directeur Technique (comme c’est encore le cas dans les sociétés plutôt technico-industrielles), ou rattaché à la Direction Informatique, alors il sera plus apte à aborder les sujets relatifs au développement des applications et la conception des architectures sécurisées. En revanche, s’il était dans une structure rapportant à la Direction des Risques alors il sera habitué à échanger avec un Comité de Direction. 

La taille de l’entreprise où il a exercé a son importance car elle permet d’apprécier les qualités de manager d’une équipe d’experts cyber ainsi que son expérience à l’international car la protection de l’information varie fortement en fonction de la culture des utilisateurs. 

Enfin, son expérience de la gestion de crise cyber n’est certainement pas à laisser de côté car elle permettra de préparer rapidement toutes les procédures de gestion ainsi que l’anticipation des différentes phases de la crise. 

Conclusion 

Il est difficile pour les Comités de Direction d’anticiper et de modifier leur gouvernance pour intégrer une Direction des risques Cybers à leur niveau de management étant donné qu’ils ne sont pas confrontés à la violence des cyber-attaques. Le processus de recrutement commence donc par une revue stratégique et par définir une organisation humaine capable d’accompagner l’évolution de l’entreprise. 

Le rôle et l’expérience du Chargé de recrutement et/ou du consultant RH sont aussi essentiels. Il va d’une part conseiller l’entreprise dans cette nouvelle organisation ainsi que dans la définition précise des objectifs liés à ce nouveau poste (y compris sa rémunération) et, d’autre part sélectionner l’expert le plus approprié au contexte et le plus apte à assurer la protection des données de l’entreprise. 

Contactez Taste pour une mission de recrutement IT, SI ou CyberSécurité :




Article original ici.

La newsletter