Hier encore, un candidat me disait qu’il ne voulait pas faire de GRC (gouvernance, risque et conformité) parce que “ce n’est pas technique”. Cette remarque, je l’entends souvent. Elle illustre un réflexe tenace dans notre secteur: classer les métiers de la cybersécurité entre ceux qui “font” et ceux qui “accompagnent”, comme s’il y avait d’un côté les vrais techniciens et de l’autre ceux qui gravitent autour.
Je pense que cette distinction est non seulement fausse, mais aussi contre-productive. Un poste en conformité, en gouvernance ou en gestion des risques nécessite une compréhension technique réelle pour être efficace. Impossible de rédiger une politique de sécurité crédible, d’évaluer un risque ou d’auditer un système sans saisir les aspects technologiques sous-jacents. À l’inverse, un analyste SOC ou un ingénieur sécurité qui ne comprend pas les processus métiers, la gestion d’incident ou les contraintes réglementaires perd une partie de sa capacité à agir de manière pertinente.
Outre la question technique, cette distinction nous fait aussi passer à côté de la véritable valeur des métiers transverses. Les rôles en GRC ont une importance stratégique majeure. Lorsqu’ils sont bien exécutés, ils permettent à la cybersécurité de devenir un véritable soutien du business: une sécurité qui soutient la croissance, renforce la confiance des clients et facilite l’accès à de nouveaux marchés, toujours plus régulés.
Ces métiers jouent également un rôle essentiel dans la rationalisation des investissements en cybersécurité. Ils permettent de s’assurer que l’argent dépensé sert réellement à réduire les risques plutôt qu’à cocher des cases pour donner une illusion de sécurité. La GRC donne du sens et de la cohérence à la stratégie de sécurité, en alignant les efforts techniques sur les vrais enjeux de risque et de valeur pour l’organisation.
En réalité, la cybersécurité repose sur une combinaison de compétences techniques, organisationnelles et humaines. Aucun professionnel, aussi compétent soit-il, ne peut maîtriser seul l’ensemble de ces dimensions. Le périmètre de la cybersécurité s’étend d’ailleurs constamment: les nouvelles réglementations comme NIS2 ou DORA exigent désormais de sécuriser la chaîne d’approvisionnement dans son ensemble, de renforcer la résilience organisationnelle, de gérer des crises complexes. Vouloir tout maîtriser relève de l’impossible.
C’est la force d’une équipe qui vient de la complémentarité des profils, pas de la hiérarchie entre eux. C’est en valorisant cette diversité et en dépassant la vision binaire des métiers que le secteur gagnera en efficacité, en inclusivité et en crédibilité auprès du business.
Cette hiérarchie implicite entre les rôles a d’ailleurs des conséquences profondes qui dépassent la simple question d’efficacité opérationnelle. Historiquement, les métiers perçus comme “techniques” ont été davantage valorisés et occupés par des hommes. Cette valorisation différenciée crée un double problème: d’une part, elle cantonne certaines femmes à des rôles transverses jugés secondaires, freinant leur progression. D’autre part, elle rend invisible les femmes qui occupent déjà des postes techniques, comme si leur présence contredisait trop la norme pour être pleinement reconnue. Ce biais ne touche pas uniquement les parcours GRC: il affecte la légitimité de toutes les femmes dans le secteur, quel que soit leur domaine d’expertise. Cette barrière invisible prive la cybersécurité de nombreux talents et perspectives dont elle a pourtant cruellement besoin.
Je pense donc que nous devons changer notre façon de former, de recruter et de collaborer. Il faut mieux valoriser les profils hybrides, rapprocher les équipes techniques et GRC, et favoriser la compréhension mutuelle. C’est ainsi que la cybersécurité peut devenir un véritable levier de performance.
Pour progresser vers plus de diversité, j’ai commencé par des actions concrètes: revoir nos offres d’emploi avec des descriptions claires, des exigences réalistes et un langage inclusif. Ce simple ajustement a déjà permis de recevoir plus de candidatures féminines et des profils variés, souvent très complémentaires. Augmenter la diversité ne demande pas forcément de grands programmes, mais des gestes sincères et cohérents au quotidien.
La cybersécurité a besoin de toutes les compétences, de toutes les voix et de tous les talents pour construire une résilience collective à la hauteur des enjeux.