Cyber : pénurie de talents ou crise d’attractivité ? | INCYBER Voices

Description

Plongez dans les coulisses du recrutement en cybersécurité avec Guillaume Seraphine, fondateur de Cybermatch et expert reconnu du secteur. Entre pénurie de talents, méthodes de chasse sur mesure, enjeux de formation et défis de la diversité, découvrez comment repérer, attirer et surtout garder les profils rares qui protègent nos systèmes critiques.

Un échange passionnant qui éclaire les enjeux d’un marché ultra-concurrentiel, où le candidat tient désormais le pouvoir.

Invité : Guillaume Seraphine - Cybermatch
Animé par Mélissa Périé-Betton

#Cybersécurité #Recrutement #Talent #Formation #Diversité #Cybermatch

Un podcast de la marque INCYBER

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour à tous et bienvenue dans ce troisième épisode d'Incyber Vs. Aujourd'hui on parle talent cyber, chasse, recrutement et fidélisation. Notre invité Guillaume Seraphine, fondateur de Cybermatch, un cabinet spécialisé dans les profils rares, ceux qu'on cherche désespérément quand on n'a pas le droit à l'erreur. Guillaume connaît bien le terrain, il allie sourcing sur mesure, évaluation technique et il parle aussi formation. Parce qu'avant ça, il était DG adjoint de l'école 2600. Alors Guillaume, comment on repère les vrais talents ? Comment on les fait venir ? Et surtout, comment on les garde ? On en parle tout de suite. Est-ce que je peux te demander de te présenter en quelques mots, s'il te plaît ?
Speaker #1
Bonjour Mélissa, je te remercie beaucoup pour cette invitation sur ce podcast. Pour me présenter, je suis le fondateur de Cybermatch. Cybermatch, c'est un cabinet de chasse de tête spécialisé en cybersécurité que j'ai pu monter après avoir dirigé la première école française de cybersécurité, École 2600.
Speaker #0
Super. Donc toute cette expérience plus tes nouvelles prérogatives font que tu as un regard sur le marché, pas que le recrutement, mais aussi justement toute la pénurie qu'il peut y avoir autour du recrutement. C'est un peu ce qui va nous intéresser aujourd'hui. Alors, selon l'ANSI, il y a 15 000 postes vacants en France. 2,8 millions dans le monde. Alors Guillaume, comment on explique qu'un secteur aussi stratégique que la cybersécurité, ça peine encore à recruter ?
Speaker #1
Alors ça, c'est des données qui sont assez anciennes, mais qui restent... Il n'y a pas de réelles études sur la pénurie de talent. Alors je suis allé voir le site du campus cyber qui annonce qu'on a une filière à 60 000 emplois, mais qu'on aurait 60 000 manques de talent. Donc ça me paraît pas être le bon chiffre.
Speaker #0
Les chiffres diffèrent beaucoup des études à l'australie.
Speaker #1
Là, on serait plutôt le chiffre habituellement utilisé, effectivement, ce chiffre de 15 000, mais il n'est pas forcément régulièrement mis à jour. On reste sur une pénurie de talent global en France, en Europe et dans le monde. Dans le monde, on est à 2,8 millions de talents manquants. C'est un chiffre où, en France, on aura nécessité de faire cette mise à jour. Merci. et de faire ce suivi.
Speaker #0
C'est quand même un chiffre qui est assez éloquent. Et comment on peut expliquer que ce secteur qui est aussi stratégique, qui est aussi très à la mode, il faut le dire, il peine encore autant à recruter ?
