Le difficile processus de recrutement du Directeur Cybersécurité

La crise pandémique s’est accompagnée d’une recrudescence des cyberattaques, de nouvelles techniques de contournement des protections en place et d’une augmentation de la surface d’attaques des entreprises liée au télétravail. Dans bien des entreprises, la situation a remis au premier plan la nécessité de recruter un Directeur Cybersécurité, un processus loin d’être simple et qui ne s’improvise pas.

Par Michel Juvin, Expert Cybersécurité,
et Christophe Mombazet, Responsable du pôle IT, SI et CyberSécurité chez Taste

Faisant suite à la publication par le CESIN du baromètre de la cybersécurité de janvier 2020[1], on constate que près de 51% des entreprises vont investir en la matière dans leur organisation et augmenter les effectifs des experts en cybersécurité pour réduire leur exposition aux cyber-risques.

Gageons que la situation actuelle ne pourra que renforcer cette tendance de fond. Ce besoin pour l’entreprise doit être piloté par un Directeur Cybersécurité situé au plus haut dans l’organisation. Il ne s’agit pas de créer un nouveau membre au Codir chaque fois qu’une nouvelle compétence émerge ! En revanche, il est fondamental de considérer que le sujet cyber est global à l’entreprise et n’est pas restreint à la DSI.

La première étape est bien de recruter une personne au niveau Direction pour assurer la coordination des moyens mis en place pour protéger l’information de l’entreprise. Son rôle dans la gestion de risques liés au capital informationnel et surtout son positionnement nécessitent parfois des changements qui ne sont pas toujours faciles à intégrer par le Comité de Direction. Pour répondre aux risques, tout commence par une analyse de l’évolution de l’organisation afin d’assoir le recrutement (ou la promotion en interne) du Directeur Cybersécurité.

Adaptation de l’organisation interne au contexte des cyber-attaques

La première étape de cette évolution organisationnelle est de positionner le Directeur Cybersécurité pour qu’il puisse être un élément efficace dans la réduction des risques cybers.

Le recrutement d’un Directeur Cybersécurité n’est pas un effet de mode comme parfois le monde de l’entreprise sait le faire[2] mais bien une nécessité.

Rappelons les différentes facettes de ce profil :

* La surveillance des vulnérabilités[3] internes relatives à la gestion de l’information de l’entreprise,
* La mise en place de l’organisation (ressources humaines) qui maintient en condition opérationnelle de sécurité les infrastructures et services de l’entreprise à l’aide de procédures de sécurité,
* La production du tableau de bord de suivi des actions de réduction des vulnérabilités et de l’exposition aux cyber-attaques,
* La veille technique et fonctionnelle pour être en mesure d’anticiper une éventuelle attaque ou défaillance des services de l’entreprise,
* Et la communication / formation / sensibilisation de tous les employés à la protection du capital informationnel.

Une fois la nécessité de la fonction acquise, on remarque que le positionnement du Directeur Cybersécurité est souvent fonction de l’activité de l’entreprise. Plus l’information est primordiale pour la vie de celle-ci, plus une organisation composée de plusieurs personnes sera désignée pour protéger ce capital informationnel. On peut aussi considérer que les moyens mis en œuvre sont proportionnels à la prise de conscience de la valeur des données et des risques encourus par la cybercriminalité.

Pour les entreprises ayant acquis une sensibilité aux cyber-risques, on constate de plus en plus souvent l’existence d’un « département de gestion des risques » composé de plusieurs représentants : de la Cybersécurité, de l’Audit, du Contrôle Interne (s’il existe), de la Direction Juridique, de la gestion de la finance/assurance, de la gestion de la sécurité physique, et parfois de représentants métiers comme aussi de la Direction Informatique. Tous travaillent ensemble à réduire les risques avec des actions suivies, contrôlées et rapportées au plus haut niveau de management. Il est souhaitable d’ailleurs, que le représentant de ce « département de la gestion des risques » siège au comité de Direction de l’entreprise.

