Les leaders de la cybersécurité baissent de plus en plus les exigences en matière de diplômes et font l’expérience en faveur d’une approche des compétences pour définir les rôles de sécurité et le recrutement pour les remplir. Mais le succès nécessite une intention et une nouvelle façon d’évaluer les talents.
Pendant des décennies, les chefs de la sécurité ont formé leur vue sur les candidats à des diplômes universitaires.
Mais les pénuries de compétences en cours et les expériences avec des professionnels de sécurité très talentueux qui ne détiennent pas de diplômes universitaires stimulent certains CISO pour repenser leurs stratégies d’embauche, favorisant une approche basée sur les compétences pour remplir les rôles de cybersécurité.
C’est un grand changement dans la façon dont les professionnels sont embauchés, dit Jon France, qui, lorsqu’il est devenu CISO à ISC2 au début de 2022, a hérité d’une équipe de sécurité qui avait un mélange de travailleurs avec et sans diplômes universitaires.
Ce mélange de talents a produit un éventail précieux d’expériences et de compétences, a trouvé la France. Cherchant à s’appuyer sur cette dynamique, la France a décidé de supprimer l’exigence d’un diplôme universitaire pour des emplois dans son département et a également supprimé les exigences de certification pour certains postes.
«Auparavant, un diplôme universitaire était ce que nous avons utilisé comme indicateur de qualité, mais maintenant nous acceptons beaucoup plus d’indicateurs de qualité, pas seulement un diplôme. Parce que même si un diplôme est un indicateur, ce n’est pas le seul indicateur et, sans doute, ce n’est pas le meilleur indicateur», dit France.
Sous la France, le service de sécurité de l’ISC2 recherche des candidats qui peuvent résoudre des problèmes, démontrer de bonnes capacités de communication et faire preuve de curiosité. Il demande également aux candidats de prouver qu’ils sont à la hauteur des tâches techniques spécifiques qu’ils effectueront s’ils décrochent le poste.
«Ce sont les choses que je rechercherais chez quelqu’un sur un degré et même des certifications», ajoute la France.
Embauche basée sur les compétences: travail acharné, résultats mitigés
La France fait partie d’un mouvement croissant pour mettre en œuvre l’embauche basée sur les compétences, qui, comme son nom l’indique, attribue des offres d’emploi aux candidats qui peuvent démontrer qu’ils ont un bon pourcentage des compétences requises pour faire le travail requis dans le rôle, indépendamment de la formation ou de l’expérience éducative.
Comme d’autres, la France pense qu’un objectif d’abord des compétences est le meilleur moyen de réunir divers talents pour créer une équipe cohésive et très performante. Il reconnaît également que de nombreux travailleurs talentueux n’ont pas de diplômes, ayant opté pour le service militaire ou d’autres opportunités avant de rechercher une carrière en cybersécurité. De plus, il sait qu’il n’y a tout simplement pas assez de professionnels de la cybersécurité existants pour combler les postes ouverts.
Mais passer à l’embauche basée sur les compétences demande beaucoup plus de travail que de supprimer le «diplôme requis» des offres d’emploi pour réussir. De nombreuses organisations, en fait, échouent dans leurs tentatives.
Selon un rapport de 2024 de Burning Glass Institute et de la Harvard Business School, l’embauche basée sur les compétences prend de l’ampleur, mais, «pour toute sa fanfare», les auteurs du rapport écrivent, «l’opportunité accrue promise par l’embauche basée sur les compétences a supporté que même 1 sur 700 embauches l’année dernière».
Quelque 45% des organisations étudiées dans le cadre du rapport mettent en œuvre uniquement l’embauche basée sur les compétences, n’ayant apporté aucun changement substantiel à la façon dont ils recrutent et à l’écran pour les talents. Encore 20% ont fait des progrès vers une approche basée sur les compétences, mais leurs efforts ne sont pas restés, malgré les gains à court terme.
«L’adoption réussie de l’embauche basée sur les compétences implique plus que le simple désactivation du langage des offres d’emploi», selon le rapport. «Pour embaucher des compétences, les entreprises devront mettre en œuvre des changements robustes et intentionnels dans leurs pratiques d’embauche – et le changement est difficile.»
‘Embaucher différemment’
La France et l’ISC2 font partie des 37% des dirigeants et des organisations qui ont fait l’œuvre pour faire de l’embauche basée sur les compétences une stratégie efficace, pas seulement une promesse vide.
Pour améliorer les résultats, la France travaille avec l’équipe RH pour examiner les descriptions de poste pour des postes ouverts, puis les élabore en fonction des besoins actuels de l’organisation, détaillant les tâches que le poste gérerait lorsqu’elle était remplie et les compétences nécessaires pour répondre à ces tâches.
Dans certains cas, la France répertorie les compétences et les attributs non techniques tels que «doivent être en mesure de résoudre des problèmes complexes» d’abord dans les affectations d’emploi. «Nous favorisons plus de choses basées sur les traits plutôt que les compétences difficiles» dans de tels cas, dit-il.