Speaker #1
C'est vrai que c'est un secteur qui peine à recruter. Il y a plusieurs facteurs, ils ne sont pas limitatifs ces facteurs, mais on peut en identifier certains qui sont d'ailleurs assez, on va dire, unanimement reconnus par tout l'écosystème cyber. ça va être le déficit d'images et de communication. C'est vrai qu'on a toujours tendance à faire une représentation de la cybersécurité où on va être en permanence dans le noir, dans une représentation qui est celle du hacker et plutôt de l'attaquant, plutôt que des activités de défense. On est aussi dans une image très masculine, ce qui exclut potentiellement aussi de la représentation, 50% de la population, les femmes ont du mal à... à se représenter dans ses métiers parce qu'elle est toujours dans une représentation très masculine. Et puis, on va dire qu'elle est très axée sur uniquement la compétence technique et pas forcément sur des compétences qui sont autres que de la technique, bien que c'est un élément clé et structurant de la filière cybersécurité. Mais il y a une communication qui est peut-être plus faible sur les métiers de la gouvernance. Et donc, je pense qu'il y a ce déficit d'images qui est particulièrement prégnant. On a aussi, je pense, un problème de formation. Et là, c'est typiquement aussi français, c'est-à-dire que sur la formation, alors ce n'est pas par manque d'école, c'est vrai, et j'en parlais en introduction, pour avoir pu travailler pour École 2600, d'autres écoles ont pu voir le jour. Les formations se sont développées en formation initiale, et donc avec un décalage forcément, bien que les formations soient en alternance, et donc le vivier est activable sous un format... alternance assez... enfin, dès maintenant, mais les diplomations de ces formations qui ont été créées, la première pour 2600 était cette année. Et donc, forcément, il y aura un décalage sur l'apport de la formation initiale, mais par contre, sur la formation continue, on a un vrai déficit, et c'est typiquement français, de ne pas forcément identifier les compétences manquantes. de pouvoir se former uniquement sur ses compétences manquantes pour pouvoir occuper un poste. Et là, je pense aussi, la problématique de ce vivier, c'est des personnes qui auraient pu occuper un poste avec des formations qui pourraient être finalement assez courtes, mais qui n'ont pas cette lisibilité de ce parcours. Non pas la culture de... Finalement, il n'y a pas cette culture RH de la formation très ciblée pour pouvoir faire une transition professionnelle. Et donc, je pense qu'il y a un problème d'image, un problème de formation. Et puis, il y a une problématique chez les recruteurs, qui est une problématique de méthode. Je pense qu'on veut toujours un candidat clé en main, déjà opérationnel, jour 1. Et ça, c'est une vraie problématique, parce qu'on a du mal à définir clairement... les attendus du poste, ce qui relève de l'essentiel et ce qui est de l'accessoire. Et on a tendance à avoir au moment du recrutement, parce qu'on ne va pas se le cacher, les salaires en cybersécurité sont quand même assez élevés. Donc, on a des exigences aussi qui sont clairement un peu plus élevées que dans d'autres métiers. Et donc, on souhaite avoir un candidat qui soit opérationnel dès le premier jour de recrutement, alors qu'on aurait pu prendre quelqu'un qui aurait pu avoir un accompagnement. ciblés pendant quelques mois et qui auraient pu répondre parfaitement aux enjeux d'un poste.
Speaker #0
C'est intéressant et en même temps, ce matin je discutais avec le directeur de l'ESNA, qui est à Rennes. Oui. C'est l'ESNA. Il me disait en fait la problématique c'est pas tant de trouver des profils, c'est de trouver des profils seniors aujourd'hui. Oui. Est-ce que tu es d'accord avec ça ? En fait parce que c'est des métiers qui sont assez récents. Finalement les premiers diplômés, les premières promotions, elles sont assez récentes et ces gens-là ne sont pas encore forcément seniors. Il y a plein de jeunes qui vont sortir d'école, qui sont motivés, mais les entreprises apprennent à recruter des gens entre 30 et 40 ans. C'est ce qu'il me disait. Je ne sais pas si tu as un avis là-dessus.
Speaker #1
Je pense que c'est le profil qui va être le plus recherché. Le 30-40 ans, profil senior en cybersécurité, qui a déjà suffisamment d'expérience, qui maîtrise un certain nombre d'outils, sur la partie technique que je parle. Et c'est vrai que c'est le profil le plus recherché. Et donc, cette pénurie, elle est accentuée par le fait que... tout le monde recherche le même profil et c'est vrai que pour avoir accompagné aussi des entreprises sur des recrutements de profils juniors mais avec des capacités on va dire au dessus de la moyenne les entreprises qui font ce choix parfois deviennent des vrais abonnés à ce type de recrutement parce qu'elles se disent d'une part elles recrutent moins cher c'est des profils généralement qui ont une soif d'apprendre et qui s'auto-forment en plus de leur formation initiale, qui sont en perpétuelle formation pour être vraiment à jour de leurs compétences en cybersécurité. Je pense qu'il y a un pari qui n'est pas encore pris par les entreprises, qui est de prendre, alors idéalement, celles qui prennent depuis l'alternance, qui peuvent tester un alternance sur deux, trois ans. et se disent qu'il a un bon potentiel et qu'on va le garder dans les effectifs, c'est la voie privilégiée. Je pense que c'est une bonne méthodologie de recrutement, de se dire que je vais finalement à un coût raisonnable, pouvoir avoir un étudiant qui va apprendre mes méthodes, va savoir utiliser tous mes outils, et sera opérationnel le jour 1 de sa prise de poste junior, après avoir fait un parcours en alternance où il aura pu être. tutoré et donc il aura pu être testé sur sa capacité à être correctement intégré dans la culture d'entreprise et donc c'est une voie intéressante pour l'intégration des profils juniors alors il n'y a pas que de la formation en alternance mais c'est vrai que la formation en alternance permet une meilleure intégration des juniors et c'est vrai qu'aujourd'hui quasiment tous les postes nécessitent cinq ans d'expérience et il y a une espèce de creux entre le 0 à 5 ans et c'est sur cette tranche que les entreprises, finalement, peut-être sous-exploitent le potentiel de cette tranche où on peut avoir des profils vraiment exceptionnels dans cette tranche-là.
