Si les offres d’emploi de Responsable de la Sécurité des Systèmes d’Information (RSSI) et d’assistant RSSI se multiplient, force est de constater que les entreprises ont toujours autant de mal à recruter le profil idéal ayant l’ensemble des compétences nécessaires en matière de cybersécurité. Un match parfait qui reste rare sur le marché.
Face à la pression des réglementations qui s’accumulent et à leurs applications prochaines, le défi pour les ressources humaines semble double.
Comment les organisations peuvent-elles attirer et fidéliser des profils juniors dans leur équipe SSI ? Quelles méthodes adopter pour intégrer efficacement ces nouvelles recrues ?
Pour le savoir, découvrez 7 conseils pour sécuriser vos recrutements et de valoriser ces nouveaux collaborateurs au sein de votre entreprise.
1. Ne pas se limiter au profil SSI
Certaines compétences techniques sont des prérequis au rôle de RSSI : modélisation et conception des systèmes d’information, connaissance des normes et des réglementations, gestion des systèmes et réseaux… Cependant, il est important de rester indulgent lors de l’évaluation des candidats.
Selon l’ISC2, une organisation à but non lucratif spécialisée dans la formation professionnelle, ce ne serait pas moins de 4 millions de professionnels en cybersécurité qu’il faudrait recruter pour répondre à la demande des entreprises. Le métier de RSSI demande certes des connaissances techniques, mais aussi une parfaite gestion de la pression, de l’intuition et une clairvoyance dans la capacité à prendre des décisions malgré la criticité de la situation.
C’est pourquoi, si vous rencontrez un candidat dont le profil ne correspond pas exactement à vos attentes, évaluez d’abord sa volonté d’apprendre et sa capacité à s’adapter. Un candidat motivé et désireux de se former peut s’avérer être un atout précieux à moyen terme.
2. Faites le point sur vos besoins en matière de cybersécurité
Avant de penser à recruter, il vous est conseillé d’évaluer au préalable vos besoins en matière de cybersécurité. En définissant les missions de manière détaillée, vous donnez de la visibilité et de la crédibilité à votre offre et suscitez l’intérêt des candidats potentiels, tout en clarifiant le périmètre de leurs responsabilités futures. Cette étape préliminaire est nécessaire à la rédaction de la fiche de poste.
Sachez qu’un candidat consacre moins d’une minute à la lecture d’une offre d’emploi avant de décider de postuler ou non. En spécifiant précisément le rôle et les attentes liés au poste à pourvoir, vous augmentez vos chances d’attirer les bons profils et évitez les impasses. Recruter un professionnel avec 5 années d’expérience sur une solution technologique sortie il y a à peine 2 ans, est une aberration qu’il n’est malheureusement pas rare d’observer…
La clarté et la précision de votre fiche de poste ne sont pas seulement des outils de recrutement, elles sont également le reflet de votre sérieux et de l’environnement de travail réel de votre futur collaborateur.
3. Faites de votre nouveau collaborateur un relais de l’équipe SSI au sein de votre entreprise
La cybersécurité n’est plus l’apanage exclusif du RSSI. C’est pourquoi il est essentiel, lors de l’intégration d’un nouveau collaborateur junior dans l’équipe SSI, de prendre le temps nécessaire afin de le faire connaître et de lui présenter les différents départements et collaborateurs clés.
Cette démarche vise à lui fournir une compréhension globale du fonctionnement interne de l’entreprise tout en l’identifiant au sein de l’organisation. Pour ce faire, introduisez-le lors des réunions, expliquez son rôle et les projets sur lesquels il sera amené à travailler dans le but de faciliter son intégration et sa collaboration avec les autres membres de l’entreprise. Comme vous, votre collaborateur doit être, à son niveau, un relais de l’équipe SSI.
4. Transmettez-lui au quotidien votre vision de la cybersécurité
La cybersécurité ne se résume pas à une méthode ou une approche unique. C’est pourquoi il est essentiel, dès le premier jour, de partager avec votre nouveau collaborateur les décisions que vous avez prises par le passé et les points de vigilance qu’il doit intégrer au quotidien. En transmettant votre vision, il adoptera la même approche que la vôtre, évitant ainsi toute dissonance.
