Hélène LY

Contact
Les malentendus du recrutement IT – 5# La cybersécurité
Confused

Entre recruteurs et pros de la tech, il y a souvent des malentendus et des incompréhensions, même quand on croit parler le même langage. Et la plupart du temps, cela vient d’idées reçues et de croyances, parfois difficiles à déconstruire.

Avec cette nouvelle série d’articles, je veux revenir sur tout ces « petits trucs » qui compliquent le dialogue entre le monde du recrutement et celui de la tech.

Mon objectif : vous aider à mieux vous comprendre pour travailler plus facilement ensemble.

Pour ça, je vais décortiquer les malentendus et idées reçues que je vois le plus souvent. Et surtout vous donner des pistes pour y remédier.

Si vous avez raté les précédents, retrouvez les ici : le DevOps, le Développement, le Vibe Coding (épisode hors série), l’Agilité et le cloud.

Pour ce 5ème épisode, j’ai choisi de parler de cybersécurité.

Depuis quelques mois, c’est un terme dont on parle beaucoup. Vraiment beaucoup. La cybersécurité est présenté comme un métier d’avenir, qui répond à des enjeux forts pour les entreprises comme pour les particuliers. Mais côté recrutement, on s’emmêle facilement les pinceaux. La vision est souvent partielle et caricaturale et vient compliquer les échanges entre clients, recruteurs et candidats.

Je reviens donc sur les 3 malentendus les plus fréquents autour de la cybersécurité et comment faire pour les limiter.

Avant de commencer, petit point de vocabulaire

On mélange souvent sécurité, sécurité informatique et cybersécurité.
La sécurité regroupe tout ce qui vise à protéger une entreprise : les personnes, les locaux, les systèmes et les données.
La cybersécurité est une branche de la sécurité qui concerne la protection de l’écosystème numérique : les systèmes connectés, les services en ligne, le cloud, les menaces numériques.
La sécurité informatique est une sous-catégorie de la cybersécurité : elle se concentre sur les infrastructures IT internes : serveurs, réseaux, données.

Maintenant que j’ai dit ça, dans cet article, j’utiliserai le terme cybersécurité pour désigner l’ensemble des métiers de la sécurité.

1/ Malentendu n° 1 : « la cybersécurité, c’est surtout du hacking »

Malentendu n° 1 : « la cybersécurité, c’est surtout du hacking »
Pourquoi c’est un malentendu

Quand on parle cybersécurité, beaucoup pensent uniquement aux intrusions, au piratage, aux tests d’attaque.

Le hacking existe évidemment, mais il ne représente qu’une partie des métiers de la sécurité.

La cybersécurité couvre bien d’autres domaines : prévention, détection, surveillance, gestion du risque, conformité, gouvernance, réponse à incident, sécurité applicative, sécurité des identités, sécurité cloud, etc.

Réduire la cyber au hacking donne une vision très incomplète des rôles et des besoins. Ce serait comme réduire le recrutement au sourcing ou aux entretiens 😉

Pourquoi ça perdure

Parce que le hacking est la partie la plus visible et la plus médiatisée. Celle qui fait les gros titres, dont on parle dans les films et les vidéos YouTube. Le hacking est « facile » à mettre en scène et a quelque chose de fascinant pour le grand public.

Donc dans l’imaginaire collectif (et dans beaucoup d’entreprise) cyber = attaque.

Comment y remédier

En réintroduisant la diversité des métiers de la sécurité dans les échanges de cadrage.

Par exemple, distinguer les rôles orientés attaque de ceux orientés prévention et contrôle, comme :

  • l’analyste SOC pour la surveillance et la détection
  • l’ingénieur gestion des identités et des accès (IAM)
  • le spécialiste GRC (Gouvernance, Risques et Conformité)
  • l’architecte sécurité
  • le responsable sécurité des SI (RSSI)
  • l’analyste réponse à incident
  • le spécialiste sécurité cloud ou applicative

Posez-vous la question : « on cherche quelqu’un pour attaquer, surveiller, prévenir, contrôler ou piloter le risque? ». Ça permet déjà de sortir du réflexe « cyber = hacking ».