Speaker #0
Et justement, hormis l'alternance qui permet de prendre du recul sur un candidat, est-ce qu'il ne faut pas que les entreprises revoient leurs critères de sélection pour ouvrir un peu plus ce vivier de talent ?
Speaker #1
C'est vrai que sur les critères de sélection, j'en parlais légèrement tout à l'heure, c'est vrai qu'il y a les critères, on va dire, ceux qui sont où on va être complètement rigide sur la possibilité de déroger à cette compétence qui est vraiment nécessaire pour le poste. Et c'est vrai qu'il faut, sur les critères de recrutement, qu'il y ait une bonne communication entre la partie opérationnelle et la partie RH pour pouvoir correctement définir ces critères, parce que c'est vrai qu'on passe peut-être trop rapidement sur la fiche de poste en se disant qu'il faut qu'ils sachent faire. ça, qu'il ait telle certification et qu'il maîtrise tel outil. Je vais donner l'exemple d'un analyste SOC. On va lui demander de maîtriser un outil précis, mais s'il en maîtrise un autre, mais qui sait faire de l'analyse de log, qui sait finalement travailler dans un SOC, il ne faut finalement qu'une formation à l'outil. Et parfois, des candidats qui pouvaient occuper un poste ont été d'office exclus parce qu'on veut cocher. les cases au moment où on sélectionne un candidat. Et donc, c'est là aussi le travail de la partie chasse de tête où on doit travailler en conseil et donc de faire... la bonne jonction entre l'ERH, la partie opérationnelle, et faire cette traduction des compétences clés, et des compétences de confort ou accessoires, et celles qui peuvent être développées. Et donc il faut arriver à clairement définir la fiche de poste pour ne pas exclure du processus de sourcing des candidats qui auraient pu parfaitement occuper la position et qui finalement ont fait aussi une sélection beaucoup sur les hard skills. et les soft skills sont parfois mis de côté. Et c'est vrai que la cybersécurité, c'est un secteur où l'esprit d'équipe est vraiment clé. Parce qu'on ne peut pas se dire, mon collègue a laissé une faille, et c'est son problème, c'est le problème de toute l'équipe. Donc finalement, on ne peut pas avoir un point faible dans l'équipe, et donc on est obligé d'avoir cet esprit collaboratif et de ne pas travailler qu'en solo. et donc il y a parfois des profils très très bon techniquement, mais très individualiste. Et donc, il faut aussi arriver à trouver le profil qui a le bon mindset en fonction du poste qu'il va occuper en cybersécurité. Dans un SOC, il faut qu'il y ait un travail d'équipe, par exemple, pour prendre cet exemple. Et donc, il y a l'identification des soft skills qui sont nécessaires aussi dans l'identification des profils au-delà de la partie hard skills et de la classification de ces hard skills.
Speaker #0
D'après d'autres données que j'ai pu sourcer, 47% des recruteurs reconnaissent que leurs offres ne sont pas forcément attractives, peut-être parce qu'ils ne mettent pas en avant assez ces soft skills. Ma question, c'était à la base, est-ce que le marché s'est en train de devenir un marché de candidats ?
Speaker #1
C'est vrai que c'est clairement un marché de candidats. Et c'est vrai que pour les missions qui sont confiées à Cybermatch, c'est peut-être encore plus prégnant, parce que quand on fait appel à moi, c'est lorsque c'est très difficile. Et donc, généralement, on va avoir un candidat qui est sur sollicité lorsqu'on utilise les canaux de sélection classiques. Et donc, si son LinkedIn est bien fait, il va être submergé de demandes lorsqu'il est dans un poste très demandé en cybersécurité. Et donc, généralement, en plus, ils ne répondent pas. donc il y a, on va dire contrairement à d'autres secteurs d'activité où L'entreprise est plutôt dans la situation où elle a le pouvoir. Clairement, en cybersécurité aujourd'hui, du fait de cette pénurie notamment, le candidat a, on va dire, davantage de pouvoir qu'un candidat classique dans une autre filière. Et donc, beaucoup de conditions. Moi, je vois sur mes process de sourcing, le manque de flexibilité, par exemple, le sujet du télétravail, qui n'est pas forcément apprécié au sein des entreprises, mais ça devient un critère. particulièrement important pour les candidats, au-delà du salaire. Et c'est vrai qu'il y a aussi parfois des candidats qui sont dans une surenchère. Ils savent qu'ils ont une compétence clé très rare. Et donc, on arrive à des niveaux de salaire qui sont parfois très élevés. Lorsqu'on est sur une niche de la cybersécurité, j'ai pu constater, j'étais sur une typologie de poste très rare et un profil à six ans était sur un salaire, je ne peux pas le dire, mais très important.
Speaker #0
6 ans, ça veut dire que c'est un trentenaire début de trentaine en plus.
