Le secret pour constituer une équipe de cybersécurité à l’épreuve du temps
6 min read
Chaque entreprise est désormais une entreprise numérique. Selon le ministère britannique de la Culture, des Médias et des Sports (DCMS), 96% des entreprises britanniques ont « une certaine forme d’exposition numérique », offrant aux cybercriminels plus d’opportunités que jamais.
Des violations spectaculaires qui attirent l’attention du monde entier aux défaillances quotidiennes, le paysage des menaces de cybersécurité évolue rapidement, les cybercriminels étant enhardis à frapper un monde qui a adopté à la hâte les technologies numériques. ForgeRock Rapport de violation d’identité des consommateurs 2021 a révélé une augmentation de 450% des violations de nom d’utilisateur et de mot de passe, coûtant en moyenne 8,64 millions de dollars, attribuant en partie cette augmentation à un manque de préparation à la cybersécurité.
C’est dommage aussi, car les PDG avaient travaillé dur pour donner la priorité à la cybersécurité avant la pandémie. Quelque 77% des entreprises le considèrent désormais comme une priorité au niveau du conseil d’administration, selon DCMS. Mais les changements provoqués par la pandémie présentent aux chefs d’entreprise et de sécurité de nouveaux défis, tout en exacerbant les anciens. Et peut-être que l’obstacle le plus persistant à la mise en place d’une posture de cybersécurité suffisamment solide a été la constitution, la fidélisation et le développement des équipes de cybersécurité elles-mêmes.
Alors, dans le monde numérique post-pandémique d’aujourd’hui, où les cybercriminels voient une multitude d’opportunités, quels sont les secrets pour créer une fonction de cybersécurité de classe mondiale ? À mon avis, les trois éléments clés sont les attributs, les types de personnalité et les attentes.
Embaucher pour les attributs, pas l’expérience
La pénurie de personnel possédant des compétences hautement techniques en matière de cybersécurité, comme la conception de systèmes sécurisés, est bien documentée à ce stade (voir ici et ici), mais quelque chose qui est souvent négligé par les responsables de la cybersécurité est l’importance de l’embauche pour les compétences non techniques.
C’est un domaine où il y a eu des améliorations récemment – un Tripwire enquête ont constaté que 21 % des personnes interrogées considéraient les compétences générales comme plus importantes que les compétences techniques.
Cependant, il est toujours courant de trouver une entreprise essayant de constituer son équipe de cybersécurité en poursuivant une licorne insaisissable avec 15 ans d’expérience dans le domaine dont elle a besoin à ce moment particulier – par exemple, DevSecOps ou la détection d’intrusion – et sans tenir compte de l’autre. compétences dont ils auront besoin à long terme. Ils peuvent être la personne la plus talentueuse dans ce domaine, mais ils ont besoin de suffisamment de ce travail pour les garder occupés et/ou passionnés, ce qui est difficile dans le monde en évolution rapide de la cybersécurité.
Et embaucher pour l’entreprise aujourd’hui n’est pas synonyme de succès demain. La technologie change, les menaces évoluent et votre base technologique de cybersécurité s’aligne. Les normes techniques d’aujourd’hui seront bientôt obsolètes, de sorte que l’attribut le plus important est de pouvoir résoudre les problèmes et s’adapter, afin qu’ils puissent répondre et surmonter de nouveaux défis.
Comment pouvez-vous garder quelqu’un heureux si vous le placez dans un attribut plutôt que dans un trou en forme de compétence ? Ancrez votre embauche dans une feuille de route de trois à cinq ans. Par exemple, si vous embauchez un diplômé en cybersécurité, cette personne ne voudra pas occuper ce poste pendant 10 ans. C’est à vous de créer un plan pour les faire grandir professionnellement.
Vous devriez les utiliser dans des projets qui fourniront une expérience et des compétences supplémentaires pendant que vous recherchez des opportunités de faire correspondre leurs compétences techniques existantes à d’autres projets. Par exemple, demandez-leur de suivre d’autres membres de l’équipe. C’est ainsi que vous fidélisez les talents : avec une feuille de route guidée. Et si vous avez vraiment besoin de ce spécialiste technique à un seul aspect, embauchez simplement un entrepreneur plutôt qu’un employé permanent.
