Lettre ouverte aux recruteurs et aux DRH

diplôme
InfoSec
passion
recrutement

*Ce texte fait office de réponse à un article de l'AFP paru dans Le Point *

Lire dans un magazine qu’un secteur rencontre des difficultés à recruter en pleine période de crise peut faire sourire. Personnellement, ça m’a plutôt donné envie de lancer des insultes. En l’espèce, l’un des ingénieurs de Cassidian déplorait le manque de candidats passionnés de sécurité informatique.

Pardon mesdames et messieurs les recruteurs mais c’est un peu de votre faute. Et ne restez pas la bouche ouverte comme un poisson devant cette affirmation.

D’abord vous cherchez souvent des moutons à cinq pattes. Alors d’accord, vous n’êtes pas les seuls, il semblerait que ça soit assez typique du Web en général. Combien de fois peut-on lire qu’une entreprise recherche un webmaster/designer/community manager/chef de projet (aucune mention inutile, ne rien rayer) en stage, de préférence trilingue, avec deux ans d’expérience et Bac +5. Dans le monde de l’infosec, c’est aussi le cas. On recherche des personnes qui maîtrisent la sécurité réseau – ce qui est déjà un bon morceau – la sécurité des applications Web, le reverse engineering et la programmation en Ruby, avec Bac+5, 5 à 10ans d’expérience.  Autant de domaines spécifiques de la sécurité informatique qu’une seule personne réunit rarement sauf à avoir une quarantaine d’années et qui ne sera certainement pas intéressée pour entrer quelque part comme junior. La sagesse populaire veut que si on est compétent dans beaucoup de domaines, en réalité, on n’est compétent dans aucun domaine.

Imaginons que notre entreprise cherchant son mouton à cinq pattes finisse par trouver un candidat qui lui plaît vaguement. Va-t-elle tester ses compétences en collant le dit candidat ou la dite candidate devant une machine au cri de « montre-moi ce que tu sais faire ? » Que nenni ! Qu’il passe devant un DRH ou un technicien, les techniques d’entretien seront exactement les mêmes. Mêmes questions parfois un peu idiotes ou répétitives – j’ai encore en mémoire le type qui m’a demandé à trois reprises en l’espace de cinq minutes si je maîtrisais le CSS – mêmes attentes, mêmes discours formatés. On en viendrait presque à bailler d’ennui.

Un jour, parfois, on lit que Loulou Machecouille, recruteur, cherche du sang neuf, des passionnés, des personnes qui connaissent réellement leur domaine sans pour autant rentrer dans les petites cases des DRH et autres formulaires dont Zézette disait « ça dépend, ça dépasse ». Loin de se douter que Loulou Machecouille leur veuille autant de bien, nos passionnés ont tendance à le regarder avec un peu de dédain. Pourquoi ? Parce qu’ils s’y sont déjà cassés les dents. Pour peu qu’ils aient tenté leur chance à un poste, ils ont vite compris à quel point les entreprises – mêmes celles qui se revendiquent à la pointe de la technologie et de l’innovation – sont sclérosées et longues à la détente, un peu comme à la Poste les premiers jours du mois.

En matière de Web, ça peut être encore plus rigolo quand on est une femme. Personnellement, j’ai adoré être prise pour ma propre secrétaire ou ma propre responsable des achats lors des TechDays. Aucun de ses messieurs-dames ne s’est figuré un seul instant que je pouvais être à la tête de ma propre entreprise.

Notre Loulou Machecouille va alors causer dans des média mainstream pour dire à quel point les attaques informatiques sont devenues de plus en plus sophistiquées et à quel point il aimerait avoir des gens passionnés d’Infosec pour répondre aux demandes d’incidents qui se font de plus en plus nombreuses. Que Loulou Machecouille commence par ouvrir les yeux.

Des passionnés d’Infosec ça existe, il y en a et souvent, ils ne sont pas passés par l’école. Mon meilleur ami par exemple, dit « mon jumeau ». Plusieurs années de métier dans la formation au réseau, le type capable de son sommeil, en ayant picolé de vous expliquer un réseau de façon pratique, avec des spécificités fonctionnelles que même son entreprise ne connait pas alors qu’elle les commercialise. Bientôt un an qu’il pourrit dans son entreprise parce que toutes les personnes auxquelles ils envoient désespérément des candidatures se focalisent sur une seule chose : son absence de diplôme. Aucun des recruteurs potentiels qui l’a contacté ne l’a collé devant une machine ou une infra quelconque pour voir comment il se débrouillait.

Soyons clair sur un point : les vrais passionnés d’Infosec sont très souvent des autodidactes, qui ont appris par eux-mêmes, qui donnent des coups de main sur les forums, les wiki, les chan IRC, les blogs, les sites généralistes. Ils font des veilles quotidiennes, lisent tous les manuels qui peuvent leur tomber sous la main, vont à des évènements sur leurs propres deniers, participent parfois à des conférences. En moyenne, j’estime personnellement travailler environ 2h par jour au moins sur cette thématique.

Bien sûr, il nous manquera des bases que l’on voit justement à l’école. Sauf que l’école, c’est con mais pour pleins de raisons, on ne peut pas y retourner, donc les diplômes, on est un peu obligé de s’asseoir dessus. Par contre, en situation réelle, on sera sûrement plus performant et pour cause : nous avons presque toujours été sur le terrain. Nous avons monté nos propres infra, nos propres sites, nos propres serveurs et nous les avons bricolés. Parfois, on ne se souvient même plus de ce qu’on a pu bricoler ce qui fait que lorsqu’un recruteur nous pose la question, on a un blanc.

