Lettre ouverte aux recruteurs et aux DRH

*Ce texte fait office de réponse à un article de l'AFP paru dans Le Point *

Lire dans un magazine qu’un secteur rencontre des difficultés à recruter en pleine période de crise peut faire sourire. Personnellement, ça m’a plutôt donné envie de lancer des insultes. En l’espèce, l’un des ingénieurs de Cassidian déplorait le manque de candidats passionnés de sécurité informatique.

Pardon mesdames et messieurs les recruteurs mais c’est un peu de votre faute. Et ne restez pas la bouche ouverte comme un poisson devant cette affirmation.

D’abord vous cherchez souvent des moutons à cinq pattes. Alors d’accord, vous n’êtes pas les seuls, il semblerait que ça soit assez typique du Web en général. Combien de fois peut-on lire qu’une entreprise recherche un webmaster/designer/community manager/chef de projet (aucune mention inutile, ne rien rayer) en stage, de préférence trilingue, avec deux ans d’expérience et Bac +5. Dans le monde de l’infosec, c’est aussi le cas. On recherche des personnes qui maîtrisent la sécurité réseau – ce qui est déjà un bon morceau – la sécurité des applications Web, le reverse engineering et la programmation en Ruby, avec Bac+5, 5 à 10ans d’expérience.  Autant de domaines spécifiques de la sécurité informatique qu’une seule personne réunit rarement sauf à avoir une quarantaine d’années et qui ne sera certainement pas intéressée pour entrer quelque part comme junior. La sagesse populaire veut que si on est compétent dans beaucoup de domaines, en réalité, on n’est compétent dans aucun domaine.

Imaginons que notre entreprise cherchant son mouton à cinq pattes finisse par trouver un candidat qui lui plaît vaguement. Va-t-elle tester ses compétences en collant le dit candidat ou la dite candidate devant une machine au cri de « montre-moi ce que tu sais faire ? » Que nenni ! Qu’il passe devant un DRH ou un technicien, les techniques d’entretien seront exactement les mêmes. Mêmes questions parfois un peu idiotes ou répétitives – j’ai encore en mémoire le type qui m’a demandé à trois reprises en l’espace de cinq minutes si je maîtrisais le CSS – mêmes attentes, mêmes discours formatés. On en viendrait presque à bailler d’ennui.

Un jour, parfois, on lit que Loulou Machecouille, recruteur, cherche du sang neuf, des passionnés, des personnes qui connaissent réellement leur domaine sans pour autant rentrer dans les petites cases des DRH et autres formulaires dont Zézette disait « ça dépend, ça dépasse ». Loin de se douter que Loulou Machecouille leur veuille autant de bien, nos passionnés ont tendance à le regarder avec un peu de dédain. Pourquoi ? Parce qu’ils s’y sont déjà cassés les dents. Pour peu qu’ils aient tenté leur chance à un poste, ils ont vite compris à quel point les entreprises – mêmes celles qui se revendiquent à la pointe de la technologie et de l’innovation – sont sclérosées et longues à la détente, un peu comme à la Poste les premiers jours du mois.

En matière de Web, ça peut être encore plus rigolo quand on est une femme. Personnellement, j’ai adoré être prise pour ma propre secrétaire ou ma propre responsable des achats lors des TechDays. Aucun de ses messieurs-dames ne s’est figuré un seul instant que je pouvais être à la tête de ma propre entreprise.

Notre Loulou Machecouille va alors causer dans des média mainstream pour dire à quel point les attaques informatiques sont devenues de plus en plus sophistiquées et à quel point il aimerait avoir des gens passionnés d’Infosec pour répondre aux demandes d’incidents qui se font de plus en plus nombreuses. Que Loulou Machecouille commence par ouvrir les yeux.

Des passionnés d’Infosec ça existe, il y en a et souvent, ils ne sont pas passés par l’école. Mon meilleur ami par exemple, dit « mon jumeau ». Plusieurs années de métier dans la formation au réseau, le type capable de son sommeil, en ayant picolé de vous expliquer un réseau de façon pratique, avec des spécificités fonctionnelles que même son entreprise ne connait pas alors qu’elle les commercialise. Bientôt un an qu’il pourrit dans son entreprise parce que toutes les personnes auxquelles ils envoient désespérément des candidatures se focalisent sur une seule chose : son absence de diplôme. Aucun des recruteurs potentiels qui l’a contacté ne l’a collé devant une machine ou une infra quelconque pour voir comment il se débrouillait.

Soyons clair sur un point : les vrais passionnés d’Infosec sont très souvent des autodidactes, qui ont appris par eux-mêmes, qui donnent des coups de main sur les forums, les wiki, les chan IRC, les blogs, les sites généralistes. Ils font des veilles quotidiennes, lisent tous les manuels qui peuvent leur tomber sous la main, vont à des évènements sur leurs propres deniers, participent parfois à des conférences. En moyenne, j’estime personnellement travailler environ 2h par jour au moins sur cette thématique.

Bien sûr, il nous manquera des bases que l’on voit justement à l’école. Sauf que l’école, c’est con mais pour pleins de raisons, on ne peut pas y retourner, donc les diplômes, on est un peu obligé de s’asseoir dessus. Par contre, en situation réelle, on sera sûrement plus performant et pour cause : nous avons presque toujours été sur le terrain. Nous avons monté nos propres infra, nos propres sites, nos propres serveurs et nous les avons bricolés. Parfois, on ne se souvient même plus de ce qu’on a pu bricoler ce qui fait que lorsqu’un recruteur nous pose la question, on a un blanc.

Alors oui, nous sommes des outsiders, nous ne rentrons pas dans les cases, nous n’avons pas un rythme de vie classique, la plupart d’entre nous sommes affligés de ce que les Diaforus en tous genres appellent des déficiences comportementales mais nous avons un atout majeur : nous sommes beaucoup plus proches des attaquants que tous les ingénieurs Bac+ 72. En ce sens, nous sommes des monstres d’utilité publique. Nous comprenons leur façon de penser, nous connaissons leur façon de travailler, nous savons quelles erreurs ils peuvent commettre et nous savons avec quels outils ils travaillent, puisque nous utilisons souvent les mêmes. Que les Loulous Machecouille des entreprises de sécurité informatique s’obstinent à embaucher des mômes sortis de l’école avec leur Bac + 5 tout frais et ils auront toujours un temps de retard sur les attaquants.