Ces travaux aident à embaucher des équipes de savoir comment évaluer les CV sans se replier sur les diplômes comme indicateur par défaut des capacités nécessaires, explique-t-il.
Il a également modifié le processus d’entrevue, donc les candidats sont invités à travailler sur des scénarios pour tester leurs compétences techniques, personnelles et intellectuelles.
«Vous testez les facettes d’une personne», dit-il.
Ces mouvements, dit la France, ne l’empêche pas de demander aux candidats leur éducation. Cela ne l’empêche pas non plus d’exiger des certifications pour certains emplois; La France, comme d’autres, dit que les certifications peuvent indiquer des compétences et des aptitudes spécifiques – souvent mieux qu’un diplôme.
En fait, la France nécessitera également de nouvelles embauches pour obtenir des certifications spécifiques dans un délai spécifié après avoir été embauché, ce qui, selon lui, montre la volonté et la capacité d’apprendre de la nouvelle location.
Tout cela, dit-il, l’a aidé à «embaucher différemment».
«J’ai eu des candidats que je n’aurais pas eu auparavant en faisant cela, et j’ai également obtenu un meilleur groupe de candidats. Cela m’a donné la diversité dans son vrai sens, et cette diversité vous donne le meilleur bassin de candidats», ajoute-t-il.
« Correspondant au travail qui doit être fait »
Le principe de l’embauche basé sur les compétences a une bouffée de tout ce qui est nouveau-nouveau, car les employeurs ont toujours cherché des travailleurs avec des compétences démontrables. De plus, les rangs technologiques ont longtemps été remplis de professionnels très accomplis sans diplômes universitaires.
Pourtant, davantage d’employeurs effectuent le changement, et en mettant l’accent sur les compétences dans leurs listes d’emplois et leurs évaluations, beaucoup améliorent le processus d’embauche. Selon le rapport The Future of Recruiting 2025 de LinkedIn, «les entreprises ayant les recherches les plus basées sur les compétences sont + 12% plus susceptibles de faire une location de qualité».
Le fondateur et PDG de Cybersn, Deidre Diamond, a trouvé que c’était le cas.
Diamond a adopté une approche de compétences en premier dans sa société de solutions de dotation, qui place les embauches permanentes à temps plein et utilise une taxonomie créée par son entreprise pour rédiger des exigences des candidats qui «reflètent ce que la personne fera de jour en jour».
Cela aide son équipe et leurs clients à s’éloigner des titres d’emploi ambigus tels que l’ingénieur de sécurité et les descriptions d’emploi vagues en conséquence – qui peuvent tous deux forcer les gestionnaires d’embauche à se replier à la recherche de candidats avec des diplômes pertinents en tant que badges de compétence professionnelle.
En plus de rechercher des candidats avec des certifications réputées qui démontrent qu’ils ont souhaité les compétences, Diamond utilise également des tests écrits et verbaux pour déterminer si les candidats, en particulier ceux qui sont nouveaux dans la profession, ont les compétences nécessaires aux postes affichés.
«Il s’agit de faire correspondre le travail qui doit être fait au travail (un candidat a fait) récemment», explique Diamond, qui est également membre du conseil d’administration de Cyversity, un organisme sans but lucratif faisant la promotion de la diversité dans le domaine de la cybersécurité.
Les dirigeants d’Immersive ont également une bonne course avec une approche basée sur les compétences pour l’embauche de cyber-talents, surmontant les défis en cours de route.
L’entreprise, qui fabrique une plate-forme de formation et d’exercice en cybersécurité, n’impose pas de diplômes ou de certifications mais évalue les candidats sur les compétences, explique Dan Potter, directeur principal de la résilience d’Immersive.
Il utilise sa propre plate-forme pour recruter, faire avancer les candidats à certains travaux de cyber grâce à un contenu d’apprentissage spécifique. La société examine les performances de chaque candidat, y compris leur précision de résolution de problèmes et le temps de traitement, pour identifier «les personnes (qui peuvent) prendre des décisions rapides mais bien informées», explique Potter.
Les candidats apportés pour des entretiens sont présentés pour évaluer leurs compétences en résolution de problèmes et en collaboration, ajoute-t-il.
«La cybersécurité est rapide, avec de nouveaux défis chaque jour, nous voulons donc savoir si (les candidats) ont un trajet, ont cet état d’esprit où ils veulent résoudre des problèmes», dit-il.
Comme la France d’Isc2, Potter dit que réussir avec cette approche signifie travailler avec les RH, en partie pour s’assurer que les échelles de rémunération ne favorisent pas les travailleurs diplômés par rapport aux autres. Il dit également que cela nécessite de modifier l’état d’esprit d’entreprise typique qui signale automatiquement la compétence.
Le processus d’Immersif a donné des embauches qui pourraient ne pas se démarquer dans des milieux de recrutement plus traditionnels mais sont néanmoins des employés précieux, dit Potter.
«Les individus peuvent ne pas avoir l’air le meilleur sur papier, mais ils montrent qu’ils sont excellents dans ce qu’ils font», ajoute-t-il.
