Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Mes experts sécurité démissionnent… au secours, à l'aide !

Mes experts sécurité démissionnent… au secours, à l'aide !
2013-06-122013-06-12bonnes pratiquesfr
Alors que la tendance économique n'est pas à l'embellie, le domaine de la sécurité fait figure d’exception en affichant une croissance annuelle proche de 10%. Capter une partie de cette croissance demande savoir-faire et expertises. Alors... comment faire ?
Publié le 12 Juin 2013 par Jean-François Audenard dans bonnes pratiques
a magnifying glass and people

Alors que la tendance économique n'est pas à l'embellie, le domaine de la sécurité fait figure d’exception en affichant une croissance annuelle proche de 10%. Capter une partie de cette croissance demande savoir-faire et expertises.

Pour corser l'affaire, la compétition est aussi bien présente entre secteur publique et secteur privé comme l'indique LeMagIT dans son article "Cyberdéfense : la France va devoir se donner les moyens de ses ambitions" du 4 juin 2013.

Dans un tel contexte de pénurie et de compétition pour les compétences en sécurité, la logique voudrait que les entreprises fassent tout ce qu'elles peuvent pour motiver et conserver leurs experts sécurité et qu'elles mettent en place des plans de recrutement s'inscrivant tant dans le court terme que sur le moyen/long terme : certaines entreprises savent faire, d'autre pas. Rester inactif, c'est perdre ses meilleurs profils.

Comment motiver ses experts ? Comment encourager leur montée en puissance ? Comment attirer de nouveaux profils ? C'est à ces questions que je tenterai d'apporter quelques éléments de réponse.

un expert, cette personne un peu particulière

Un expert aime le challenge, la nouveauté et la découverte de nouveaux sujets. Il  aime prendre part à des projets innovants qui lui posent des défis et qui lui offrent l'opportunité de satisfaire sa soif d'apprendre.

Quand un expert ne "trouve pas son compte" :

  • il peut prendre la grosse tête et se prendre pour une star et défendre des positions décalées
  • il peut rester dans son coin et travailler sur d'obscurs sujets que seul lui comprend
  • il mettra les voiles et ira regarder ailleurs (autre service/direction/société) pour y trouver ce qu'il cherche

Au mieux, la valeur générée par les experts pour leur entreprise diminuera clairement. Au pire son  savoir-faire et expertises s'appauvriront au fil des départs et démissions.

développement des expertises

Dans le domaine de la sécurité, le maintien et le développement des compétences est essentiel. Le domaine évolue si vite que ne pas apprendre sans cesse veut dire baisser en valeur. Une personne qui se "repose sur ses lauriers" pendant 2 ans sera "out of the game" et devra cravacher doublement pour revenir dans la course.

Les offres de formation présentes dans les "catalogues standards" que les entreprises négocient en gros sont très rarement adaptées pour des personnes de profil "expert". Les vrais experts ont plutôt tendance à développer leurs compétences en toute autonomie et surtout en dehors du cadre classique de la "formation professionnelle cataloguée". Une exception : les formations "courtes et denses" d'une journée permettant de découvrir un sujet sont intéressantes.

Pour encourager des experts à développer leurs expertises, voici les recommandations que je pourrai proposer à un manager avisé :

  • abonnez-les à des revues spécialisées (MISC, ...)
  • remboursez-leur systématiquement leurs livres techniques (Amazon, O'Reilly, ...)
  • encouragez-les à être membre d'associations professionnelles (IEEE, ...)
  • envoyez-les dans des conférences spécialisées (STIC, Blackhat, HackInParis, HITB, ...)
  • laissez-leur une marge de manœuvre sur le choix des sujets ou projets dans lesquels ils vont s'impliquer, les encourager et leur faciliter la tâche

épanouissement des experts

Les experts sont des personnes ayant soif de nouveauté, de choses fun, de trucs techniques et que leur expertise soit reconnue. Il n'existe évidemment pas de recette pour que vos experts s'épanouissent car c'est une considération très "humaine/personnelle" qui est donc très complexe. Mais si on me pose la question, voici ce que je mettrai comme idées  sur la table :

  • financez la mise en place d'un FabLab/HackLab en interne (de vraies "usines à idées")
  • mettez du fun dans leurs activités (le casual friday, des social-events)
  • encouragez les expérimentations (c'est en essayant que l'on trouve et on apprend souvent beaucoup de ses erreurs)
  • faites en sorte qu'ils interviennent dans des présentations/évènements internes et externes
  • créez une communauté d'experts
  • célébrez les succès et donnez de la reconnaissance (bref, être humain !)

Par ailleurs, vous pouvez aussi développer les ponts entre divisions et activités pour que vos experts découvrent d'autres métiers et viennent en renfort sur les dossiers et affaires les plus complexes ou ayant de forts enjeux en termes de business. Encouragez leur implication dans des initiatives comme monter un blog d'entreprise.

Une autre idée est d'impliquer les plus dynamiques et volontaires dans la gestion des incidents de sécurité : un expert aime rester proche du terrain et au contact de la vraie vie. Rien de tel que de faire partie intégrante de l'équipe de Men-In-Black interne (ces personnes qui débarquent en mode "tontons flingueurs" pour gérer un problème de sécurité).

rémunération et moyens

Comme pour toute personne, la rémunération des experts est importante. Le marché de l'emploi étant particulièrement concurrentiel, un expert sécurité sera forcément démarché et pourra facilement provoquer les sollicitations (merci entre-autres aux LinkedIn & Viadéo).

Après, au-delà de la rémunération, il est essentiel de lui mettre à disposition des outils de travail modernes et actuels :

  • équipez-les d'une tablette ou d'un smartphone dernier cri (l'un ou l'autre ou les 2 !)
  • facilitez-leur l'accès aux moyens techniques d'expérimentation et de développement
  • proposez-leur un plan de rémunération attractif avec des augmentations indexées sur la croissance du marché et celle du chiffre d'affaire sécurité réalisé (oh oui !)
  • mettez des stock-options dans leur plan de rémunération : c'est un très bon moyen de conserver les personnes et de les motiver sur le long terme

Ne pas augmenter un expert (ou ne l'augmenter que de façon symbolique) c'est l'encourager à  regarder ailleurs, surtout dans les temps actuels !

un plan de recrutement, de formation résolument social

Un expert a besoin d'être au contact et de travailler avec d'autres experts pour qu'il aille de l'avant. Au même titre, il sera compliqué de recruter de nouveaux experts si vous n'en avez aucun en interne ou si votre entreprise n'est pas attrayante en externe.

Alimenter la "pompe à recrutement" se gère sur la durée. Chaque entreprise a sa stratégie. Voici quelques idées sur le sujet :  

  • combien de postes sont ouverts en externe pour des profils en sécurité ? (c'est un indicateur clair de vos ambitions pour un candidat éventuel)
  • l'entreprise a-t-elle liée les partenariats avec des universités des écoles d'ingénieur ?
  • quelle approche pour développer les parcours de professionnalisation et de tutorat (stages, alternance, apprentissage, etc.) ?
  • mettez un plan de cooptation en place (prime au recrutement) : un expert a dans ses relations d'autres expert, faites en sorte qu'il les fasse venir chez vous

Au-delà, l'image de l'entreprise et de son expertise en sécurité est primordiale : elle doit être attractive auprès de la "jeune génération" et suffisamment "sexy" pour attirer les nouveaux et conserver les personnes en interne.

J'aurai tendance à dire de ne plus focaliser les recrutements uniquement basés sur le niveau de diplômes ou sur des listes de certifications sécurité longues comme le bras : il serait dommage de passer à côté d'experts ne répondant pas à des critères parfois un peu surfaits.

le mot de la fin

La sécurité demande des compétences, de l'expertise, de penser différemment et surtout une bonne dose de curiosité.

Mon avis personnel est qu'une entreprise ayant de réelles velléités de se développer dans ce domaine en pleine croissance (mais aussi ultra compétitif) doit mettre en place une démarche volontaire de maintien et de développement des personnes ayant une expertise dans le domaine.

Le risque d'une approche trop "timorée" risque de voir ses meilleurs experts partir...

Mettre à disposition des experts tous les moyens utiles pour qu'ils s'éclatent (fondamentalement pas très couteux), y ajouter un coup de pouce du côté de la rémunération : vous y gagnerez sur tous les tableaux !

Jean-François Audenard (aka Jeff)

crédit photo : © Trueffelpix - Fotolia.com

7 Commentaires

  • 3 Décembre 2013
    2013-12-03
    par
    Bonjour 2.0.
    J'espère aussi que cet article fera écho pour les décideurs... qui parfois pensent que leurs experts resteront motivés "sans limite de péremption" (si ils restent tout court).
    Mais le pire (?) c'est lorsque des décideurs mettent l'accent sur le recrutement de nouveaux profils et laissent "végéter" leurs experts en place sans entretenir leur flamme... Le terme juste est plutôt "gachis". :-) Est-ce un manque de jugement ou de compréhension de la psychologie des experts ? Je ne saurai dire.
    De toute façon, ceux qui font ainsi n'attireront que très difficilement de nouveaux talents car "on attire pas des mouches avec du vinaigre..."...
    Jeff.
  • 2 Décembre 2013
    2013-12-03
    par
    2.0
    Bonsoir,
    Vous avez ciblé dans votre article tous les maux des entreprises quant à leurs experts sécu. J'en fait parti et me suis reconnu dans l'ensemble du texte.
    J'espere sincerement que votre article fera echo.
    Merci encore
    2.0
  • 20 Juin 2013
    2013-12-03
    par
    Diane
    Merci Jean-François pour cet article, qu'il faut d'ailleurs appliquer à tout profil qui a choisi sa voie par vocation. Un mot dont on parle peu en France, et pourtant... qui fait souvent la différence.
    Ce constat s'inscrit dans une problématique plus large... qu'est la difficulté à valoriser nos métiers (RSSI, consultants, ...), notre secteur d'activité, notre place dans la vie économique. Le risque numérique doit faire partie de la stratégie de compétitivité et pour cela, les acteurs que nous sommes doivent s'extraire d'un modèle très "fournisseur" pour se positionner davantage comme "partenaire", aboutir à une vision globale commune, gagner en influence; mais tout en restant humbles et en acceptant un travail plus collaboratif avec les métiers, et tourné vers le risque.
  • 13 Juin 2013
    2013-12-03
    par
    Florent
    Bonjour Jean-François, je commence pour ma part à me demander ce qu'est un expert sécurité et à quoi ça sert.
    Est-ce le RSSI qui doit tout connaître et tout superviser ?
    Est-ce l'admin réseau/sécu qui doit connaître les nouveaux produits et le fin fond les lignes de commande ?
    Est-ce le consultant qu'on appelle en support ? Pour moi la première chose pour l'expert est de ne pas être isolé. Il lui faut un réseau et/ou des collègues experts sécu et/ou aller régulièrement à des conférences et dans des cercles sécu. J'ai fait un bref passage dans une boîte où j'étais le seul pentester et je dois dire que rien ne me donnait envie de discuter à la machine à café...
    Les contacts aident à avoir des idées, des leviers, savoir si on est en avance ou en retard sur les techno, relativer, être au courant des opportunités, de tout en fait :)
    La veille est une part importante du job, il faut MISC (on est d'accord), les nouveaux bouquins (tout le monde a précommandé le prochain bouquin de Bejtlich ? http://www.nostarch.com/nsm), aller à des conférences (à son niveau pas besoin d'être au courant des dernières techniques de reverse pour un RSSI). J'ai bien peur que les boîtes (en général) n'ait besoin que d'un RSSI (pour la conformité et avoir une tête qui peut tomber) et de quelques admins réseau (confirmés/seniors) interchangeables. Il n'y a pas un très gros besoin de conserver les personnes longtemps. A noter qu'un RSSI de plus de 45 ans ne va pas s'amuser à changer de poste très souvent et recherche la stabilité de toute façon. La grosse problématique est surtout dans les boîtes qui veulent monétiser la sécurité (faire du chiffre) et qui ont besoin de masse. Ce sont principalement les SSI, cabinets de conseil et quelques éditeurs. Ca leur coûte cher de renouveler le personnel, de perdre des seniors et de ne faire rentrer que des juniors. Mais en France je doute qu'il y ait eu des calculs entre l'argent perdu à former les jeunes et l'argent perdu à laisser des jours de R&D aux seniors. La bonne ambiance reste mal vu dans les bureaux. Une équipe de pentesters sera toujours un peu exhubérante à côté du bureau des auditeurs orga bien cravatés en train de lire la dernière norme ISO27xxx. Un des nouveaux besoins est celui d'avoir un SOC en interne. Là aussi ça va poser problème de garder les compétences dans la durée. Les employés tendent à avoir des promotions (enfin le moins possible) et des augmentations (pas trop non plus) et nécessairement il faudra proposer un autre poste (qui correspond mieux à la rémunération) à un expert en sécurité informatique dans une société dont ce n'est pas le métier... Il risque donc de partir dans une société plus grosse avec un SOC qui a besoin de monde et dont le niveau de hiérarchie lui permettra de monter en grade. Je crois que l'informatique est un métier de support qui ne permet pas un progression verticale dans une seule et même société (en dehors des sociétés purement informatiques et encore). Il n'y a pas encore une carrière toute tracée dans la sécurité et il n'y en aura sans doute jamais. Cordialement,
    Florent
  • 12 Juin 2013
    2013-12-03
    par
    B3r3n
    Un complément : mon telephone est perso car mon employeur crie au forfait de plus de 50euros, refusant Internet et donnant un téléphone de l'ancien temps.
    Mon employeur est opérateur de télécommunications en plus !!

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage