L’évolution de carrière, la flexibilité du lieu de travail et l’autorité en matière de sécurité deviennent des facteurs clés dans la rétention des effectifs en cybersécurité, alors que les cyberprofessionnels envisagent de plus en plus de quitter le secteur.
La baisse de la satisfaction au travail signifie que seul un professionnel de la cybersécurité sur trois (34 %) envisage de rester chez son employeur actuel, augmentant ainsi la pression sur les stratégies de rétention des talents des RSSI.
Et selon une enquête menée auprès de 500 professionnels de la cybersécurité par l’IANS et Artico Search, même si le salaire reste important, il n’est pas le principal facteur de rétention.
Toutefois, les modèles de travail flexibles sont fortement corrélés à la satisfaction et à la rétention. Selon le Cybersecurity Talent Report de l’IANS, les modalités de travail hybrides, en particulier celles qui ne nécessitent qu’un à deux jours de présence par semaine, ont également tendance à réduire le désir des employés talentueux en cybersécurité de quitter le navire.
Les chercheurs ont découvert que la croissance des salaires est plus importante pour minimiser le roulement du personnel que la valeur absolue des rémunérations.
« Alors que la pression sur les cyber-équipes monte en flèche, les RSSI qui redoublent d’efforts en matière de mentorat, de coaching et de développement de carrière peuvent créer un sentiment d’utilité et de progression qui aide leurs employés à éviter l’épuisement professionnel », explique Nick Kakolowski, directeur de recherche senior à l’IANS.
Les personnels de cybersécurité qui estiment que leur employeur considère la sécurité comme une priorité (73 %) sont plus susceptibles de rester que ceux travaillant pour des entreprises qui perçoivent peu ou pas de soutien organisationnel en matière de sécurité, où le désir de rester chez leur employeur actuel tombe à seulement 19 %.
« La visibilité, l’évolution de carrière et le soutien des responsables de la sécurité sont nécessaires pour conserver les employés les plus performants », ajoute Steve Martano, membre du corps professoral de l’IANS et associé chez Artico Search.
L’organisme de formation et de certification en cybersécurité ISC2 estime que le déficit mondial de main-d’œuvre en cybersécurité a culminé à 4,8 millions en 2024. Bien que les coupes budgétaires de l’année dernière aient réduit le nombre de postes non pourvus en cybersécurité, le marché de l’emploi reste tendu et hautement compétitif. Dans l’enquête State of the CIO de CIO.com, la cybersécurité place l’IA au premier rang des compétences les plus difficiles à pourvoir, malgré une demande nettement plus élevée de talents en IA (42 % à 38 %).
Evolution de carrière et autonomie au travail
« Lorsque les candidats voient une progression de carrière définie, l’offre de certifications et de formations continues, une visibilité directe sur la stratégie et un accès à des piles de sécurité modernes, c’est à ce moment-là que votre rôle devient souhaitable », déclare Archie Payne, président de l’agence de recrutement CalTek Staffing.
Les employeurs qui ne proposent pas une forme de travail à distance, ou du moins de travail hybride, passeront à côté d’une partie importante du vivier de talents.
« Nous voyons régulièrement des candidats refuser des offres par ailleurs intéressantes en raison d’exigences rigides en matière de localisation », explique Payne. « Encore une fois, les meilleurs candidats savent qu’ils sont recherchés et ne se contenteront pas d’un rôle qui ne répond pas à leurs besoins en matière d’équilibre travail-vie personnelle.
Développement des compétences
Richard Demeny, fondateur et directeur technique de Canary Wharfian, une plateforme de carrière en finance en ligne, affirme que les diplômés et les premiers professionnels savent qu’ils prennent les devants car même au niveau d’entrée, les talents sont rares.
« (Les nouveaux entrants) donnent la priorité aux opportunités et à l’apprentissage, car les salaires sont à peu près les mêmes dans tous les domaines, sauf peut-être dans les domaines de la haute finance comme les hedge funds », explique Demeny.
« Ces professionnels savent que rester longtemps chez le même employeur limitera considérablement leur développement professionnel : souvent, la meilleure façon de dynamiser leurs connaissances, leurs compétences et leur réseau est simplement de changer de lieu de travail », ajoute-t-il, à propos de l’augmentation du taux de rotation du personnel.
David Berwick, directeur d’Adria Solutions, affirme que les RSSI doivent être plus cohérents dans leurs tentatives de fidéliser les travailleurs en cybersécurité.
« Une progression claire, des charges de travail réalistes, un soutien visible de la direction et une flexibilité là où cela a du sens », explique Berwick. « Les organisations qui maîtrisent ces principes fondamentaux ont tendance à attirer et à retenir leurs collaborateurs bien plus efficacement que celles qui comptent uniquement sur la rémunération. »
Éviter l’épuisement professionnel
Oliver Legg, co-fondateur du recruteur en cybersécurité Aspiron Search, affirme que l’épuisement professionnel des employés est un problème croissant pour les RSSI gérant des équipes de sécurité.
« Ce que nous constatons sur le marché, c’est que la rétention va au-delà de la rémunération et dépend fortement de l’environnement que vous créez, du soutien dont vous faites preuve et de la manière dont vous évoluez dans un paysage de menaces de plus en plus complexe », explique Legg.
Les équipes de sécurité doivent rester à jour avec des outils modernes pour à la fois se défendre contre les adversaires et maintenir l’engagement et l’efficacité des équipes.
« Les cyberprofessionnels travaillant avec des outils obsolètes ou des processus purement réactifs sont bien plus susceptibles de se désengager et de chercher ailleurs », prévient Legg.
Croissance et élévation
Offrir des opportunités de formation au personnel en cybersécurité peut être un puissant moteur d’engagement et de rétention.
« Offrir la possibilité d’assister ou de prendre la parole à des conférences de l’industrie, ainsi qu’un soutien pour des certifications nouvelles ou actualisées, aide les équipes à rester motivées et à continuer de se développer », conseille Legg.
Payne de CalTek Staffing note que les professionnels de la cybersécurité sont à la fois « hautement spécialisés et très demandés ». Cela signifie que les travailleurs sont « constamment sollicités par des entreprises avides de leurs talents et conscientes que leurs compétences sont rares », dit-il.
Selon Payne, les candidats posent de plus en plus de questions précises sur ce à quoi ressemblerait leur chemin de croissance et s’ils auront leur mot à dire dans la stratégie de sécurité plutôt que de se concentrer uniquement sur la rémunération.
Gagner l’engagement des employés
La fidélisation consiste désormais moins à prévenir l’insatisfaction qu’à susciter continuellement un engagement.
« L’un des principaux facteurs de roulement que nous constatons est le décalage entre ce qui a été promis au candidat lors du processus d’embauche et ce qui est réellement pris en charge en interne », explique Payne. « De nombreuses entreprises considèrent la sécurité comme « essentielle à leur mission », mais fonctionnent avec des équipes de sécurité chroniquement en sous-effectif, ou ne donnent pas d’autorité budgétaire au RSSI.
Payne conclut : « Les candidats forts peuvent détecter ce genre de problème très rapidement, et ils partiront tout aussi vite. »