Dans d’autres cas, on constate que le Directeur Cybersécurité est rattaché à la Direction Informatique, mais comme la protection de l’information est l’affaire de tous, il est nécessaire qu’il ait à minima un rôle transverse dans l’entreprise. Si ce n’est pas le cas, il lui sera alors difficile, par exemple, de challenger les investissements (en Ressources Humaines et en technologies) effectués par le DSI et de fait, ce type d’organisation n’est pas souhaitable.

Les clefs de la réussite sont la transversalité et la mise à disposition des moyens nécessaires. Ces moyens doivent être dimensionnés au regard de l’évaluation de la menace. Une fois positionné, le Directeur Cybersécurité devra identifier et définir le rôle des autres employés qui eux aussi contribuent à la protection de l’information. Ces personnes appartiennent majoritairement à la DSI ou sont en prestation de services, services définis par les contrats de sous-traitances de la DSI.

Le renseignement ou la validation des acquis du candidat

Le recrutement de la bonne personne est donc stratégique pour l’entreprise pour laquelle il faut définir en amont, le contexte et les enjeux. Quelle est précisément la situation actuelle, quels sont les objectifs recherchés, quels sont les moyens attendus que le candidat estime nécessaires, à quelle échéance, de quels moyens (humains et budgétaires) disposera-t-il réellement ?

Chez Taste, le Responsable du Pôle IT/Cyber a accompagné de nombreuses grandes entreprises dans le recrutement de profils cybers dont plusieurs Directeurs Cybersécurité pour de grands groupes et des ETI.
Un constat s’impose : les besoins sont très différents d’une entreprise à l’autre même si la démarche globale est la même.

Ces recrutements sont de plus rendus difficiles du fait de la pénurie de talents. La demande est très forte et les bonnes compétences sont rares. Choisir la bonne personne, c’est trouver le meilleur profil avec le bon savoir-faire (hard skills) et le bon savoir-être (soft skills).

Les hard skills s’évaluent par l’analyse de différentes informations : formation initiale et continue, certifications, analyse de la carrière, tests techniques, prises de références …

Les soft skills sont fondamentaux pour ce poste très transverse qui sera confronté à de fortes résistances au changement.

L’évaluation des « soft skills »

Pour bien évaluer les soft skills, il faut absolument définir en amont les savoir-être indispensables au poste puis vérifier si le candidat dispose de ces qualités.
Le contexte (mise en œuvre, évangélisation, transformation, gestion de crise, …) demande des savoir-être différents.

Les soft skills s’évaluent dans le cadre des entretiens de sélection, dans le cadre de la prise de référence et à l’aide d’outils. Rappelons ici que les prises de références ne peuvent se faire sans l’accord explicite du candidat. Chez Taste par exemple, ce travail s’effectue avec Assessfirst. L’outil est rapide et puissant. Le candidat reçoit les résultats et est débriefé par le consultant. Il permet de dégager un inventaire de personnalité mais aussi les principaux drivers de motivation et les comportements clefs. Plus fine aura été faite l’analyse préalable du contexte du recrutement, plus pertinente sera l’évaluation.

La Force d’Assessfirst est de pouvoir évaluer un profil par comparaison avec l’existant et les attentes de l’entreprise qui recrute. Cette analyse permet souvent de choisir la bonne personne parmi les finalistes, en rendant la décision la plus factuelle possible. Cette étape finale peut être également l’occasion d’une compétition entre les candidats par le biais de la présentation de leur proposition de valeur avec une feuille de route. La validation de cette feuille de route sera très utile au moment de la prise de fonction tout comme l’expertise du recruteur qui saura vérifier les acquis ou décèlera d’éventuelles incohérences.

Cette expérience du recruteur est essentielle pour confirmer la cohérence du parcours du candidat et son adéquation avec les attentes pour la fonction et de l’entreprise. Cependant, compte tenu du nombre de candidats à examiner, certains cabinets de chasseurs de têtes ont tendance à sous-traiter à des indépendants ou des solutions informatiques qui vont vérifier automatiquement les compétences demandées. Quelques solutions sur base de reconnaissance de caractères à partir d’une version électronique du CV peuvent simplifier le travail de vérification.