Aussi, afin de bénéficier de l’intelligence collective de votre équipe, encouragez auprès de vos collaborateurs une culture de la remise en question. Dans le domaine de la cybersécurité, être trop sûr de soi peut s’avérer dangereux – c’est pourquoi il est bénéfique tant pour le RSSI que pour le nouvel arrivant de confronter leurs idées.
En tant que collaborateur junior, et même s’il ne dispose pas de votre expérience, il peut néanmoins apporter des idées théoriques acquises durant sa formation qui peuvent s’avérer pertinentes. La communication doit être ainsi bilatérale : écoutez autant que vous partagez. Votre collaborateur junior ne se contentera pas simplement de répondre à vos questions : il pourra soulever de nouveaux sujets qui enrichiront sans doute votre approche et les débats au sein de votre équipe.
5. Priorisez ses missions
Les missions du RSSI ne manquent pas. À cet égard, il est courant pour le nouvel arrivant de s’égarer dans des tâches secondaires. Votre rôle en tant que RSSI est de définir clairement ses priorités dans l’entreprise pour le guider.
Une situation communément observée concerne la gestion des relations avec les tiers. Considéré comme un sujet important dans les formations de management à la sécurité de l’information, ce sujet peut être identifié comme non prioritaire dans votre entreprise. Ce choix peut être dû à des contraintes budgétaires, ou à une politique de sécurité de l’entreprise qui ne le considère pas comme un sujet urgent à traiter.
Le RSSI a la responsabilité d’enseigner ces différences et de gérer les priorités. Avoir une approche et un cadre clair permettra au nouveau collaborateur de se concentrer sur les missions les plus urgentes et de s’épanouir dans des tâches qui seront utiles.
6. Investissez du temps dans l’accompagnement pour en gagner plus tard
Face aux tâches qui s’accumulent, il n’est pas rare qu’un RSSI n’ait que trop peu de temps à consacrer aux collaborateurs juniors.
Cependant, accorder trop d’indépendance au nouvel arrivant peut le conduire à s’engager dans des projets qui n’apportent pas de valeur ajoutée.
Face à ce dilemme, quelle solution adopter ?
Une stratégie efficace est de mettre en place un système de reporting régulier. Il peut être hebdomadaire pour commencer, puis passer à une fréquence bi-hebdomadaire à mesure que votre collaborateur développe ses compétences et son autonomie. En maintenant ces points de contact, vous gardez une vision de la montée en compétences de votre collaborateur, vous identifiez ses forces et faiblesses et renforcez votre relation avec lui tout en renforçant l’intelligence collective au sein de votre équipe. Il n’est plus un simple assistant : il influence et est acteur des décisions de l’entreprise.
Gardez en tête que sans suivi, le nouvel arrivant peut se sentir négligé et envisager d’autres opportunités professionnelles, et ce, dès les 90 premiers jours. Une situation qui serait contre-productive puisqu’elle obligerait l’entreprise à investir de nouveau du temps et de l’argent dans le processus de recrutement.
Comme le dit le proverbe africain : « seul, on va plus vite, ensemble, on va plus loin ».
7. Formez-le aux outils et méthodes de pilotage
Si votre objectif est de faire de votre assistant une extension du RSSI, il vous sera nécessaire de le former aux outils et méthodologies appropriés pour la gestion de la cybersécurité. Il peut s’agir de lui apprendre à utiliser des cadres de référence comme NIST V1.1, ou de lui expliquer le processus de reporting.
Des outils comme Tenacy peuvent jouer un rôle clé en rendant la gestion de la cybersécurité plus simple et automatisée, permettant ainsi une uniformisation des pratiques. La plateforme facilite la gestion de la conformité au travers de standards tels qu’ISO 27001, DORA et 3CF, éliminant le besoin de reporting manuel dispersé dans des fichiers Excel.
En formant votre collaborateur à utiliser Tenacy, vous lui permettez non seulement de se libérer des tâches fastidieuses de reporting manuel, mais aussi de se concentrer sur des missions plus stratégiques et enrichissantes, et ce, malgré son besoin de montée en compétences.