La Marine forme des jeunes de 18 ans à utiliser des armes nucléaires, alors pourquoi ne pouvons-nous pas former des analystes en sécurité ? La « pénurie de talents » n’est en réalité qu’un manque de leadership et de mentorat.
L’histoire de deux industries
La marine américaine accueille des jeunes de 18 ans fraîchement sortis du lycée et les forme à l’exploitation de réacteurs nucléaires en 18 mois. Ce ne sont pas des diplômés universitaires. Ce ne sont pas des professionnels expérimentés. Ce sont des jeunes dotés du bon potentiel qui suivent le programme militaire le plus rigoureux et le plus structuré qui les transforme en personnel à qui on confie certaines des responsabilités les plus importantes imaginables.
Pendant ce temps, dans le domaine de la cybersécurité, nous affirmons ne pas trouver de personnes qualifiées.
Nous prétendons qu’il y a une pénurie de talents, que les candidats n’ont tout simplement pas les compétences dont nous avons besoin. Nous recherchons des licornes, disant que la formation prend trop de temps. Nous recherchons constamment des professionnels seniors qui, disons-nous, seront « opérationnels », tandis que les candidats juniors verront leurs opportunités de croissance s’évaporer.
Le problème, ce ne sont pas les candidats. Le problème, ce sont les dirigeants qui ne s’approprient pas la constitution des équipes dont nous avons besoin et ne donnent pas suite au développement. Il s’agit d’un leadership qui choisit la voie de la moindre résistance au lieu de s’efforcer de créer les bases du succès.
Comment puis-je le savoir ? J’ai été l’un de ces exploitants de réacteurs nucléaires pendant 22 ans. Maintenant, je travaille dans la cybersécurité. Si nous pouvons former des opérateurs de réacteurs nucléaires à partir de zéro, nous pouvons former des analystes en matière de sécurité. Nous choisissons simplement de ne pas le faire.
Mais refuser de former des candidats n’est qu’un symptôme d’un mal plus profond. Dans tous les domaines technologiques, nous observons une série d’échecs de leadership qui partagent tous un fil conducteur : le manque de responsabilité et d’appropriation. Des dirigeants qui effectuent uniquement des analyses superficielles au lieu de trouver les véritables causes profondes. Des dirigeants qui restent déconnectés de leurs équipes alors que la dette technique s’accumule en véritables risques de sécurité. Des dirigeants qui évitent les conversations difficiles avec l’entreprise parce qu’ils ne savent tout simplement pas comment considérer la cybersécurité comme un mécanisme de réduction des risques ou comme autre chose qu’un centre de coûts.
Le manque de responsabilité
Lorsque les dirigeants ne s’approprient pas la situation, cela se manifeste de manière prévisible. Certains sont évidents, comme les équipes qui ont un taux de roulement élevé, les projets qui ne se terminent jamais ou les mêmes problèmes qui reviennent mois après mois, année après année. D’autres, comme la dette technique, sont bien plus insidieuses. La dette technique s’accumule jusqu’à devenir une vulnérabilité critique et jusqu’à ce que les intérêts que vous payez pour maintenir le bon fonctionnement de l’entreprise représentent plus de travail que le travail opérationnel normal que vous effectuez. La dette technique est aussi sa propre forme de risque. Cela se manifeste par des vulnérabilités et une perte de clientèle lorsque tous ces processus manuels s’interrompent lorsqu’un membre de votre équipe quitte l’entreprise. Enfin, une analyse des causes profondes qui s’arrête à des réponses confortables plutôt qu’à des vérités dures est un autre signe important. Soyons honnêtes sur ce à quoi ressemble l’échec du leadership aujourd’hui.
Analyse des causes profondes au niveau de la surface
L’incident se produit. L’autopsie est programmée. L’équipe se rassemble, examine un calendrier qui n’est pas tout à fait correct, mais suffisant, et tous éliminent certains facteurs contributifs. Un rapport est rédigé. Tout le monde reconnaît les actions correctives. Et puis rien ne se passe. Un document de recherche publié dans indique que les chercheurs « ont trouvé peu de preuves d’investigations approfondies pour trouver les causes sous-jacentes ».
Puis un incident similaire se reproduit.