Concernant les diplômes, il est évident que la vitesse d’évolution des technologies et des méthodes dans le domaine de la cybersécurité rend rapidement caduques les formations de plus d’une dizaine d’années. Elon Musk indiquait récemment: “I don’t care if you even graduated high school”[4]. Seule une analyse précise de l’expérience du candidat pourra être retenue. Peut-être qu’enfin une approche plus anglo-saxonne dans ce domaine sera acceptée par les recruteurs : à savoir, analyser le parcours plutôt qu’un diplôme datant de plus de 10 ans !
En effet, il ne s’agit pas de cocher des cases (diplôme obtenu ou formation validée) mais bien de comprendre si le candidat a compris l’objectif et les principes de la formation et surtout que sa fonction dans l’entreprise lui a permis de développer de réelles compétences dans le domaine.

Quelles sont les compétences du Directeur Cybersécurité ?

Beaucoup de compétences techniques, fonctionnelles et personnelles sont nécessaires pour assurer ce rôle dans les entreprises. Le CESIN a publié une longue liste des fonctions du Directeur Cybersécurité qui mérite d’être lue[5].

Il n’existe pas d’évaluation « standard » de ces compétences sous forme d’un algorithme ou encore une formation certifiante. Le recrutement du Directeur Cybersécurité sera influencé par l’activité, la taille et/ou l’exposition aux risques cybers de l’entreprise. D’une manière générale, le candidat devra notamment avoir eu un parcours qui lui permette de comprendre et maîtriser la technologie, surtout dans le domaine de l’infrastructure. En effet, il doit être en mesure d’orienter/ conseiller les choix technologiques et les paramétrages appliqués sur les solutions techniques mises en place par les équipes IT. Pour cela, il existe des formations théoriques, mais il doit surtout rester en contact avec des experts y compris avec les fournisseurs qui par leur discours et présentations de nouvelles solutions techniques, vont lui permettre de se maintenir voire d’avoir une position avisée sur ces choix technologiques.

Sur le plan fonctionnel, il faut examiner le parcours professionnel du candidat et vérifier qu’il maîtrise le fonctionnement standard de l’entreprise et de son organisation. Une bonne connaissance des procédures de cybersécurité est aussi nécessaire car il aura certainement à les mettre en œuvre pour aider à l’acquisition des étapes de la cyber-maturité.

Enfin, sur le plan des « softskills », l’intelligence émotionnelle s’avère de plus en plus essentielle pour bien comprendre les enjeux humains et organisationnels. Les qualités nécessaires sont principalement, l’empathie, l’écoute, la communication, ainsi qu’un certain charisme pour devenir le référent cyber de l’entreprise et potentiellement un évangélisateur.

La confidentialité des informations

Depuis le 25 mai 2018, on a tous conscience des données à caractère personnel contenues dans les documents remis par un candidat : CV, lettre de motivation et même les mails qui accompagnent les échanges entre les candidats d’un côté, et les recruteurs et DRH de l’autre, sont soumis à l’application de la nouvelle réglementation.

Hormis un consentement par défaut du candidat, il est impératif, pour le cabinet de recrutement ou la RH de l’entreprise, de supprimer (ou anonymiser) les données identifiantes recueillies lors des campagnes de recrutement après deux ans (ou re-solliciter l’accord du candidat pour les conserver pour deux nouvelles années).

Le salaire de référence et l’expérience du candidat

Certaines études issues des bases de données de candidats donnent un médian pour les salaires des Directeurs Cybersécurité qui varie en fonction de l’ancienneté et tourne autour de 100K€[6]. Parfois même, on constate que plus d’ancienneté (> 15 ans) est moins bien rémunéré … ce qui est peu compréhensible alors que l’expérience est absolument nécessaire dans cette fonction[7]. Ces études ne sont pas représentatives des salaires constatés auprès de la communauté des Experts en Cybersécurité.

Le salaire des Directeurs Cybersécurité expérimentés est en moyenne entre 100K€ et 200K€+ et varie en fonction de la taille de l’entreprise (dimension internationale ou non) et le domaine d’activité. Dans le domaine de la finance ou les grands Groupes par exemple, les ressources cybers sont plus importantes et nécessitent des compétences de gestionnaire d’équipe ; donc les salaires (comme les responsabilités) sont plus importants.

