Les parcours atypiques, le nouveau standard des talents en cybersécurité ?

Recruter en cybersécurité
Par défaut

Ravie de contribuer une pleine page sur la question épineuse mais passionnante de la diversité dans la cybersécurité ! Ma contribution aborde les profils atypiques dans le domaine. Elle est à lire dans le 8e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous.

Nous oublions trop souvent que “diplôme” n’est pas synonyme de “bon professionnel” : le parcours dans son entièreté et l’expérience sont les compétences à valoriser.

Trop souvent encore, une vision sensibleement “ossifiée” sévit : pas de diplôme d’ingénieur, pas de poste en sécurité. Si, pour des postes plus seniors, l’interview avec des opérationnels précède souvent l’étape RH, cette dernière reste un passage obligé pour tout collaborateur qui débute dans le domaine de la cybersécurité. “Le candidat n’a pas le bon diplôme” est un argument prépondérant pour rejeter un CV.

Le bon diplôme de cybersécurité

Alors, qu’est-ce que le parcours “idéal” en cybersécurité ? Il y aura autant de réponses qu’il y a de contextes opérationnels et de choix stratégiques.

Un parcours universitaire ou en école permet d’acquérir les bases théoriques, d’apprendre à penser de façon rigoureuse et d’avoir des méthodes de travail. Il s’agit là de compétences essentielles, les connaissances techniques et opérationnelles venant du terrain.

Et c’est aussi là qu’est le point de friction avec les profils dits atypiques. J’en fais partie : études longues en génétique et bioinformatique, puis orientation vers la data science avec une forte composante sociologique et géopolitique (Relations Internationales : Défense, sécurité et gestion de crise).

Si mon parcours n’est pas rectiligne, il suit toutefois un fil rouge : étudier la façon dont fonctionnent les choses, ce qui peut les menacer et pourquoi, qu’il s’agisse d’organismes vivants ou de systèmes d’information extrêmement mouvants. À l’Institut Pasteur, mes recherches ont tout d’abord porté sur les maladies infectieuses émergentes : essayer d’en comprendre les mécanismes d’action, les forces et les faiblesses. J’ai ensuite décliné cette démarche dans d’autres domaines et, consciente du développement de l’open data et de l’app economy, j’ai été consultante auprès d’organisations internationales. L’écriture de l’ouvrage La Face cachée d’Internet m’a permis de faire une synthèse entre innovation numérique et cybersécurité.

Les talents en cybersécurité sont plus nombreux qu’on ne le pense

Un parcours non rectiligne ajoute aux compétences acquises lors de la formation initiale des connaissances transverses et pluridisciplinaires.
Faire correspondre les expertises nécessite de la pédagogie. Bien sûr, il ne s’agit pas de recruter des atypiques sans qu’il y ait une adéquation entre contexte opérationnel et compétences prépondérantes. Plus important encore, il convient d’encadrer et de “nourrir” les talents que l’on attire dans son organisation : les fédérer, c’est bien ; les retenir, c’est mieux.

On ne craint pas l’inconnu et, surtout, on apprend à apprendre.


C’est probablement là l’apport unique d’un profil atypique. En effet, la sécurité étant un sujet transverse aux organisations, avec un énorme périmètre à couvrir, des fonctions nombreuses et spécifiques existent et sont nécessaires : l’analyste d’alertes de sécurité a une approche très différente de la personne en charge de sécuriser les postes de travail ; de même, les administrateurs Windows ne sont pas nécessairement des spécialistes de sécurité Windows, et les experts en sécurité ne sont pas nécessairement des spécialistes Windows.

Les profils atypiques sont ainsi précieux car alliant des expertises diverses et ayant des approches originales dans un domaine où la routine peut rapidement être un problème.

Les parcours atypiques, le nouveau standard des talents en cybersécurité ?