L’analyse réelle des causes profondes est difficile. Cela nécessite de se demander « pourquoi » jusqu’à ce que vous ne soyez pas à l’aise avec les réponses – les vérités – sur les processus qui ne fonctionnent pas, les décisions qui semblaient raisonnables à l’époque et les hypothèses qui étaient fausses. Cela nécessite d’être prêt à découvrir que vous, en tant que leader, avez contribué au problème par votre action ou votre inaction.
L’analyse au niveau de la surface s’arrête à la première réponse pratique et n’aborde jamais le véritable pourquoi. Mais le coût d’un arrêt trop précoce est activement mesuré en termes d’incidents récurrents, de désabonnement des clients et de démoralisation des équipes, ce qui contribue également au turnover des équipes. Lorsque les mêmes types de problèmes persistent, votre équipe apprend une leçon : les dirigeants ne veulent pas vraiment arranger les choses. Ils veulent être vus en train de faire les mouvements. S’approprier signifie suivre la chaîne de causalité jusqu’à ce que vous trouviez quelque chose que vous pouvez réellement réparer, puis le réparer. C’est ça la responsabilité.
L’erreur d’embauche parfaite
Le programme de propulsion nucléaire de la Marine recrute des jeunes de 18 ans possédant les aptitudes appropriées et les forme à faire fonctionner des réacteurs nucléaires aux quatre coins du monde en 18 mois. Ce ne sont pas des diplômés universitaires et ce ne sont pas des personnes ayant des années d’expérience. Juste la bonne attitude et les bonnes aptitudes chez quelqu’un, placées dans un programme de formation rigoureux et structuré qui le transforme.
Le programme développe des talents, mais entre-temps, dans le domaine de la cybersécurité et des technologies de l’information, nous affirmons avoir besoin de quelqu’un possédant cinq années d’expérience dans une technologie qui n’existe que depuis cinq ans. Nous recherchons des analystes de sécurité qui sont également des développeurs et qui comprennent les cadres de conformité.
C’est de la paresse déguisée en pragmatisme. En fait, moins d’un quart des personnes interrogées dans le cadre d’une récente enquête auprès des professionnels de la cybersécurité estiment que la direction s’efforce activement de réduire leur stress. La moitié ont déclaré que la haute direction ajoute à leur stress.
Nous évitons la vérité selon laquelle la formation des personnes nécessite un effort de leadership. Cela nécessite de créer des parcours d’apprentissage structurés, d’offrir un mentorat et d’investir du temps dans le développement des capacités. Cela nécessite un véritable engagement dans la croissance des personnes au lieu de simplement leur attribuer des tâches. C’est un travail difficile, et de nombreux dirigeants ne veulent tout simplement pas le faire.
Au lieu de cela, nous chassons les licornes, en nous demandant pourquoi nos équipes ne se stabilisent jamais et pourquoi les personnes talentueuses décident de quitter complètement le terrain lorsqu’elles réalisent qu’il n’y a aucune voie à suivre pour elles.
La dette technique comme échec du leadership
Chaque leader technologique a une liste mentale de dettes techniques. Systèmes nécessitant une mise à jour ou configurations nécessitant un renforcement. Les lacunes en matière de surveillance qui doivent être comblées. Nous savons que tout cela existe – en fait, nous les documentons et les suivons dans nos outils de gestion de projet.
Et puis nous n’exigeons pas de temps pour les réparer.
On se dit que le business ne comprend pas, c’est des contraintes budgétaires ou on s’y mettra au trimestre prochain. En réalité, nous ne parvenons pas à traduire la dette technique en risque commercial d’une manière qui exige une action.
La vérité inconfortable est que nous n’exigeons pas que la dette technique soit abordée dans le cadre des cycles de développement de produits, car cela nécessiterait des discussions difficiles. Des conversations au cours desquelles nous disons aux parties prenantes de l’entreprise qu’agir vite maintenant signifiera payer un prix plus élevé plus tard. Conversations au cours desquelles nous préconisons d’investir dans des choses qui ne créent pas de nouvelles fonctionnalités visibles.
Ces conversations font partie de notre travail. Lorsque nous ne les avons pas – lorsque nous acceptons l’accumulation de plus en plus de tâches manuelles pour faire fonctionner des choses qui auraient dû être automatisées plusieurs sprints auparavant – alors nous choisissons le confort à court terme plutôt que notre responsabilité réelle envers l’entreprise.