Soyez sensible aux types de personnalité
Un autre trait qui est souvent négligé est l’intelligence émotionnelle et les types de personnalité. Cela change – le F-Secure de cette année enquête des directeurs de la sécurité de l’information (CISO) ont constaté que les deux tiers comprenaient le rôle de plus en plus important de l’intelligence émotionnelle pour les aider à naviguer dans l’entreprise. Cette mentalité peut et doit s’appliquer à l’ensemble de l’équipe de cybersécurité, car elle peut fondamentalement modifier sa cohésion.
S’assurer que vous formez un groupe cohérent aidera à garantir que les membres de l’équipe travailleront bien avec les autres. Même s’ils ont le CV le plus impressionnant, leur façon de travailler peut être en contradiction avec l’équipe et peut finir par perturber l’équilibre de votre équipe. Aucune quantité d’expertise ne peut compenser ces dommages, il est donc tout aussi important de faire le bon jugement sur la façon dont un candidat s’intégrera dans l’écosystème existant dès le départ que d’évaluer les qualifications dans la constitution d’une équipe percutante.
C’est là que les CV et de nombreux entretiens sont sérieusement déficients. Vous n’avez aucun aperçu de la personnalité de quelqu’un en lisant une liste d’expériences épurée ou en lui demandant son opinion sur un cadre de sécurité. Utilisez donc les entretiens pour passer derrière le voile en posant des questions inhabituelles auxquelles les candidats ont peu de chances d’avoir des réponses répétées, pour avoir un aperçu de qui ils sont. Je demande souvent : « Quelle est votre idée d’un bon week-end ? » pour découvrir comment ils hiérarchisent les choses dans la vie – et leur volonté de répondre honnêtement aux questions.
Soyez réaliste quant aux attentes
De nombreux diplômés ont été nourris d’idées exagérées sur le marché du travail de la cybersécurité, créant le risque d’un décalage entre les attentes et la réalité. Par conséquent, il appartient aux responsables du recrutement de définir clairement à quoi ressemble une carrière, tout en créant les futures opportunités de développement qui aideront les nouveaux employés à progresser dans leur carrière.
Le meilleur antidote aux attentes irréalistes est la transparence totale. Les embaucheurs doivent brosser un tableau très clair pour le candidat de ce qu’est réellement la réalité pour les nouveaux employés, y compris mettre le salaire sur l’offre d’emploi. En Californie, les entreprises doivent indiquer aux candidats la fourchette de salaire du poste si cela leur est demandé, mais je ne vois pas l’intérêt d’attendre.
Pour vous assurer que ceux-ci correspondent à votre géographie et à l’ancienneté du poste, utilisez Les repères de rémunération de Radford pour la diligence raisonnable. Assurez-vous de discuter des exigences salariales dès le début du processus de recrutement – c’est l’un des obstacles les plus courants à l’embauche, alors ne le remettez pas à plus tard. Et combinez ce réalignement précoce avec un véritable engagement envers la progression de carrière à long terme, donc même si les diplômés n’obtiennent pas le glamour qu’on leur a faussement promis au début, ils savent qu’il existe des opportunités de croissance.
Les entreprises ne peuvent pas se permettre d’avoir une équipe de cybersécurité composée de professionnels inefficaces dans ce climat – elles échoueront avant même d’avoir commencé. Cela peut sembler évident, mais la mise à l’échelle et le renforcement de votre équipe et de vos talents en matière de cybersécurité sont des éléments fondamentaux que tant d’entreprises se trompent encore.
Mais en embauchant pour des compétences non techniques, pas pour l’expérience, en étant sensible aux types de personnalité et en étant franc quant aux attentes des rôles, les entreprises peuvent renforcer leurs défenses à une époque de risque élevé et préparer leurs équipes à s’adapter pour l’avenir.
Russ Kirby est RSSI chez ForgeRock.
