Recruter en cybersécurité dans la finance discrète : la marque employeur ne fait pas tout

Une maison de gestion de fortune que nous accompagnons cherchait, il y a quelques mois, son tout premier responsable de la sécurité des systèmes d’information. Cent trente collaborateurs, des encours considérables, une clientèle qui exige autant de discrétion que de rendement. L’annonce était soignée, la rémunération en ligne avec les responsabilités, le poste publié sur les supports habituels. Six mois plus tard, le siège demeurait vide. Non par pénurie de candidatures, mais à cause de leur nature. D’un côté, des profils débutants qui rêvaient d’un centre opérationnel de sécurité dans une grande banque de réseau. De l’autre, des spécialistes aguerris qui ne daignaient pas regarder une enseigne « sans nom ». Et quelque part, hors d’atteinte de l’annonce, la personne idéale : quelqu’un qui aurait savouré la proximité avec les dirigeants et la densité des dossiers, mais qui ne consulte jamais les sites d’emploi. Ce simple décalage raconte, à lui seul, tout le sujet de cet article.

La finance discrète, ce continent que les classements ignorent

recruter en cybersécurité dans la finance

Il existe une part de la finance dont les palmarès d’employeurs ne parlent presque jamais. Banque privée, gestion de fortune et de patrimoine, boutiques de fusions-acquisitions, banques de financement et d’investissement de taille intermédiaire. En Europe, cette constellation rassemble des maisons dont le nom évoque la confidentialité bien davantage que la publicité. Certaines sont les filiales européennes, établies au Luxembourg, en France, en Italie ou à Monaco, de groupes dont le siège se trouve en Suisse.

Leur point commun tient en peu de mots. Elles administrent des actifs sensibles, emploient quelques centaines de personnes plutôt que plusieurs dizaines de milliers, et ont bâti leur réputation sur la relation, la durée et la retenue, jamais sur la notoriété de masse. Ce sont, en somme, des établissements puissants mais feutrés. Et c’est précisément cette singularité qui transforme leur rapport à la cybersécurité, puis à l’embauche des talents censés la porter.

Pourquoi ces maisons concentrent l’attention des attaquants

recruter en cybersécurité dans la finance

Une idée reçue voudrait que la taille modeste protège. C’est l’inverse qui se vérifie. Ces établissements concentrent une valeur unitaire considérable : données patrimoniales, ordres de virement d’un montant élevé, accès privilégié à des décideurs économiques. Pour un assaillant, le rapport entre l’effort consenti et le gain espéré devient redoutablement attractif.

Les chiffres confirment l’intuition. Dans sa première analyse sectorielle consacrée à la finance, publiée en février 2025, l’agence européenne ENISA recense, entre janvier 2023 et juin 2024, 488 incidents publiquement signalés dans le secteur financier, dont 301 ont frappé des établissements bancaires européens, désignés comme les premières victimes. Les perturbations opérationnelles représentent 58 % des conséquences observées, l’exposition de données sensibles 17 %. L’édition suivante, l’ENISA Threat Landscape 2025, classe à nouveau la finance parmi les cinq secteurs les plus visés de l’Union.

Le coût, lui, ne faiblit pas. Le rapport IBM Cost of a Data Breach 2025 situe la finance au deuxième rang des secteurs les plus onéreux en cas de compromission, avec une moyenne de 5,56 millions de dollars par violation, juste derrière la santé et nettement au-dessus de la moyenne mondiale, établie à 4,44 millions. Une précision honnête s’impose ici : ces montants couvrent l’ensemble du secteur financier. La banque privée ne communique pas sur ses propres incidents, par culture autant que par prudence. Les chiffres ci-dessus valent donc comme ordres de grandeur sectoriels, et non comme données dédiées à ce segment précis.

DORA, le réveil réglementaire qui change la donne

recruter en cybersécurité dans la finance

Si la menace constitue la toile de fond, le détonateur s’appelle DORA. Le règlement européen 2022/2554, dit Digital Operational Resilience Act, est entré en application le 17 janvier 2025. Il s’adresse à un large éventail d’entités financières, parmi lesquelles les sociétés de gestion de portefeuille et les entreprises d’investissement, ainsi qu’à leurs prestataires informatiques jugés critiques.