Pourquoi cela arrive
Ces schémas ne se produisent pas par hasard. S’ils le faisaient, nous ne les verrions pas dans autant d’endroits. Ils se produisent en raison de choix : choix que font les dirigeants individuels, choix que font les organisations sur la manière dont elles développent (ou ne développent pas) leurs dirigeants et choix que font les entreprises sur la manière dont elles traitent leurs fonctions de sécurité.
Commençons par la vérité inconfortable : nous n’avons pas de véritable formation en leadership dans l’industrie. Nous promouvons les techniciens à des postes de direction et attendons d’eux qu’ils découvrent le leadership par eux-mêmes. Ensuite, nous sommes surpris lorsque ces nouveaux dirigeants gèrent de la même manière qu’ils ont été gérés – ou pire, lorsqu’ils ne gèrent pas du tout.
D’autres professions investissent dans leur leadership. Les soins de santé proposent des résidences et des bourses qui enseignent des rôles de leadership. Les écoles de commerce enseignent les principes de gestion. Mais dans notre industrie, nous confions des rôles à des personnes et espérons qu’elles s’en rendront compte.
Le manque de formation n’explique cependant pas entièrement le problème. Il y a une composante individuelle en jeu. Les principes fondamentaux d’un bon leadership ne sont pas mystérieux : respecter ses engagements, creuser en profondeur pour comprendre les causes profondes, rester engagé avec son équipe et avoir des conversations difficiles si nécessaire. Ce ne sont pas des concepts avancés nécessitant un MBA. Il s’agit de responsabilités et d’appropriation fondamentales.
De nombreux dirigeants savent que c’est ce qu’ils devraient faire. Ils choisissent de ne pas le faire parce que c’est difficile. Il est plus facile d’embaucher que de former, et il est plus facile d’accepter des réponses superficielles que de continuer à se demander pourquoi jusqu’à ce que vous arriviez à ces vérités inconfortables. Le chemin de moindre résistance est malheureusement le chemin le plus fréquenté.
Enfin, la troisième pièce de ce puzzle, le dilemme auquel nous sommes confrontés, est l’incapacité systémique des dirigeants d’entreprise à procéder également à leur propre introspection. Pourquoi l’entreprise connaît-elle un taux de désabonnement élevé, tant auprès des clients qu’au sein des équipes ? Sommes-nous en train de préparer les gens à l’échec ? Créons-nous les conditions propices à un bon leadership ?
Le résultat de ces trois facteurs est une prophétie auto-réalisatrice selon laquelle nous transformons les gens en managers sans formation, puis ils peuvent devenir des dirigeants d’entreprise, sans toujours comprendre comment considérer des choses comme la dette technique parce que leurs dirigeants ne leur ont pas non plus fait croire que cela était important. Cela provoque l’épuisement des équipes, simplement parce que les principes fondamentaux d’un bon leadership ne sont pas mis en pratique.
Mais tout cela n’est pas une triste histoire. Les choix peuvent être modifiés. Mais seulement si nous sommes prêts à être honnêtes sur ce que nous choisissons et pourquoi. La responsabilisation des dirigeants n’est pas compliquée : elle nécessite simplement de choisir de faire le travail.
Les équipes que nous pourrions constituer
Imaginez des équipes de cybersécurité où les gens souhaitent rester et évoluer. Où les analystes juniors voient des voies claires pour devenir des praticiens seniors. Où les mêmes problèmes ne se reproduisent pas parce que les dirigeants mettent réellement en œuvre des correctifs. Où la dette technique est abordée parce que les dirigeants la traduisent en risque commercial qui exige une action. Lorsque ces choses se produisent, le succès s’accroît parce que vous bâtissez sur des bases solides au lieu de recommencer.
Ces équipes existent. Ils sont dirigés par des gens qui s’approprient. Le talent est là. La connaissance de ce qu’exige un bon leadership est là. Ce qu’il faut, c’est simplement le choix de le faire.
Nous ne manquons pas de talents dans notre industrie. Nous avons un déficit de responsabilité en matière de leadership. Et contrairement au marché des talents, c’est quelque chose que nous pouvons réellement contrôler.
Le problème fondamental a une solution fondamentale : s’approprier. Suivez jusqu’au bout. Construisez des gens. Ayez des conversations difficiles. Faites le travail.
Les équipes et la culture que nous souhaitons tous attendent de l’autre côté de ce choix.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
