Dans un poste depuis plusieurs années et pas franchement très heureux, nous avons souhaité en changer. Nous nous sommes donc mis à l’écoute du marché scrutant les offres à la recherche de la perle rare : Vous savez le fameux boulot qui combine une mission intéressante, des conditions correctes et le tout dans un endroit sympathique, tout cela étant vous en conviendrez très subjectif. Car comme nous disait un de nos professeurs en Résistance de Matériaux (#MyPathToInfoSec), « Il n’y a pas de bon ou mauvais matériaux, il y a un matériaux qui répond à un besoin précis ». Et chacun a ses attentes quand il cherche un emploi.
Nous avons passé un nombre certain d’entretiens et en sommes souvent sorti déçu : Rares sont les fois où les recruteurs ont su nous démontrer de l’intérêt pour le travail offert car souvent après avoir été cuisiné et harcelé de questions sur notre parcours, nos compétences, nos motivations, vient le moment pendant lequel les recruteurs nous permettent de poser quelques questions. Systématiquement nous posions la question « Et pourquoi devrais-je venir travailler chez vous ? ». Question très souvent suivie d’un échange de regard surpris entre recruteurs et presque toujours d’une réponse peu convaincante.
Ce constat fait particulièrement écho dans le contexte où beaucoup se plaignent de la pénurie de talents en sécurité des systèmes d’information, de ne pas trouver de candidat, de ne pas remplir les formations en sécurité.
Voici quelques notes en vrac fondés sur des retours d’expériences personnelles ou de connaissances :
Tout d’abord la description de poste :
- La fiche de poste digne de l’incipit des Confessions de Jean-Jacques Rousseau : Tellement ambitieuse qu’une fois lu, même les plus vaillants membres de l’équipe se disent qu’ils n’ont pas le niveau pour postuler (par ex: Demander un doctorat pour faire de l’administration de pare-feu): Au final les candidats retenus ne sont pas adaptés et/ou surqualifiés et ne donnent pas suite : Chers recruteurs, soyez honnêtes !
- La fiche multifonction : on a déjà parlé de ce fameux syndrome du couteau suisse mais il est tellement récurrent. Combien de fiches de poste peut-on lire où il est demandé au candidat d’être à la fois expert en réseau, en méthodologie EBIOS et en rétroconception x64 sur MIPS : Chers recruteurs, une fois encore soyez réalistes !
- Les postes « carte blanche » : à la mode avec l’arrivée de ce nouveau règlement. Les entreprises prennent conscience du besoin d’avoir un(e) monsieur/madame sécurité et c’est tant mieux, et partant d’un honnête constat qu’ils n’y connaissent rien ou presque, souhaitent recruter un sachant. Mais ils veulent surtout/seulement recruter un responsable qui pourra être désigné comme coupable le moment venu. Ce RSSI se verra confier un titre honorifique mais quasiment aucune liberté d’action car pas de soutien de la hiérarchie et/ou pas de budget. Dans la gestion de la SSI, le recrutement d’un responsable n’est pas une fin en soi mais uniquement la première étape d’un long et douloureux chemin : Chers recruteurs, soyez cohérent dans votre logique et donnez nous les moyens de vos ambitions !
Ensuite, les offres regorgent de l’expression « packages attractifs ». Même s’il est plaisant pour un candidat de savoir que son salaire sera élevé, ce n’est pas le seul critère de décision et bien souvent pour les passionnés, il ne constitue pas l’élément le plus important. Faire la liste exhaustive de ces critères est très compliqué car les besoins évoluent au fil du temps, des profils et sont souvent très personnels. Mais citons en quelques uns qui nous paraissent parmi les plus importants:
- Travailler sur des objectifs concrets pour une mission en laquelle on croit : On ne parle pas forcement des gens qui dorment en slip Bleu-Blanc-Rouge et qui veulent travailler à la Piscine. Mais sachez que la motivation est aussi de savoir que ce que l’on fait, ce que l’on protège est utile. La complexité des systèmes informatiques mais aussi des organisations qui les utilisent rend parfois difficile voir impossible de comprendre l’utilité de son job. D’autres ne souhaiteront pas travailler pour les Qosmos, Amesys ou autre Suneris solution parce que cela ne correspond pas à leurs éthiques et valeurs morales.