2/ Malentendu n°2 : « la cybersécurité, c’est uniquement de la technique »

Malentendu n°2 : « la cybersécurité, c’est uniquement de la technique »
Pourquoi c’est un malentendu

Ce malentendu découle directement du précédent. Si on associe uniquement la cybersécurité au hacking et aux attaques, on en déduit logiquement qu’il faut surtout des outils, des architectures complexes et des experts techniques pour se défendre.

La réalité est évidemment plus large. Une part importante de la sécurité repose aussi sur : la gestion du risque, la conformité, les politiques de sécurité, les processus, la gouvernance, la sensibilisation des utilisateurs, la stratégie globale de protection.

D’ailleurs une part importante des incidents majeurs viennent d’une erreur d’organisation, de compréhesion ou de processus. Pas d’un manque d’outils.

Autrement dit : on ne sécurise pas une organisation uniquement avec des outils mais aussi avec des règles, des décisions, de la coordination et de la prévention humaine. Certains rôles ont donc très peu de production technique directe, tout en étant structurants pour le niveau de sécurité réel de l’entreprise.

Pourquoi ça perdure

Parce que la technique est concrète et rassurante : un outil, un scan, une solution, c’est visible, on peut faire une démo et c’est « mesurable ».

Historiquement, beaucoup de professionnels de la sécurité ont un bagage très technique. Et ce sont souvent les profils qui prennent le plus la parole sur les réseaux . Alors ça renforce l’idée que la sécurité est avant tout un sujet d’expertise technique.

Comment y remédier

En arrêtant de se focaliser sur la technique quand ce n’est pas nécessaire. Essayez de bien cadrer le besoin de comprendre le rôle de la personne que vous cherchez.

Posez des questions simples et très concrètes :

  • Est-ce que la personne va surtout configurer / exploiter des outils de sécurité, ou définir des règles et des processus ?
  • Est-ce qu’elle va produire techniquement au quotidien, ou analyser, contrôler et faire appliquer ?
  • Est-ce qu’on attend d’elle des livrables techniques (config, scripts, architecture) ou des livrables de pilotage (politiques, analyses de risque, plans d’audit, tableaux de conformité) ?
  • Avec quelles équipes va-t-elle travailler: équipes IT, juridique, conformité, les quipes métiers ?

Les outils ne sont que des moyens, pas une fin en soi. Ils sont incontournables dans beaucoup de postes, mais doivent rester au service d’une politique, d’une stratégie plus globale.

3/ Malentendu n°3 : « on peut confier toute la sécurité à un bon profil dev ou infra »

Malentendu n°3 : « on peut confier toute la sécurité à un bon profil dev ou infra »
Pourquoi c’est un malentendu

Un profil développement ou infrastructure doit bien sûr intégrer des pratiques de sécurité dans son travail : sécuriser le code, gérer les droits, durcir une configuration, appliquer des correctifs, protéger un réseau.

Mais appliquer des briques de sécurité dans son périmètre ne veut pas dire couvrir l’ensemble des sujets sécurité de l’entreprise. Comme on l’a vu depuis le début de cet article, la sécurité inclut de nombreuses tâches et missions qui ne peuvent pas être gérée uniquement par les dev ou les ingés systèmes/réseaux et cloud.

Un bon dev ou un bon admin sécurise son périmètre.
Un spécialiste sécurité pilote et structure un ou plusieurs sujets sécurité du système dans son ensemble.

Pourquoi ça perdure

Parce que, dans beaucoup d’organisations, le sujet sécurité a longtemps été rattaché aux équipes systèmes et réseaux. Et c’est encore souvent le cas aujourd’hui, notamment dans PME. Elles doivent gérer la sécurité « en plus du reste ».

Et puisque recruter des spécialistes sécurité est difficile, les entreprises ont souvent le réflexe de s’appuyer sur des profils techniques qui sont déjà en place. Comme ces profils touchent déjà à des sujets sécurité, on finit par élargir leur responsabilité, parfois au-delà de ce qui est raisonnable ou efficace.

