Les "bonnes ressources" humaines en sécurité informatique se font rares. Les recruteurs peinent à trouver la perle rare au milieu de milliers de demandes, souvent répercutées par des outils "peu ciblés". Lancé il y a un mois en France, pour combler ce manque, le site YesWeHack connaît une bonne audience. Guillaume Vassault-Houlière, un des fondateurs, nous en parle. Pouvez-vous nous faire une brève présentation de YesWeHack ? Comment a évolué son audience ? Guillaume Vassault-Houlière : YesWeHack est un site de recrutement dédié aux métiers de la sécurité informatique. Il y a beaucoup de demandes dans ce domaine venant des entreprises. Mais aucun des sites existants ne centralise les demandes d'emploi dans ce domaine précis. Les sociétés arrivent difficilement à embaucher des personnes compétentes dans ce domaine. Et vice versa, les demandeurs dans ce domaine n'ont pas de site de référence pour postuler. Le site a été créé, il y a un mois maintenant et nous avons plus de 50 offres d'emplois et une base de donnée de plus de 200 CV. Son audience ne cesse de croitre avec le temps. Au cours de ces années passées dans le monde de la sécurité informatique, je me suis aperçu que les modes de recrutement n'avaient pas évolué avec le métier. Jusqu'à il y a peu de temps encore, recruter un hacker dans la sécurité informatique était réservé aux personnes faisant partie du milieu. Seules les entreprises ayant un coté visionnaire ou ayant un besoin en innovation avaient compris à l'époque que les talents de demain étaient des passionnés évoluant bien au-delà des codes propres au monde du recrutement. Faut-il avoir un profil de hacker pour être un monsieur/madame sécurité informatique d'une entreprise ? Non, mais souvent les meilleurs sont les passionnés qui, sur le temps libre, bidouillent dans ce domaine. Un vrai hacker ne s'autoproclamera pas hacker. Ce sont les autres qui le nomment ainsi. Une forme de reconnaissance par ses frères. Mais avoir le profil hacker peut rebuter des entreprises. Comment les convaincre ? Un hacker est quelqu'un de passionné, curieux et autodidacte. Faire de sa passion, un métier est le rêve de tous et souvent ce genre de profil est beaucoup plus performant en entreprise. Nous ne sommes pas là pour convaincre les autres entreprises, elles y viendront toutes seules. C'est une question de stratégie au sein de l'entreprise. Il faut savoir évoluer avec son temps. Au-delà des compétences théoriques qu'un ingénieur ou tout autre diplômé peut avoir, comment devient-on hacker ? Avec passion et détermination, on arrive souvent à son but. Mais il est plus facile de passer la frontière et d'utiliser ses compétences à des fins criminelles pour devenir un "pirate". Les valeurs d'un hacker sont d'autant plus importantes que ses compétences techniques. L'éthique est le quotidien d'un hacker. Le monde des "white hat", des hackers éthiques, fonctionne-t-il en communauté ? A-t-il des limites géographiques ? Oui il fonctionne en communauté et n'a pas vraiment de limite géographique. Le monde de la sécurité informatique est très petit au final, et nous sommes une vraie famille. On se retrouve souvent autour de notre passion lors de conventions à travers le monde. Quelles sont les questions de sécurité les plus répandues en ce moment ? La sécurité des données que nous transitons sur Internet ou que nous stockons. L'intégrité de celle-ci est importante et à une valeur pour chacun (entreprise ou citoyen). Sur votre site on constate que les offres de stages ne sont pas rares. Se terminent-elles par des recrutements ? Oui et nous avons déjà eu beaucoup de retour à ce sujet. Souvent des profils que les responsables RH ne pouvaient atteindre via les sites conventionnels de recrutement que nous pouvons retrouver sur Internet. Organisez-vous des rencontres entre demandeurs d'emplois dans la sécurité informatique et des entreprises ? Remixjobs organise les Remixjobs Day, l'événement dédié au recrutement des métiers du Web. Nous serons présent pour répondre aux questions des candidats et nous devrions avoir quelques entreprises qui recrutent dans le domaine de la sécurité informatique. Recevez-vous des demandes d'emploi ou de stage de candidats issus du Maghreb ? Si oui, ont-ils de chances de se placer sur ce marché ? Non pas encore. Les révélations de Edward Snowden ont-elles poussé vers le haut la demande de niveau de sécurité ? Les entreprises en sont-elles conscientes ? Je pense que oui. Après il est encore trop tôt pour le dire, mais il est certain que ça va jouer un rôle important dans les futures décisions en matière de sécurité en entreprise. Concernant la sécurité des données, le Cloud vous semble-t-il sécurisé ? Oui, si vous choisissez un acteur qui est sensibilisé aux risques dans ce domaine mais le risque zéro n'existe pas. Tous ne le sont pas et il y a obligatoirement un coût pour le client. L'entrée des smartphones dans l'entreprise est-elle un risque ? Oui, car il s'agit d'un périmètre d'attaque non maitrisé par les responsables de sécurité des entreprises. Un attaquant choisira l'entrée la plus simple et donc utilisera potentiellement une cible qui n'est pas soumise à la politique de sécurité de la société mais qui peut interagir avec ses acteurs ou ses équipements informatiques. D'où la nécessité de sensibiliser ses collaborateurs à ce genre de risques et de les éduquer.
