Le RSSI change, note David Majorel, directeur de la practice cybersécurité chez Michael Page France qui intervenait lors d’une table-ronde aux Assises de la sécurité mercredi soir. Lui-même a accompagné une quinzaine de recrutements de RSSI cette année. Les entreprises ne veulent plus de profils exclusivement techniques, mais des responsables aptes à traiter également les questions règlementaires et à assurer la communication en interne sur les sujets de cybersécurité. Seules les entreprises de taille moyenne recrutent encore des responsables sécurité uniquement techniques.
« Le niveau d’expertise demandé au sein des DSI a énormément évolué, le SI des entreprises s’ouvre sur l’extérieur et sur les sujets règlementaires, nous sommes donc obligés d’en tenir compte pour les fonctions sécurité», observe David Majorel. Les directions générales facilitent cette évolution en étant sensibilisées, ne serait-ce que par l’actualité, aux questions de cyberdéfense et souhaitent des responsables internes de haut niveau, compétents techniquement, mais aptes à régler les dossiers règlementaires et à s’imposer dans l’entreprise sur ce sujet.
Savoir intégrer des clauses de sécurité
Le RSSI doit par exemple connaître et faire respecter le règlement européen GDPR (General Data Protection Regulation) adopté l’an passé et savoir se conformer aux principes émis par la CNIL, ou par l’ANSSI pour les OIV. « Heureusement, il est plus facile de venir de la technique et d’acquérir un vernis juridique, que l’inverse », note Romain Lorenzini, directeur technique du cabinet conseil NetXP. « Le RSSI peut compter en interne sur la direction juridique, mais il lui faut un minimum de notion pour discuter avec elle et expliquer son action à la direction générale ». Le nouveau RSSI doit également savoir intégrer des clauses de sécurité dans de nombreux contrats signés avec des clients ou des partenaires et fournisseurs.
Le recrutement de responsables en cybersécurité, déjà difficile en raison d’une pénurie de compétences, devient encore plus critique. « J’ai un client qui en est venu à créer sa propre formation interne pour faire monter des ingénieurs en compétence sur des sujets de cybersécurité » explique David Majorel. Peut-on convertir des développeurs ou des ingénieurs qui n’ont pas pu ou pas su évoluer ? De nombreux prestataires, comme Ionis ou l’Epita, expliquent pouvoir certifier, en présentiel ou en ligne, de tels spécialistes. Mais la culture des entreprises françaises les incite mal à former leurs collaborateurs, ou alors en intra pour que personne n’ait connaissance d’un recrutement aussi stratégique. Plusieurs intervenants de la table-ronde des Assises déplorent la frilosité d’entreprises soucieuses de ne pas voir des salariés formés les quitter rapidement.
Une vision plus globale
Elles doivent pourtant franchir le pas, nous explique Agnieska Bruyere, directrice des services de sécurité chez IBM France. « Les entreprises ont intérêt à faire évoluer les spécialistes des réseaux vers des fonctions de « security analyst », qui englobent toute la sécurité de l’entreprise, sur les terminaux et dans les données ». C’est pour IBM la nouvelle orientation que doivent prendre les entreprises en matière de cybersécurité. Il leur faut de nouveaux responsables, dotés d’une vision très large du sujet, mais issus en interne du monde des réseaux.
Faute de jeunes diplômés en nombre suffisant, les entreprises cherchent donc des parades dans l’évolution interne. Le recrutement chez les concurrents est également une activité très courue dans un secteur qui manque de spécialistes. Fournisseurs, clients, autorités publiques sont logées à la même enseigne. Mais quel que soit la fonction visée, le recrutement est plus facile si l’entreprise ou l’institution se rend attractive. C’est l’avis de Pierre Calais, directeur général de Stormshield. « Nous avons recruté 53 personnes en un an, notre effectif total est maintenant de 280 personnes, nous avons montré notre ambition et notre projet, en France comme à l’international ». La société, filiale de Airbus Defense and Space, joue également la carte régionale, qui facilite les recrutements. Elle est issue de deux sociétés, Netasq située à Lille et Arkoon, à Lyon. Stormshield garde ces deux implantations, et son siège à Issy-les-Moulineaux. Le groupe Airbus offre également des postes en cybersécurité à Elancourt, Paris, Toulouse et Rennes. Dans ce groupe, le nouveau recruté peut rester dans sa terre natale ou profiter de projets à l’international.