Speaker #1
C'est ça. Et c'est vrai que c'était un trentenaire auquel je devais proposer un salaire qui était très important, que ces candidats refusent. Parce qu'ils sont aujourd'hui, lorsqu'on est sur des niches, beaucoup passent indépendants. Et donc les missions sont parfois très longues. Elles peuvent durer, sur certaines missions, dans cette niche, 3 ans.
Speaker #0
On parle là de consultants qui sont positionnés chez tes clients ?
Speaker #1
Non, en fait, je dois recruter un poste en CDI et cette niche de la cybersécurité, sur cette thématique précise de la cybersécurité, je ne donnerai pas trop d'indications pour éviter les effets d'opportunisme de candidats aussi, ou en tout cas de faire monter les enchères au niveau des candidats auprès des entreprises. Mais on va dire un domaine de la cybersécurité où tout le monde est quasiment passé indépendant. Et on a des entreprises qui veulent recruter des profils et qui ne peuvent plus parce que les missions sont longues, les TJM sont élevées. Et donc, même avec un salaire très élevé pour six ans d'expérience, les candidats refusent. Et donc, on est dans des situations de blocage dans certains segments de la cybersécurité qui font que le candidat a clairement un pouvoir très important. C'était une mission d'un client qui avait un poste non pourvu depuis un an. Donc on est clairement dans un marché de candidats. Selon les postes, c'est plus ou moins important. pas sur tous les postes de la cybersécurité, mais la demande, elle est de plus en plus importante. Et puis, même sur des missions non techniques, moi, en ce moment, j'ai énormément de demandes sur des profils de commerciaux, mais qui ont des compétences techniques en cybersécurité. Et c'est vrai que là, c'est... C'est ça. C'est ça. C'est ça.
Speaker #0
C'est ça. C'est ça. C'est ça. C'est ça. C'est ça. C'est ça. C'est ça. C'est ça. C'est ça.
Speaker #1
C'est ça.
Speaker #0
C'est ça.
Speaker #1
C'est ça. À cinq pattes, pardon. C'est vrai qu'en ce moment, il y a une grande demande là-dessus de profil de ce type. Alors, c'est vrai qu'il y a un autre sujet, c'est que... Aux États-Unis, par exemple, on a aussi clairement défini les postes. C'est-à-dire qu'il y a 50 métiers en cybersécurité qui sont définis, alors qu'en France…
Speaker #0
Ça aussi, d'ailleurs, c'est un sujet dans notre podcast, mais il y a tellement de métiers différents qui gravitent autour de la cyber.
Speaker #1
Et c'est vrai que c'est une problématique française et européenne. C'est-à-dire qu'aux États-Unis, le NIST, avec son Nice Workforce Framework, framework. Ils ont réussi à définir 50 métiers. Et dans ces 50 métiers, les tâches qui sont, enfin, les compétences, les tâches clairement définies par métier, ce qui fait qu'il n'y a pas une définition permanente de ce qu'on va mettre dans cette fiche de poste. Et ça permet aussi aux candidats de savoir, pour occuper ce poste, je dois maîtriser telle ou telle compétence. Et ça donne de la lisibilité. Et je pense que la problématique en France, c'est qu'on est encore dans une phase de structuration de la filière. Et il faut arriver à donner aux candidats de la lisibilité sur les parcours d'évolution, qui ne sont pas forcément des parcours... C'est vrai qu'en France, on a aussi cette image de l'évolution est toujours managériale. Et donc, on a évolué uniquement si on a pu manager une équipe. Donc, ça peut être aussi sous un format de compétences et faire des parcours où on gagne en expertise et où on n'est pas forcément manager. Donc, il y a aussi cette dimension lisibilité pour les entreprises et les candidats. et pour les recruteurs comme moi, parce que ça me permettrait aussi de travailler beaucoup plus finement. Et ensuite, il y a ces compétences qui sont clairement définies. On n'est plus dans, finalement, l'aménagement interne où on se dit, ce candidat-là, il va être un peu de ci, un peu de ça. Et en fait, il n'existe pas. Et je pense qu'à un moment, il faudra arriver à clarifier ce mapping des postes et des compétences.
Speaker #0
Tu parles de candidats. On ne parle pas beaucoup de candidates. Oui. Ce n'est pas en scoop que la cyber, ça manque cruellement de diversité. Apparemment, la représentation des femmes dans la cyber, ça stagne autour de 20%. Alors pourquoi est-ce qu'on s'attaque ? Est-ce que ça ne s'attaque pas aux mauvais leviers ? Qu'est-ce qu'il faudrait changer concrètement pour qu'il y ait des conséquences réelles, rapides et durables ?