Je pense qu’il y a aussi un facteur budget. Recruter un profil sécurité dédié est souvent perçu comme un coût supplémentaire, plutôt que comme un investissement.

Comment y remédier

Vous avez besoin de déterminer précisément si vous cherchez un profil technique sensibilisé à la sécurité ou un profil spécialisé dans la sécurité. Donc creusez autant que possible le niveau attendu et le contexte.

Quelques exemples de questions

  • est-ce qu’on cherche quelqu’un qui a seulement appliqué des règles de sécurité ?
  • ou quelqu’un qui les a définies, contrôlées et fait évoluer ?
  • la personne doit-elle avoir eu des missions explicitement sécurité, avec responsabilité dédiée ?

Et posez clairement la question du budget : le niveau d’expertise sécurité attendu est-il cohérent avec le niveau de rémunération prévu ? Sur ce point, n’hésitez pas à télécharger le dernier baromètre des salaires des métiers IT et digital, réalisé par Seyos.

Bonus : « la sécurité ralentit et bloque les projet »

« la sécurité ralentit et bloque les projet »

J’ai entendu ça plusieurs fois ces derniers mois avec l’idée que « c’est un mal nécessaire ».

La sécurité est souvent perçue comme l’équipe qui dit non. Qui arrive avec une liste d’interdictions alors que tout est prêt.

Mais la sécurité ne cherche pas à bloquer les projets, elle cherche à réduire le risque. Son rôle n’est pas de dire “non” par principe, mais de poser un cadre : identifier les risques, mesurer l’impact possible, et proposer des protections ou des solutions de contournement acceptables.

Une sécurité bien intégrée ne freine pas un projet : elle évite surtout qu’il s’arrête brutalement plus tard (à cause d’un incident, une fuite de données, une non-conformité etc)

Si la sécurité donne l’impression de bloquer, c’est aussi parce qu’elle intervient souvent trop tard. Quand les choix techniques sont déjà faits et qu’il reste peu de marge.

C’est pour ça que les profils sécurité doivent travailler en amont avec les équipes dev, infra et produit. Pour sécuriser le parcours et éviter des catastrophes qui pourraient mettre en péril toute l’activité…

Conclusion

Comme beaucoup de sujets IT, la sécurité est un terme très utilisé mais qui recouvre des périmètres, des métiers et des niveaux de responsabilité très différents selon les organisations.

Ce n’est pas un simple label à poser sur une fiche de poste. Derrière la sécurité, il y a des rôles variés, des approches complémentaires et des attentes très différentes entre application de bonnes pratiques, pilotage du risque et stratégie globale de protection.

Côté recrutement, votre rôle est de sortir du réflexe “profil sécurité” générique et de creuser le contexte réel : missions, responsabilités, niveau d’autonomie, exposition au risque, moyens alloués.

Deux entreprises qui disent chercher « un profil sécurité » cherchent souvent deux profils très différents.

Si vous avez besoin de renforcer votre culture tech pour limiter les malentendus, j’ai rédigé un guide complet que vous pouvez acheter ICI.

Rendez-vous dans quinze jours pour décortiquer un nouveau malentendu du recrutement IT

Cet article vous a plu ? Partagez le à quelqu'un
Facebook
Twitter
LinkedIn
Email
Ces articles pourraient aussi vous intéresser

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Débutant dans le monde du recrutement IT ?

Vous aussi vous pensez que l’univers de l’IT est réservé à une élite ou aux « geeks »  ?

Peut-être même avez-vous passé des heures à déchiffrer les acronymes et définitions sans rien y comprendre.

Avant de vous lancer dans une formation par manque de temps ou de budget, prenez le temps de vous former en toute sérénité ! 

Découvrez le lexique pour les recruteurs techs, avec des définitions simples, en français, relues et validées par des professionnels.

Il vous permettra de gagner du temps et d’avoir de bonnes bases pour échanger plus facilement avec les candidats.

acheter le lexique