Concrètement, le texte impose la notification des incidents majeurs liés aux technologies de l’information, la tenue d’un registre des accords contractuels, une gestion formalisée des risques numériques et des tests de résilience. Une nuance géographique mérite d’être posée clairement : les maisons strictement helvétiques ne sont pas directement assujetties, mais leurs entités établies dans l’Union le sont pleinement. DORA n’est donc pas le cœur du sujet. C’est l’étincelle. Du jour au lendemain, une maison de cent cinquante personnes a découvert qu’elle devait structurer une gouvernance, attribuer des responsabilités explicites, produire des registres et démontrer sa capacité à encaisser un choc.

Et donc recruter. Car DORA ne crée pas la menace, qui préexistait largement. Il rend simplement le sous-investissement difficilement défendable. Cette mécanique, où une obligation européenne fait surgir des besoins d’embauche bien réels, n’est pas propre à la finance : nous l’avons décrite à propos du Cyber Resilience Act et des produits numériques. La logique est identique, seul le périmètre change.

Des postes ouverts, des profils introuvables : l’anatomie d’un blocage

recruter en cybersécurité dans la finance

Voici où le sujet se corse. Ces maisons formulent fréquemment un besoin de « responsable de la sécurité des systèmes d’information » qui, lu attentivement, décrit en réalité trois métiers superposés. Une expertise technique pointue. Un pilotage de la gouvernance et de la conformité DORA. Et une aisance certaine à dialoguer dans la langue du comité de direction. Le profil recherché est hybride par construction, donc rare par nature.

Sans prétendre dresser un inventaire exhaustif, quelques fonctions ressortent comme particulièrement difficiles à pourvoir dans ce contexte. Le responsable sécurité calibré pour une structure intermédiaire, capable d’être seul à la barre sans s’y noyer, qui ne disposera ni de l’équipe ni des budgets d’une grande banque. Le responsable de la résilience opérationnelle et des risques numériques, dont l’existence même découle des exigences de DORA. L’ingénieur expérimenté en gestion des identités et des accès, pièce maîtresse de la souveraineté des accès à la donnée client. Ou encore le spécialiste de la gouvernance, des risques et de la conformité orienté finance, celui qui sait conduire DORA comme un projet stratégique et non comme un tableur à remplir.

Le contexte de tension est documenté. La Cybersecurity Workforce Study 2025 de l’ISC2, fondée sur les réponses de plus de seize mille professionnels, indique que 33 % des organisations estiment ne pas disposer des ressources nécessaires pour doter correctement leurs équipes, et que 29 % ne peuvent tout simplement pas s’offrir les compétences requises. Fait marquant, la pénurie de compétences a désormais dépassé la pénurie d’effectifs comme préoccupation première des employeurs. La cybersécurité, on le voit, est moins un métier en perpétuelle redéfinition qu’un métier dont les frontières se déplacent vite, comme nous l’avons exploré à propos de la transformation du rôle de DSI vers la résilience numérique.

La conclusion est paradoxale mais limpide. Le profil idéal n’est pas absent du marché. Il est rarement en recherche active, et plus rarement encore présent sur les annonces. Le chercher là où il ne se trouve pas garantit surtout de patienter longtemps.

Recruter en cyber quand on ne s’appelle pas BNP Paribas

recruter en cybersécurité dans la finance

Abordons franchement la question de la marque employeur. Oui, comparées aux mastodontes du secteur, ces maisons reçoivent peu de candidatures spontanées. C’est une réalité de volume. Mais en conclure que leur marque employeur est faible serait une erreur d’analyse.

Leur marque n’est pas faible. Elle est intime. Elle ne séduit pas par la quantité, elle séduit par la qualité de l’expérience proposée : proximité réelle avec les dirigeants, autonomie effective, dossiers techniques denses, dimension internationale, absence de la dilution qui caractérise les très grandes organisations. Le candidat qui aspire précisément à cela existe. Le véritable obstacle n’est donc pas l’attractivité de la maison. C’est la mise en relation. La bonne personne ignore que le poste existe, et la maison ignore où trouver la bonne personne.

C’est exactement là qu’un cabinet de recrutement cybersécurité spécialisé modifie l’équation. Son rôle ne consiste pas à diffuser plus largement une annonce. Il consiste à aller chercher les profils passifs, à traduire l’attrait authentique de la maison dans un vocabulaire qui résonne chez le bon candidat, puis à présélectionner en fonction de la maturité réelle de l’organisation. Car une maison qui découvre tout juste DORA n’a pas besoin du même premier recrutement qu’une maison déjà engagée dans la structuration de sa troisième ligne de défense.