- Travailler dans un environnement stimulant : Il est pour certains aussi important de savoir qu’ils seront immergés dans un milieu stimulant : challenge technique, liberté de proposer et tester des solutions novatrices. Cela peut paraitre anecdotique mais beaucoup d’entre nous sommes avant tout des gens curieux et nous aimons bidouiller, retourner un problème dans tous les sens pour en proposer la solution qui nous parait la meilleure et pas seulement nous limiter à implémenter la solution rapide, économique, temporaire (pour les dix prochaines années) mais inélégante.
- Travailler sans stress : C’est un besoin très personnel, chacun ne ressent ni ne gère les émotions de la même façon. Mais globalement personne n’aime subir de stress de façon continue : pourtant on voit souvent dans les annonces des qualités requises « savoir gérer le stress » (Note : le nombre de retours sur une recherche sur le mot clé « stress » sur un site d’annonce est d’ailleurs assez frappant) ou des choses du genre. On a du mal à comprendre le pourquoi du comment. Si un employé en est à devoir gérer le stress, c’est que quelqu’un dans la boite ne fait pas son job (i.e n’assume pas ses décisions). On conçoit le travail sous pression ou dans l’adrénaline, et on peut même aimer cela. Mais le stress ? Faudra qu’on nous explique !
- Travailler dans une équipe : La sécurité ne doit pas être perçue comme la cinquième roue du carosse. Nous sommes sensibles un supérieur qui sait relayer les messages entre les différentes équipes et résoudre les sources de tensions pour faire de la sécurité une démarche intégrée. Cette dernière expression peut paraître un peu bateau. Mais il faut arréter de nous faire croire que la sécurité est uniquement une affaire de spécialistes. L’émulation entre collègues (SSI ou autre) est aussi une source d’enrichissement pour compléter notre vision d’un problème.
- Avoir la capacité de continuer à apprendre : cela est peut-être le plus important. Les technologies avancent tellement vite que c’est une nécessité absolue de se former en continu. Il est vrai que cela a un coût important et en plus récurrent (notamment quand on va chez SANS). Mais il participe aussi à montrer à vos employés que vous les valorisez. Et cette formation peut avoir différentes formes. Certes, la plus évidente reste d’envoyer régulièrement les gens en formation chez feu-hsc ou autre. Mais ce n’est pas la seule manière, citons aussi les participations à des conférences où on apprend souvent autant pendant les présentations qu’en échangeant avec différentes personnes pendant les pauses. N’oublions pas encore une fois l’émulation et l’échange entre collègues. Nous apprenons beaucoup de nos collègues et on espère modestement qu’ils apprennent aussi grâce à nous.
Bien sur, il y a aussi des aspects extra-professionnels qui peuvent entrer en ligne de compte : la situation géographique des locaux (Tout le monde n’est pas fan de Paris), la flexibilité sur les horaires, travail depuis la maison, le nombre de jour de congés, la facilité de combiner vie privée vs professionnelle, le droit à la déconnexion etc. Mais tout cela n’est pas propre à la SSI.
En conclusion, les quelques points cités ci-dessus ne sont que des exemples que nous avons pu recueillir à droite ou à gauche en échangeant sur notre vision du métier. En résumé, chers recruteurs ne demandez pas uniquement ce que votre candidat peut faire pour vous, mais plutôt ce que vous pouvez faire pour lui !
Car vous remarquerez que même s’il y a une pénurie évidente de talent en SSI, les entreprises où il fait bon travailler, elles, ne s’en plaignent pas !
Cryptobourrin 