Speaker #1
C'est vrai que j'ai donné un peu quelques éléments en introduction tout à l'heure, qui étaient l'image que renvoie la cybersécurité. Elle est très masculine, très technique, très... on va dire, orienté, attaquant. Et je pense que c'est une image qui peut aussi freiner certaines femmes de s'orienter vers ces métiers. Je pense aussi qu'en tant que parent aussi, il faut arriver à montrer aux parents que même quand on a une fille, alors j'ai un fils, je ne peux pas donner cet exemple, mais même quand on a une fille, les métiers de la cybersécurité peuvent être une voie de carrière. Et c'est vrai qu'il faut arriver à... à sensibiliser assez tôt. Et je pense là, en fait, à des initiatives internationales dont on pourrait s'inspirer. En Angleterre, ils ont monté le Cyber First Girl. Et donc, c'est au collège, 12 000 collégiennes qui ont été formées par des femmes, d'ailleurs, en cybersécurité, pour les initier. On est sur de l'initiation de 12 000 collégiennes par des experts de cyber. et pour donner la visibilité. très tôt qu'elles peuvent aussi occuper les métiers des femmes qui sont venues leur apprendre les rudiments de leur métier. Mais c'est une bonne approche selon moi, c'est porté par l'Agence nationale britannique pour attirer davantage de femmes dans ces métiers et je pense que, alors l'ANSI fait énormément de choses, mais ça pourrait être une initiative qui pourrait être portée par le campus cyber ou l'ANSI, je pense qu'il y a des choses qui ont été faites. par le campus cyber, le ministère de l'éducation nationale aussi, pour travailler à ce message très tôt. Mais on a travaillé sur un message plus global aujourd'hui en France, des métiers de la cybersécurité très jeunes. Et cet exemple britannique très orienté, parcours de femmes en cybersécurité avec une sensibilisation très tôt, je pense que c'est des bonnes pratiques qu'il faut arriver à dupliquer en France. Et donc pour moi, ça va être au-delà d'avoir des tables rondes avec des rôles modèles qui sont des éléments importants. Il faut massifier, en fait, il faut arriver à... On n'arrivera pas par de l'incantation à atteindre les objectifs de féminisation. On est entre 17 et 20 % de femmes dans la cybersécurité. Et donc, il faut avoir ces actions de rôle modèle, mais il faut arriver à avoir des actions, on va dire, plus massives et assez tôt, régulières. Je pense qu'aussi, un peu plus tard, en lycée, les conseillers d'orientation, il faudra peut-être monter un programme pour les... les former au métier de la cybersécurité.
Speaker #0
Pour l'instant,
Speaker #1
oui. C'est vrai qu'il y a énormément d'efforts qui sont faits par l'ANSI, par le campus cyber, par l'éducation nationale. Donc, il y a beaucoup d'efforts encore à faire. Les efforts sont engagés, mais je pense qu'il manque encore à accentuer, à travailler sur cet axe-là si on veut réellement, au-delà des incantations, arriver à féminiser. sur la formation, c'est vrai que c'est aussi un autre axe Il faut avoir aussi la capacité à attirer des filles dans les formations, de mettre en avant ces filles qui ont brillamment réussi leur formation en cybersécurité. Malheureusement, pour les autres écoles, je vais devoir reparler de 1600. C'est un exemple que je connais bien.
Speaker #0
Très proche de 1600, pas de souci.
Speaker #1
Voilà, toutes mes excuses pour les autres. mais c'est vrai que la majeure promo de la première promo 2024 a été... était une major de la Gendarmerie nationale et avec des compétences techniques exceptionnelles, un vrai esprit d'équipe, donc tant sur les hard skills que les soft skills. Et globalement, les filles de la promo qui sont à 17-20%, comme la moyenne nationale, malheureusement, mais les efforts sont faits aussi par les écoles et pas uniquement par 2600, mais elles étaient finalement très, très bien classées. dans le classement général de la diplomation. Donc, il faut aussi, et j'en profite par ce podcast, à faire la promotion que la major de promo d'une des écoles de cybersécurité française pour la première promotion était une femme. Donc, il faut aussi valoriser ces parcours assez exceptionnels. Et puis, un troisième levier, ça va être de donner de la visibilité sur des parcours. Alors, ça ne s'applique pas qu'aux femmes, la visibilité sur son parcours, mais... Il faut peut-être davantage le faire, de donner les perspectives d'évolution lorsqu'on occupe un poste en cybersécurité, et je pense que c'est de manière globale. Il faut se dire que quand on est analyste SOC, potentiellement on va passer du niveau 1, du niveau 2, du niveau 3, peut-être un jour un Head of SOC. J'ai donné à chaque fois l'exemple du SOC, parce que c'est très visuel et c'est très simple à comprendre en termes d'organisation. Mais c'est ça, c'est de donner aussi de la visibilité sur des parcours. Et il faut avoir davantage de femmes qui évoluent aussi. Alors, je parlais d'évolution qui n'était pas uniquement managériale, mais il faut peut-être accentuer l'effort sur les postes managériaux qu'occuperaient les femmes en cybersécurité, parce que ça pourra forcément influer sur la stratégie de recrutement. et c'est vrai que Plus on féminisera aussi en partie les équipes de management en cybersécurité, plus on aura un effet positif sur le recrutement à la base de profils féminins dans les équipes. Donc je pense que ce sont trois exemples, mais qui ne sont pas bien sûr limitatifs.