Alors oui, nous sommes des outsiders, nous ne rentrons pas dans les cases, nous n’avons pas un rythme de vie classique, la plupart d’entre nous sommes affligés de ce que les Diaforus en tous genres appellent des déficiences comportementales mais nous avons un atout majeur : nous sommes beaucoup plus proches des attaquants que tous les ingénieurs Bac+ 72. En ce sens, nous sommes des monstres d’utilité publique. Nous comprenons leur façon de penser, nous connaissons leur façon de travailler, nous savons quelles erreurs ils peuvent commettre et nous savons avec quels outils ils travaillent, puisque nous utilisons souvent les mêmes.   Que les Loulous Machecouille des entreprises de sécurité informatique s’obstinent à embaucher des mômes sortis de l’école avec leur Bac + 5 tout frais et ils auront toujours un temps de retard sur les attaquants.   

Commentaires

Au final, j'ai pas compris... tu maitrises le CSS ? #pardon #patapay #JeSorsTrèsLoin

Bonjour, je suis tout à fait d'accord avec ton article. Combien de fois on m'a dit pas de diplôme non merci. Alors qu'étant autodidacte depuis mon adolescence j'ai pas mal bourlingué
:-)

ah oui c vrai que c des cons ...

en plus la plupart des hackers capable de debrouiller leurs collegues ont eux memes un pied noir et un pied blanc

comme tu dis nous allons tous plus ou moins sur les memes forums , et les undergrounds sont des secrets de pollichinelle ...

j'adore l'un des com's de l'article du point, quand il dit qu'il n'y a pas de formations pour ca ... sisi y en a sauf que ca s'appelle pas cybersecu, et que la finalite resultante n'est pas la cybersecu : c'est celle de monter proprement un bon serveur ... de deployer proprement un bon reseau, de dimensionner correctement sans rogner sur les economies de bout de chandelle ...

ps : j'en ai connu des inge info bac+5 qui connaissait de super algo de tri super-codissime ! mais incapable de monter un bet serveur asp ! et moi avec meme pas mon bac+1/2, lui donner des cours ... lol

Etant sorti d'école en ingé, je peux donner une explication très simple : on ne l'apprend pas à monter son serveur ASP. Pour moi, avec mon expérience scolaire, j'en déduit qu'un ingénieur n'est pas un technicien, dans le sens où il sait des choses (j'ose pas dire plein...) sur pleins de domaines mais rien en profondeur.

Et encore, comme le dit si bien Tris, la plupart des ingé qui savent vraiment bidouiller dans les serveurs, monter un réseau (basique hein) ou encore coder sont autodidactes.

Pour ma part, j'ai réussi à travailler pour de vrai dans l'infosec. Et mis à part ce qui sera administratif/présentation/rédaction de rapports et autres, ma formation ne m'a pas servi à grand chose (qui a dit pratiquement rien?) dans l'obtention de mon poste.

Je pense que les ingé (ou masters) ont une plus value en sortie d'école par rapport au techniciens. Mais sur le plan technique, c'est clairement pas le cas!

j'ai l'impression d'avoir écris cet article tellement il est l'exactitude de ce que je pense... J'ai le même problème que ton meilleur amis :)

Wow...
Ca fait des années que je pensais être le seul à avoir capté ca dans les offres d'emplois, et le pire c'est que je pensais cela normal.
Alors c'est pareil en France ?
J'aurai juré que ce n'était qu'en Belgique.
Pas mal la petite BD.

c'est que cette situation, ça vous étonne encore.
On est en France, et en France INTERNET ÇAYLEUMAL! Corollaire: l'informatique, les ordinateurs etc çay le mal aussi.
Qui est ministre des internets en France? Fleur Pelerin! Elle sort d'ou la madame? ESSEC, Institut d'études politiques de Paris, ENA youpi!
L'informatique c'est un bidule compliqué qu'il faut surtout pas essayer de comprendre, mais qu'il faut confier à des pense-pour-nous, que leurs études pour penser à la place des autres auront préparer à cette tache.
Pas à des gadouilleux qui bricolent des machins incompréhensibles dans leur coin.
Cet état d'esprit se retrouve aussi dans le domaine de l'innovation. L'innovation c'est un truc que des scientifiques (des mecs en blouse blanche avec des lunettes) ils fabriquent dans des laboratoires. On est pas comme ces sauvages d'américains qui montent des multinationales alors qu'ils ont meme pas fini leurs études. Nous on est des gens sérieux. La preuve: c'est nous qu'on a inventé le minitel.
Bref...

A l'anssi, ils recrutent des experts ... avec le doctorat si possible ...
http://www.ssi.gouv.fr/fr/anssi/emploi/sde/division-scientifique-et-tech...
Faut savoir écrire des rapports et parler devant des assemblées, ça doit être ça.

D'après Radio-Moquette, l'ANSSI fonctionne énormément par relations et piston. Apès où se situe la vérité, je n'en sais rien. Personnellement; j'avais candidaté pour un poste mais je n'ai pas eu de retours. Au moins pouvons-nous reconnaître que l'ANSSI ne fait pas perdre son temps aux candidats : quand tu postules, tu reçois un mail automatique énonçant que si tu n'as pas de retour dans un délai d'un mois, ton profil n'a pas été retenu. Au moins tu sais à quoi t'en tenir :) 

Par ailleurs, j'avoue ne pas être spécialement choquée par le fait que l'ANSSI recherche des profils académiques, c'est tout de même une entité d'Etat. Je suis plus circonspecte quand je vois des entreprises privées, dites innovantes, se focaliser sur le bagage universitaire. 

Ajouter un commentaire