mes experts sécurité démissionnent… au secours, à l'aide !

Partager

Alors que la tendance économique n'est pas à l'embellie, le domaine de la sécurité fait figure d’exception en affichant une croissance annuelle proche de 10%. Capter une partie de cette croissance demande savoir-faire et expertises.

Pour corser l'affaire, la compétition est aussi bien présente entre secteur publique et secteur privé comme l'indique LeMagIT dans son article "Cyberdéfense : la France va devoir se donner les moyens de ses ambitions" du 4 juin 2013.

Dans un tel contexte de pénurie et de compétition pour les compétences en sécurité, la logique voudrait que les entreprises fassent tout ce qu'elles peuvent pour motiver et conserver leurs experts sécurité et qu'elles mettent en place des plans de recrutement s'inscrivant tant dans le court terme que sur le moyen/long terme : certaines entreprises savent faire, d'autre pas. Rester inactif, c'est perdre ses meilleurs profils.

Comment motiver ses experts ? Comment encourager leur montée en puissance ? Comment attirer de nouveaux profils ? C'est à ces questions que je tenterai d'apporter quelques éléments de réponse.

un expert, cette personne un peu particulière

Un expert aime le challenge, la nouveauté et la découverte de nouveaux sujets. Il  aime prendre part à des projets innovants qui lui posent des défis et qui lui offrent l'opportunité de satisfaire sa soif d'apprendre.

Quand un expert ne "trouve pas son compte" :

  • il peut prendre la grosse tête et se prendre pour une star et défendre des positions décalées
  • il peut rester dans son coin et travailler sur d'obscurs sujets que seul lui comprend
  • il mettra les voiles et ira regarder ailleurs (autre service/direction/société) pour y trouver ce qu'il cherche

Au mieux, la valeur générée par les experts pour leur entreprise diminuera clairement. Au pire son  savoir-faire et expertises s'appauvriront au fil des départs et démissions.

développement des expertises

Dans le domaine de la sécurité, le maintien et le développement des compétences est essentiel. Le domaine évolue si vite que ne pas apprendre sans cesse veut dire baisser en valeur. Une personne qui se "repose sur ses lauriers" pendant 2 ans sera "out of the game" et devra cravacher doublement pour revenir dans la course.

Les offres de formation présentes dans les "catalogues standards" que les entreprises négocient en gros sont très rarement adaptées pour des personnes de profil "expert". Les vrais experts ont plutôt tendance à développer leurs compétences en toute autonomie et surtout en dehors du cadre classique de la "formation professionnelle cataloguée". Une exception : les formations "courtes et denses" d'une journée permettant de découvrir un sujet sont intéressantes.

Pour encourager des experts à développer leurs expertises, voici les recommandations que je pourrai proposer à un manager avisé :

  • abonnez-les à des revues spécialisées (MISC, ...)
  • remboursez-leur systématiquement leurs livres techniques (Amazon, O'Reilly, ...)
  • encouragez-les à être membre d'associations professionnelles (IEEE, ...)
  • envoyez-les dans des conférences spécialisées (STIC, Blackhat, HackInParis, HITB, ...)
  • laissez-leur une marge de manœuvre sur le choix des sujets ou projets dans lesquels ils vont s'impliquer, les encourager et leur faciliter la tâche

épanouissement des experts

Les experts sont des personnes ayant soif de nouveauté, de choses fun, de trucs techniques et que leur expertise soit reconnue. Il n'existe évidemment pas de recette pour que vos experts s'épanouissent car c'est une considération très "humaine/personnelle" qui est donc très complexe. Mais si on me pose la question, voici ce que je mettrai comme idées  sur la table :

  • financez la mise en place d'un FabLab/HackLab en interne (de vraies "usines à idées")
  • mettez du fun dans leurs activités (le casual friday, des social-events)
  • encouragez les expérimentations (c'est en essayant que l'on trouve et on apprend souvent beaucoup de ses erreurs)
  • faites en sorte qu'ils interviennent dans des présentations/évènements internes et externes
  • créez une communauté d'experts
  • célébrez les succès et donnez de la reconnaissance (bref, être humain !)

Par ailleurs, vous pouvez aussi développer les ponts entre divisions et activités pour que vos experts découvrent d'autres métiers et viennent en renfort sur les dossiers et affaires les plus complexes ou ayant de forts enjeux en termes de business. Encouragez leur implication dans des initiatives comme monter un blog d'entreprise.

Une autre idée est d'impliquer les plus dynamiques et volontaires dans la gestion des incidents de sécurité : un expert aime rester proche du terrain et au contact de la vraie vie. Rien de tel que de faire partie intégrante de l'équipe de Men-In-Black interne (ces personnes qui débarquent en mode "tontons flingueurs" pour gérer un problème de sécurité).

rémunération et moyens

Comme pour toute personne, la rémunération des experts est importante. Le marché de l'emploi étant particulièrement concurrentiel, un expert sécurité sera forcément démarché et pourra facilement provoquer les sollicitations (merci entre-autres aux LinkedIn & Viadéo).

Après, au-delà de la rémunération, il est essentiel de lui mettre à disposition des outils de travail modernes et actuels :

  • équipez-les d'une tablette ou d'un smartphone dernier cri (l'un ou l'autre ou les 2 !)
  • facilitez-leur l'accès aux moyens techniques d'expérimentation et de développement
  • proposez-leur un plan de rémunération attractif avec des augmentations indexées sur la croissance du marché et celle du chiffre d'affaire sécurité réalisé (oh oui !)
  • mettez des stock-options dans leur plan de rémunération : c'est un très bon moyen de conserver les personnes et de les motiver sur le long terme

Ne pas augmenter un expert (ou ne l'augmenter que de façon symbolique) c'est l'encourager à  regarder ailleurs, surtout dans les temps actuels !

un plan de recrutement, de formation résolument social

Un expert a besoin d'être au contact et de travailler avec d'autres experts pour qu'il aille de l'avant. Au même titre, il sera compliqué de recruter de nouveaux experts si vous n'en avez aucun en interne ou si votre entreprise n'est pas attrayante en externe.

Alimenter la "pompe à recrutement" se gère sur la durée. Chaque entreprise a sa stratégie. Voici quelques idées sur le sujet :  

  • combien de postes sont ouverts en externe pour des profils en sécurité ? (c'est un indicateur clair de vos ambitions pour un candidat éventuel)
  • l'entreprise a-t-elle liée les partenariats avec des universités des écoles d'ingénieur ?
  • quelle approche pour développer les parcours de professionnalisation et de tutorat (stages, alternance, apprentissage, etc.) ?
  • mettez un plan de cooptation en place (prime au recrutement) : un expert a dans ses relations d'autres expert, faites en sorte qu'il les fasse venir chez vous

Au-delà, l'image de l'entreprise et de son expertise en sécurité est primordiale : elle doit être attractive auprès de la "jeune génération" et suffisamment "sexy" pour attirer les nouveaux et conserver les personnes en interne.

J'aurai tendance à dire de ne plus focaliser les recrutements uniquement basés sur le niveau de diplômes ou sur des listes de certifications sécurité longues comme le bras : il serait dommage de passer à côté d'experts ne répondant pas à des critères parfois un peu surfaits.

le mot de la fin

La sécurité demande des compétences, de l'expertise, de penser différemment et surtout une bonne dose de curiosité.

Mon avis personnel est qu'une entreprise ayant de réelles velléités de se développer dans ce domaine en pleine croissance (mais aussi ultra compétitif) doit mettre en place une démarche volontaire de maintien et de développement des personnes ayant une expertise dans le domaine.

Le risque d'une approche trop "timorée" risque de voir ses meilleurs experts partir...

Mettre à disposition des experts tous les moyens utiles pour qu'ils s'éclatent (fondamentalement pas très couteux), y ajouter un coup de pouce du côté de la rémunération : vous y gagnerez sur tous les tableaux !

Jean-François Audenard (aka Jeff)

crédit photo : © Trueffelpix - Fotolia.com

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)