Speaker #0
J'en suis convaincue. J'allais rebondir sur un autre chiffre qui m'a interpellée, c'est que 70% Merci. 70% des effectifs en cyber, ils ont moins de 5 ans d'ancienneté. Est-ce qu'ils sont pour un risque d'un secteur instable avec beaucoup de turnover et peu de maturité finalement du coup ?
Speaker #1
C'est vrai que c'est un vrai risque, il y a un risque de maturité métier. On a des profils qui restent moins de 5 ans en moyenne, qui on ne capitalise pas finalement sur l'effet d'expérience et donc on repart régulièrement avec des nouveaux profils qui doivent... intégrer les process, les outils, comprendre le fonctionnement global de l'entreprise. Et donc, on a une perte régulière de compétences qui sont transférées à d'autres, mais où ces compétences transférées devront apprendre autre chose dans leur nouvelle fonction. Et donc, on a un vrai risque dans l'écosystème de ce mouvement permanent, qui fait qu'aussi sur des projets très concrets, on va prendre des projets de recherche et développement. Un expert qui s'en va au milieu d'un projet. C'est un risque critique pour le développement produit, d'un produit de cybersécurité, parce qu'à la fois il y a un transfert de connaissances et de compétences, bien qu'il y ait beaucoup de clauses contractuelles sur la confidentialité et autres, mais au-delà de ça, c'est la perte d'une compétence clé au moment d'un développement. Et donc, au-delà du run d'une activité de cybersécurité qui est plutôt sur de l'activité courante, l'activité construction, on est vraiment dans quelque chose d'assez critique sur des départs réguliers parce que le projet est en stop and start, il faut arriver à faire la transition avec un nouveau profil qui doit comprendre les enjeux du projet, donc on va dire que ce turnover est assez critique dans les développements R&D français, le fait qu'on manque de profils, alors c'est un problème français mais mondial, on ne le posait que pour la France, mais on a cette problématique-là qui vient affaiblir notre capacité Et euh... à développer vite bien des projets qui seraient réellement innovants sur le marché de la cybersécurité. Les conditions salariales, c'est vrai que ça c'est un élément qui est assez prégnant. On a des profils qui font des allers-retours entre les grandes boîtes de la cybersécurité qui prennent plus 10, 20, 30% et qui reviennent. Et donc j'ai vu de nombreux profils qui ont fait des allers-retours entre deux grands groupes. français et qui font un gap à chaque fois tous les deux ans. Et donc, comme c'est des profils généralement qui ont de bonnes capacités, finalement, ils font le ping-pong. Et là, ça vient gonfler le coût pour les entreprises. Et donc, ça vient affaiblir la compétitivité des entreprises françaises de cybersécurité puisque ce ping-pong coûte cher. Et donc, qu'il y a un affaiblissement de cette compétitivité par rapport à... à des écosystèmes qui seraient plus dynamiques en termes de quantité de profils. Et donc, il y a un enjeu aussi finalement indirect de ce ping-pong, c'est la compétitivité de nos entreprises qui sont impactées par des coûts salariaux qui augmentent, par la pénurie et en plus une instabilité qui est permanente. Alors, pour résoudre ça, il y a la fidélisation. Alors, avant de parler de fidélisation, il y a le dernier point dont je parlais. de plus en plus de profils s'orientent vers l'indépendance pour gagner en flexibilité. Et donc, c'est des profils en moins, enfin, ils ne sont pas en moins complètement, puisqu'ils travaillent en tant qu'indépendants et donc il y a un format de collaboration avec les indépendants. Mais si on souhaite internaliser la ressource, aujourd'hui, c'est beaucoup plus compliqué, parce qu'on a une pénurie globale, plus des professionnels qui étaient... en CDI qui sont devenus indépendants et donc qui ont des attentes aussi en termes de TJM qui sont assez élevées.
Speaker #0
Qui veulent bosser à distance, comme tu disais.
Speaker #1
Qui veulent bosser à distance et donc qui fixent leurs propres conditions. Et donc, l'indépendance réduit davantage le poids de l'entreprise dans son pilotage stratégique. Voilà, il y a plusieurs facteurs qui viennent affaiblir un peu l'écosystème. Et donc, tant qu'on n'aura pas à travailler à résoudre ce problème d'effectifs au-delà des retards, On a une instabilité, on a une perte de compétitivité, on a une influence des entreprises qui diminue sur leurs salariés. Donc, il y a plusieurs facteurs négatifs côté entreprise. Et alors, du côté des candidats, c'est vrai qu'il y a des avantages. C'est qu'on a toujours du boulot, on a la possibilité d'avoir des niveaux de rémunération assez satisfaisants. et donc... Il faut arriver à résorber tout ça pour qu'on n'arrive jamais à l'équilibre complet. En tout cas, ce serait l'idéal, mais d'affaiblir un peu ce positionnement qui vient un peu déstabiliser l'écosystème cyber français.
Speaker #0
Je vais revenir maintenant sur une interview que tu as faite pour Insider News en décembre dernier. Tu disais que les meilleurs profils cyber, ils échappaient aux filtres LinkedIn. Est-ce que ça signifie que les méthodes de recrutement classiques sont devenues contre-productives ?
Speaker #1
Je ne vais pas amoindrir la qualité de travail de tous les recruteurs. LinkedIn, c'est un outil crucial. On ne peut pas s'en passer. C'est devenu l'outil central en recrutement. On peut difficilement faire sans. La difficulté qu'on a en cybersécurité, c'est qu'il y a la confidentialité de beaucoup d'informations qui fait que des profils sont vides. et on est sur des profils à très haut potentiel qui ont très peu d'informations. C'est là où se positionne CyberMatch, c'est qu'en se spécialisant uniquement sur la thématique de la cybersécurité, ça me permet de sourcer des données en multisources. D'ailleurs, aujourd'hui, le FIC est une de mes sources de données. Il y a des tech labs, il y a des informations sur des projets portés par des profils techniques qui sont particulièrement pertinents, qui montre une certaine... expertise dans des domaines techniques très pointus. Et donc, forcément, je vais avoir des sources de données qui sont celles de communautés. Je ne vais pas donner trop d'informations sur ma méthodologie, mais globalement, je ne vais pas m'appuyer uniquement sur des sources de données issues de LinkedIn. Je vais m'adapter en fonction de la catégorie d'emploi en cybersécurité pour avoir des sources de données adaptées à ces catégories d'emploi. et enrichir ma capacité à comprendre le parcours d'un candidat et à identifier des parcours d'excellence qui me permettent de proposer à mes clients des profils qui seraient passés complètement inaperçus chez mes concurrents. Et donc, c'est là la valeur ajoutée, c'est de se dire qu'on a la capacité à identifier un profil qui aurait été complètement... exclue dès la phase de sourcing. Et donc, c'est sur cet aspect-là que je travaille, je continue de travailler. Et c'est le cœur de l'activité de Cybermatch, c'est d'optimiser au maximum la pertinence des données collectées et de pouvoir avoir des sources de données de confiance tout en respectant la vie privée des candidats. Et donc, c'est ce difficile équilibre. d'avoir des données de qualité externes à LinkedIn, qui est une source de données, mais qui n'est pas la seule, et qui me permet d'identifier des candidats avec des compétences techniques très pointues, mais qui ne sont pas forcément très à l'aise, en tout cas, qui ne veulent pas forcément communiquer énormément d'informations sur LinkedIn, mais qui communiquent sur d'autres canaux et dans d'autres communautés. Et donc, c'est par ces intermédiaires-là que je... peut identifier des candidats. Je ne veux pas être critique avec l'exercice de la fonction de recruteur d'autres concurrents. C'est cette spécialisation qui fait que je me positionne sur ce créneau pour avoir les meilleurs profils pour mes clients.
Speaker #0
Quand tu t'adresses à des RH, on va voir le mot de la fin, quels sont les trois conseils clés que tu leur donnes quand ils peinent à recruter ?
