Une seule infographie publiée récemment par le National Institute of Standards and Technology (NIST) a révélé l’ampleur de la crise actuelle du personnel en cybersécurité. Une statistique qui a sonné l’alarme partout est la suivante : à une époque où les conseils d’administration des entreprises demandent vivement d’augmenter les effectifs de cybersécurité, la pénurie mondiale de ressources qualifiées l’année dernière a atteint le chiffre stupéfiant de 3,4 millions de professionnels.
La meilleure façon de contribuer à résoudre le problème a fait l’objet d’une présentation cette semaine au MapleSEC 2023 par le Dr Satyamoorthy Kabilan, cadre supérieur chez Gartner, dont le thème tournait autour d’un nouveau concept appelé « recrutement discret ».
Le recrutement discret, a-t-il déclaré, est un terme inventé par l’analyste de Gartner Emily Rose McRae, qui dirige l’équipe de recherche sur l’avenir du travail de l’entreprise, et est à l’opposé de la démission discrète, qui est définie comme le fait de satisfaire aux exigences minimales de son travail et de n’y consacrer pas plus de temps, d’efforts ou d’enthousiasme que ce qui est absolument nécessaire.
« Le Forum économique mondial a découvert que peu de dirigeants d’entreprise dans des secteurs critiques sont convaincus de disposer des talents dont ils ont besoin pour protéger leur organisation. En plus de cela, mes collègues du domaine de recherche de Gartner ont une petite prédiction pour 2025. Ils y estiment que le manque de talent ou l’échec humain seront responsables de plus de la moitié des incidents de cybersécurité importants que nous connaîtrons. »
« Cela signifie que nous avons un grand manque de talents que nous essayons de combler, nous sommes vraiment nerveux quant à ce que cela signifie pour les organisations, nous avons une demande de la part des dirigeants pour combler ces lacunes. Et en plus de cela, cela comporte un risque énorme. »
C’est pourquoi, a déclaré M. Kabilan, la raison pour laquelle un recrutement discret est si important, et que si une organisation fait les choses correctement, elle se retrouvera avec une base d’employés beaucoup plus engagés qu’auparavant, sans avoir à augmenter ses effectifs.
« Il ne s’agit pas d’ajouter du travail à un bassin de talents déjà restreint dont vous disposez. C’est l’une des questions qui ont été soulevées lorsque nous avons proposé ce terme. Et nous devons être clairs ici : il ne s’agit pas d’ajouter du travail supplémentaire. Il s’agit de concentrer les talents dont vous disposez sur les domaines les plus importants. Et pour ces rares ressources en matière de cybersécurité, c’est vraiment important.
Dans un article paru sur le site Web de Gartner plus tôt cette année, Mme McRae a écrit que la stratégie, si elle est appliquée correctement, n’est pas seulement une victoire pour l’organisation. Elle offre aux employés la possibilité d’effectuer des tâches étendues, de développer leurs compétences actuelles, d’acquérir de nouvelles compétences, de prolonger leur carrière — et, en fin de compte, de devenir une valeur inestimable pour leur organisation actuelle et plus commercialisable pour les autres.
« Il existe également des avantages plus immédiats pour les employés : le recrutement discret ne signifie pas que les employés qui se portent volontaires pour ce type de missions ne devraient pas être rémunérés ou récompensés d’une manière ou d’une autre. Pour profiter des avantages d’un recrutement discret sans risquer l’attrition, les organisations doivent s’attendre à offrir des incitations, telles qu’une rémunération supplémentaire, des primes ponctuelles, des congés personnels supplémentaires, des horaires et des conditions de travail flexibles.
Pour que cela fonctionne, a déclaré M. Kabilan, trois stratégies clés doivent être suivies, à savoir : une priorisation impitoyable, la valorisation des compétences internes et le perfectionnement :
« Commençons par la priorisation impitoyable. Pour revenir à ce que j’ai dit plus tôt, à savoir qu’il ne s’agit pas d’ajouter du travail supplémentaire à une équipe de cybersécurité déjà potentiellement surmenée, il s’agit de comprendre ce qui est le plus important pour l’organisation, sa mission, ses objectifs et les objectifs qu’elle doit atteindre. Et puis concentrer vos rares ressources sur la réalisation des éléments les plus importants ou des priorités les plus importantes de l’organisation. »
« Conceptuellement, cela semble très simple, mais je peux vous dire par expérience que les organisations avec lesquelles j’ai travaillé dans le secteur privé et dans le secteur public trouvent cela difficile à faire. Nous devons comprendre ce qui est vraiment important, ce qui doit aller au sommet et ce qui doit être abandonné, pour nous permettre de faire les choses qui sont les plus importantes. »
Pour exploiter plus efficacement les compétences, il faut décomposer les rôles non pas en emplois, mais en tâches. Gartner, a déclaré M. Kabilan, a mené des études de cas sur le recrutement discret, et « l’un des exemples qu’une organisation nous a donnés sur la façon dont elle exploite ses compétences internes était vraiment intéressant. Ce qu’ils ont fait, c’est commencer à diviser leur travail en tâches ».
« Et ils l’ont fait avec deux grandes catégories. L’une étant les rôles très demandés ou les rôles très demandés. Considérez la cybersécurité comme un rôle très demandé. Il y a beaucoup de lacunes pour attirer les gens. Ils ont fait la même chose pour les postes à forte offre, des postes qu’ils pouvaient remplir plus facilement. Ce qu’ils ont fait, c’est examiner l’ensemble des tâches effectuées dans les rôles à forte demande et dans les rôles à forte offre et rechercher les chevauchements. »
Le troisième et dernier volet est la réalisation d’un « audit de compétences, pour connaître les compétences dont vous disposez réellement dans votre organisation ; vous disposez peut-être de réserves cachées de talents occupant des postes importants, dont vous n’avez pas conscience. Il peut s’agir de compétences et de ressources que vous pourriez utiliser dans des domaines à forte demande. »
Adaptation et traduction française par Renaud Larue-Langlois.