Il existe trois principes pour évaluer le salaire du Directeur Cybersécurité :

* Son expérience,
* Son positionnement dans l’entreprise et la taille de cette dernière,
* Les principaux domaines professionnels où il a exercé.

En premier lieu, l’expérience est absolument nécessaire car elle permet :

* D’avoir déjà vécu une situation (potentiellement),
* De savoir où chercher les meilleurs experts pour conseiller ou venir aider l’entreprise (en cas de crise par exemple) en utilisant son réseau de connaissance (amis professionnels ou partenaires),
* D’apprendre le fonctionnement de l’entreprise plus rapidement en ayant déjà travaillé avec de nombreux domaines fonctionnels … et diminuer le temps d’apprentissage qui peut être d’une année pour une personne de faible expérience,
* D’avoir potentiellement été dans des fonctions légèrement différentes : comme Consultant, Auditeur, Contrôleur Interne voire DSI pour bien comprendre les enjeux de cette fonction, et bien sûr avoir été pendant plusieurs années Directeur Cybersécurité (CISO chez les Anglosaxons),
* De savoir anticiper les situations à risques qu’elles soient stratégiques, comportementales ou liées à la communication de l’entreprise.

Ensuite, le positionnement dans l’organisation permet rapidement de comprendre les principales fonctions exercées et l’expérience acquise. Par exemple, si le candidat a été sous la responsabilité du Directeur Technique (comme c’est encore le cas dans les sociétés plutôt technico-industrielles), ou rattaché à la Direction Informatique, alors il pourra aborder les sujets relatifs aux développements des applications et la conception des architectures sécurisées. Par contre, s’il était dans une structure rapportant à la Direction des Risques alors il sera habitué à échanger avec un Comité de Direction.

La taille de l’entreprise où il a exercé aura aussi son importance car elle permettra d’apprécier les qualités de manager d’une équipe d’experts cyber ainsi que son expérience à l’international car la protection de l’information varie fortement en fonction de la culture des utilisateurs.

Enfin, son expérience de la gestion de crise cyber est aussi importante car elle permettra de préparer rapidement toutes les procédures de gestion ainsi que de savoir anticiper les différentes phases de la crise.

Conclusion

Tant que les Comités de Direction ne sont pas confrontés à la violence des cyber-attaques, ils ont parfois des difficultés à anticiper et modifier leur gouvernance pour intégrer une Direction des risques Cybers à leur niveau de management. Le processus de recrutement commence donc par une revue stratégique et par définir une organisation humaine capable d’accompagner l’évolution de l’entreprise.

Le rôle et l’expérience du Chargé de recrutement et/ou du consultant RH sont aussi essentiels, d’une part pour conseiller l’entreprise dans cette nouvelle organisation ainsi que dans la définition précise des objectifs liés à ce nouveau poste (y compris sa rémunération) et, d’autre part pour sélectionner l’expert le plus approprié au contexte et le mieux à même d’assurer la protection des données de l’entreprise.

[1] https://www.cesin.fr/actu-5eme-edition-du-barometre-annuel-du-cesin.html
[2] Cas du CHO (Chief Happiness Officer).
[3] Il s’agit des vulnérabilités liées à l’infrastructure technique mais aussi aux modes de fonctionnement ou encore à la sous-traitance.
[4] https://www.cnbc.com/2020/02/03/elon-musk-is-recruiting-for-tesla-education-is-irrelevant.html
[5] https://www.cesin.fr/fonds-documentaire-le-directeur-cybersecurite-decrypte.html
[6] https://www.robertwalters.fr/etude-de-remuneration.html
[7] Une autre approche serait de dire que les jeunes (<10 ans d’ancienneté) ont un salaire de départ plus élevé que les anciens au même âge ??

Crédits Illustrations : Shutterstock

Pour en savoir plus sur les activités de Taste : Taste, Recruteur d’experts

A LIRE EGALEMENT :
Les 100 premiers jours du Directeur Cybersécurité

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !