“Pour 34% des CIO belges, la cybersécurité et la protection des données de l’entreprise sont une priorité absolue en 2021”. 

C’est là l’un des enseignements tirés d’une enquête – internationale mais incluant donc le marché belge – réalisée par l’agence de recrutement Robert Half auprès de quelque 1.500 décideurs (300 par pays).

34%, c’est pas mal mais pas assez et, surtout, c’est certes une thématique qui est considérée comme prioritaire mais qui se fond dans la masse d’autres priorités et urgences – notamment induites par la crise sanitaire et le bouleversement des processus et des contraintes informatiques (télétravail, débit et disponibilité d’applications et de données à assurer, basculement vers le cloud, automatisation des processus, gestion RH bousculée…).

“Nombre de sociétés sont encore au stade de la définition d’une stratégie de reconstruction post-pandémie. Et beaucoup ne peuvent se permettre d’investir en cyber-sécurité”. Par manque de moyens – financiers ou humains.

Le serpent se mord la queue

C’est plus particulièrement le cas – cela n’étonnera personne – du côté des PME [qui constituent l’essentiel de l’échantillon de participants belges à l’étude]. “La plupart des entreprises, dans notre échantillon ou sur le marché d’une manière générale, n’ont pas la taille critique suffisante pour pouvoir employer un cyber-spécialiste à temps plein. Les grandes entreprises qui ont l’envergure nécessaire ont, elles, déjà compris les enjeux.”

Des enjeux dont les plus petites n’ont pas encore pris conscience. Ou, s’ils elles l’ont fait, pour lesquels elles ne sont pas encore passées à l’action. Or, c’est justement chez elles que la prise de conscience est sans doute la plus critique dans la mesure où elles sont le plus exposées… par manque de moyens et de compétences internes (ou sous-traitées). Autrement dit, le serpent se mord la queue.

“La prise de conscience, en termes de risques encourus, du danger que représentent tous les types d’attaques, y compris les plus petites du genre hameçonnage [phishing], doit surtout ce faire du côté de celles qui n’ont pas un CISO voire une équipe dédiée de cyber-sécurité”, insiste-t-on chez Robert Half.

Cédric Desmet, directeur adjoint de Robert Half Belgique, souligne pour sa part le fait que, toutes catégories confondues, le pourcentage relevé (34%) est insuffisant. Puisqu’aussi bien toutes les entreprises, quelle que soit leur taille, quel que soit leur domaine d’activité, sont exposées et visées.

“Il est essentiel d’investir davantage en cyber-sécurité, surtout si l’on est une société qui traite des données privées, a fortiori sensibles. “Il est important que les entreprises s’améliorent dans la prévention des attaques.”

L’attitude est encore trop souvent à l’attentisme. “Lorsqu’une société n’a pas encore été confrontée à un problème, à un piratage, elle n’en mesure pas le coût.” Et elle continue de justifier son inaction en disant qu’investir en (cyber-)sécurité “ne lui rapporte rien.”

Si la pandémie fut l’occasion pour les cybercriminels de redoubler d’inventivité et d’activité, si les risques auxquels sont confrontées les entreprises se sont encore multipliés et diversifiés, la prise de conscience, de l’avis de Robert Half, demeure encore insuffisante. Et cette société spécialisée en recrutement est particulièrement bien placée pour en témoigner sous l’angle RH: “Les risques se sont multipliés mais cela ne s’est pas encore traduit par une augmentation de la demande de profils ad hoc”.

Pénurie de profils

Mais même si la demande de recrutement de tels profils n’a pas encore explosé, les spécialistes en cyber-sécurité n’en demeurent pas moins déjà très demandés et recherchés.

Etant trop peu nombreux, les recruteurs peinent à trouver chaussure au pied des entreprises. Qu’adviendrait-il si la demande (les offres d’emplois pour profils cyber-sécurité) augmentait?

Dans l’état actuel des choses, la carence de profils se situe essentiellement du côté des spécialistes “pointus” mais Cédric Desmet met aussi le doigt sur un autre problème: “dans le registre de la sécurité informatique et de la cyber-sécurité, comme dans d’autres domaines, les entreprises sont de plus en plus à la recherche de profils présentant des compétences ou qualités de type QE et QA” [lisez: quotient émotionnel et quotient d’adaptabilité].

“Les plus difficiles à trouver ne sont pas les compétences purement techniques”. Il est d’ailleurs possible, le cas échéant, de les former. Le besoin et la pénurie s’expriment surtout en termes de “soft skills”. Du genre? “Des compétences en communication, en analytique, une aptitude à la flexibilité…”.
Premier exemple de compétence fort demandée et d’ailleurs imposée par nos environnements actuels: la capacité et la propension naturelle à communiquer – une demande plus particulièrement en progression en situation de travail dispersé, s’effectuant à distance.

En la matière, ce que l’on attend ou devrait attendre des spécialistes en cyber-sécurité, c’est d’être en mesure, spontanément, de jouer le rôle d’évangélisateurs des risques, de diffuseurs d’informations et bons conseils. Largement donc au-delà de rôles purement techniques et opérationnels qui sont traditionnellement les leurs.

“Les cyber-spécialistes qui peuvent traduire les connaissances, souvent très techniques, en informations compréhensibles, même pour les profils moins techniques [que l’on trouve dans l’enceinte d’une entreprise], peuvent faire en sorte que les organisations soient mieux informées des risques et des menaces. Et comprendre le problème est le début de la solution”, souligne Cédric Desmet.

“Au minimum, les experts en cyber-sécurité devraient avoir la fibre Communications, une propension à sensibiliser, communiquer, pousser les gens à s’informer et à se former, même si ce ne sont pas eux qui organisent et donnent les formations.”

Cédric Desmet (Robert Half): “En interne, les entreprises manquent encore souvent de compétences en cyber-sécurité. Et ceux qui seraient potentiellement destinés à s’en charger ne savent pas comment ou contre quoi se protéger.”

Autre aptitude très demandée: une capacité à s’adapter aux changements – et la cyber-sécurité est un exemple parfait de mutations constantes.

“Si les compétences techniques – connaissances réseau, maîtrise de pare-feu… – sont aisées à apprendre, il en va autrement d’autres registres: gestion de risques, mise en conformité, culture du changement…”

Comment les entreprises peuvent-elles veiller à développer ces compétences auprès des personnes chargées de la (cyber-)sécurité? Ou qui et comment permettre à ces personnes d’acquérir ce genre de compétences? “C’est une question difficile. C’est notamment du ressort des responsables RH. Ce qui est sûr, c’est que les profils les plus difficiles à trouver sont ceux combinant compétences techniques et QA. Généralement, les gens sont forts dans l’un ou dans l’autre. Pas dans les deux…”