Un cabinet véritablement consultatif aide d’abord à formuler le besoin avant de partir en chasse. Il arrive que le premier « responsable sécurité » dont une maison croit avoir besoin soit, en vérité, un responsable conformité. Il arrive que ce soit l’inverse. Cet accompagnement de la maturation du besoin, qui précède toute recherche de candidat, est souvent ce qui sépare un recrutement abouti d’un siège qui s’éternise. Il rejoint une idée que nous défendons régulièrement : la cyberrésilience se construit autant par les bonnes personnes que par les bons outils.

L’avis de Rehackt, sans détour

recruter en cybersécurité dans la finance

Il circule, dans bien des comités, une fiction comptable d’une grande élégance : le poste cyber non pourvu serait une ligne budgétaire économisée. Séduisant. Et faux. Un siège laissé vacant pendant neuf mois n’est pas une dépense évitée. C’est une vulnérabilité non couverte, assortie d’une charge supplémentaire reportée sur des équipes déjà sous pression. Le calcul d’apparence prudent est, en pratique, le plus coûteux. Et DORA, soulignons-le, ne lit pas votre budget prévisionnel.

La vraie question, pour une direction générale ou une direction financière, n’est pas de savoir combien coûte un cabinet de recrutement cybersécurité. Elle est de savoir combien coûte l’absence prolongée du poste que ce cabinet permettrait de pourvoir. Dans cette histoire, la direction des ressources humaines tient un rôle décisif, celui de traducteur : convertir une obligation réglementaire et un risque diffus en un arbitrage clair, chiffré, présentable au comité.

Notre conviction se résume ainsi. Dans la finance discrète, le bon recrutement cyber ne se trouve pas, il se construit. Il suppose une maison qui assume pleinement ce qu’elle est, et un cabinet capable de raconter cette identité à la bonne oreille. La discrétion, ici, n’est pas un handicap à dissimuler. C’est un argument à faire valoir. Encore faut-il le porter jusqu’à la personne concernée, qui, par définition, ne lira pas votre annonce.

Ce que la donnée affirme, et ce qu’elle laisse dans l’ombre

Fidèles à notre habitude, nous distinguons explicitement les registres mobilisés dans cet article.

Faits avérés et sourcés. Le rapport IBM Cost of a Data Breach 2025 situe la finance à 5,56 millions de dollars de coût moyen par violation, au deuxième rang sectoriel. L’ENISA, dans son panorama dédié à la finance de février 2025, recense 488 incidents publiquement signalés sur dix-huit mois, dont 301 touchant des banques européennes. Le règlement DORA est en application depuis le 17 janvier 2025, sous la supervision en France de l’ACPR et de l’AMF. La Cybersecurity Workforce Study 2025 de l’ISC2 documente les taux de 33 % et 29 % cités plus haut.

Observations de terrain Rehackt, en tant que cabinet de recrutement cybersécurité. L’anecdote d’ouverture est réelle, mais anonymisée conformément à nos standards. La rareté du profil hybride adapté aux structures intermédiaires relève de ce que nous constatons au quotidien, et non d’une statistique publiée.

Hypothèses raisonnées. L’extrapolation des coûts et des menaces à la banque privée s’appuie sur les chiffres du secteur financier au sens large, faute de données publiques propres à ce segment, peu disert sur ses incidents. La notion de « marque employeur intime » est une grille d’analyse, non une mesure.

Éléments incertains. Le nombre de postes cyber non pourvus en France varie sensiblement selon les sources et les millésimes, dans une fourchette qui s’étend grossièrement de quinze mille à vingt-cinq mille. Ce chiffre mérite d’être manié avec prudence, raison pour laquelle nous ne nous y sommes pas adossés.

Passer à l’action

Votre maison relève du périmètre DORA, ou s’apprête à structurer sa première fonction de sécurité ? Avant de publier une annonce qui risque de rester ouverte neuf mois, prenons le temps de cerner le besoin réel. Rehackt, cabinet de recrutement cybersécurité et IT, qualifie le poste avec vous, passe la fiche au crible, et va chercher les profils qui ne candidatent jamais. Premier échange sans engagement, et un avis honnête sur notre capacité à vous être utile : parlons-en sur rehackt.fr/contact.

Un recrutement cyber à confier ? On voit ces moments avant vous.