Speaker #1
pour moi en fait il faut qu'ils bâtissent je parlais de résilience de la stratégie RH et vraiment il faut qu'ils bâtissent cette stratégie qui va être basée pour moi sur trois mots que tu me demandes donc ça va être attirer on est vraiment dans un marché de candidats il faut savoir attirer et là il faut travailler sur sa marque employeur, sur ses conditions de travail, il faut c'est un travail de fond et là il y a des bons exemples que je donne à mes clients que je ne peux pas donner dans un podcast mais Il y a des bons exemples que je donne généralement à mes clients sur cette attractivité des talents. Il y a des entreprises qui sont très fortes en France et à l'international sur cette attractivité des talents. Et donc, il faut arriver à trouver aussi de l'inspiration parce que parfois, on a besoin aussi de voir des modèles. Et donc, il faut travailler sur cette attraction et donc attirer. Donner aussi, dans les bonnes pratiques sur l'attraction, c'est donner de la lisibilité sur un parcours. au sein de l'entreprise. J'ai vu une entreprise américaine qui a un modèle de recrutement que j'aime beaucoup. Au moment où on te recrute, on te dit à combien d'années tu vas être à tel poste potentiellement. Plus tard, tu seras à tel poste ou à celui-ci et avec un mapping au moment du recrutement des évolutions possibles en interne. Et donc, je trouve l'approche très bien parce que le profil qui a été recruté, alors ça fonctionne très bien surtout sur des profils junior. Il a une perspective, il ne se dit pas je vais être à ce poste-là pendant 10 ans. Parce que la crainte d'un profil, c'est de s'enquiloser dans son poste et donc il va chercher ailleurs un moment. Et donc de donner de la visibilité aussi, ça permet aussi au moment de recruter. d'avoir cette perspective à donner à un candidat. Et donc, il y a plein, plein, plein de choses. Et donc, j'accompagne aussi mes entreprises partenaires sur les stratégies à mettre en place, même si ça vient diminuer mon quota de mission. Mais vraiment, sur cet aspect-là, je pense qu'il y a un gros enjeu, il y a un gros travail à faire, il y a un gros déficit d'attractivité, notamment sur certaines entreprises. Après, il y a le deuxième mot que tu me demandes, ça va être « former » . Et là, c'est vraiment, on achète. pas des compétences. En fait, c'est vrai qu'on est sur un modèle où on veut acheter de la compétence, prête à l'emploi, ce qui existe, je ne dis pas que ça n'existe pas, mais il faut apprendre aussi à construire. Et donc, d'avoir cette culture de la formation, la formation continue. On est sur de la cybersécurité, tous les jours, les attaquants redoublent d'imagination. Si on n'a pas une politique de formation assez forte, alors à la fois... Il y a des entreprises qui ont peur de former en se disant « oui, mais mon salarié va devenir trop attractif parce que je vais lui payer des certifications et il va aller chez mon concurrent » . Potentiellement, si on n'a pas travaillé sur le premier levier, oui. Enfin, le troisième levier dont je parlerai, la fidélisation. Mais c'est vrai que si on n'investit pas un peu sur les profils, on aura du mal à les garder à un même niveau d'exigence de ce qu'on attend d'un expert salarié en entreprise. donc Il faut à la fois former pour améliorer les compétences, il faut former aussi pour faire des transitions internes, travailler sur la transition en interne de profils qui étaient sur des métiers connexes et essayer de les faire transiter si ce souhait existe en interne. Donc il faut vraiment travailler sur la politique de formation. Et puis, je vais terminer sur la fidélisation. Et c'est vrai que c'est pour moi l'axe clé qui est compliqué. Là aussi, c'est pas... pas sous incantation parce que voilà les candidats ont des propositions quasiment tous les jours de recruteurs qui les contactent pour pouvoir les attirer ailleurs et ça fait partie de mon métier donc c'est un axe peut-être c'est l'axe le plus compliqué la fidélisation le turnover il est important la tentation elle est grande aussi pour les candidats mais c'est un axe sur lequel il faut Il faut vraiment travailler. Il y a des entreprises qui ont une fidélisation dans le secteur. et ça fait partie des bons exemples. J'en ai une, elle coche ses trois points et pour moi, en tant que recruteur, je n'arrive pas à débaucher chez elle. Donc c'est une entreprise qui pour moi en fait est un modèle parce que je ne peux pas chasser là. Parce que les candidats ont une une attractivité hyper forte.
Speaker #0
Je ne peux pas du tout les citer.
Speaker #1
Je ne peux pas l'écouter.
Speaker #0
Quel secteur d'activité ? Pour deviner, c'est justement pour voir un peu quel secteur.
Speaker #1
Tout le monde devinera, ça va être sur de l'offensif, mais ils sont très bons sur l'attractivité de talent, sur la formation interne, sur la fidélisation, tant sur les profils juniors que sur les profils seniors. Ce n'est pas une grosse entreprise, enfin c'est une grosse entreprise, mais ce n'est pas une entreprise immense, mais elle a réussi à travailler sur ces trois aspects. et pour moi en fait c'est un peu la... Le modèle qui tue potentiellement ma propre activité, donc il ne faut pas que tout le monde y arrive. Elle a cette capacité d'auto-attraction. Je ne peux pas non plus vendre de mission chez elle parce qu'elle a cette capacité très forte d'attirer des candidats, de travailler sur la formation interne et de travailler sur la fidélisation. C'est très compliqué de l'atteindre, donc j'ai encore de beaux jours devant moi. mais l'idée c'est qu'aussi moi l'idée d'accompagner mes clients sur cette structuration de leur politique RH pour correspondre aux attentes des candidats et que ce soit un peu plus stable et un peu moins, on va dire, mouvant. On est sur une instabilité complète et donc il faut arriver à travailler sur ces trois axes.
Speaker #0
Guillaume, merci beaucoup pour cet état des lieux un peu plus complet. Je vais évidemment encourager nos amis recruteurs RH en entreprise à vous contacter s'ils n'appliquent pas tous vos conseils. Merci beaucoup pour votre participation et toutes ces données et tous ces conseils très précieux.
Speaker #1
Merci à toi, Melissa.
Speaker #0
Merci d'avoir suivi cet épisode d'Incyber Vs. Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.