Quand la transparence devient une faille de sécurité
Vous travaillez dans la cybersécurité. Vous protégez des infrastructures critiques, vous gérez des incidents sensibles, vous avez accès à des informations classifiées. Et pourtant, sur votre profil LinkedIn, on peut lire avec précision les projets que vous avez menés, les technologies que vous avez déployées, les failles que vous avez corrigées, et même parfois les budgets alloués. Ironique, n’est-ce pas ? Vous passez vos journées à protéger des systèmes d’information pendant que votre CV public devient lui-même un vecteur d’attaque potentiel.
En 2024, LinkedIn a supprimé 156 millions de faux comptes, soit une augmentation de 29% par rapport à l’année précédente. Les attaques par ingénierie sociale sur cette plateforme ont bondi de 141% au second semestre 2024. Dans ce contexte, la question n’est plus de savoir si votre profil sera exploité par des attaquants, mais plutôt quand et comment. Alors, entre la nécessité de vous valoriser sur le marché du travail et l’impératif de protéger les intérêts de votre employeur (et les vôtres), où placer le curseur ?
Quand trop de transparence devient une vulnérabilité
Le paradoxe du professionnel de la cybersécurité
Soyons francs : vous êtes payé pour identifier les failles, anticiper les menaces et sécuriser des systèmes. Mais sur LinkedIn, vous devenez parfois vous-même une faille. Pas par négligence, mais par volonté légitime de montrer votre expertise. “Responsable de la mise en place du dispositif de détection d’intrusion sur l’infrastructure critique X” ou “Gestion de la réponse à incident lors de l’attaque par ransomware de 2023” — des lignes qui semblent valorisantes mais qui, dans les faits, révèlent bien plus qu’elles ne devraient.
Les chiffres sont éloquents : en France, 25% des postes en cybersécurité restent non pourvus, soit près de 15 000 emplois vacants. Cette pénurie crée une pression pour se démarquer, et donc une tentation de détailler toujours plus. Mais rappelons-nous qu’environ 60% des cyberattaques impliquent “l’humain” — erreur, manipulation ou abus. Votre profil LinkedIn fait partie de cet écosystème humain exploitable.
L’ingénierie sociale, cette menace qui vous lit
Parlons peu, parlons bien : l’ingénierie sociale a augmenté de 141% au second semestre 2024. Les attaquants ne cherchent plus forcément à forcer les portes ; ils préfèrent vous convaincre de les ouvrir. Et pour cela, quoi de mieux qu’un profil LinkedIn détaillé qui leur donne :
- Votre périmètre d’action exact
- Les technologies que vous maîtrisez (et donc celles que votre entreprise utilise)
- La structure de votre équipe et votre position hiérarchique
- Les projets en cours ou récemment achevés
- Vos collègues, vos partenaires, votre écosystème professionnel
En 2024, 82,6% des emails de phishing analysés utilisaient l’intelligence artificielle pour contourner les détections classiques. Un attaquant qui trouve sur votre profil que vous êtes “Architecte sécurité cloud chez [OIV Défense]” peut facilement vous cibler avec un faux email parfaitement crédible prétendant venir de votre fournisseur cloud principal. Le FBI a enregistré 193 407 plaintes pour phishing en 2024, avec des pertes dépassant 70 milliards de dollars rien qu’aux États-Unis.
Les secteurs particulièrement exposés
Si vous travaillez pour un Opérateur d’Importance Vitale (OIV) — et la France en compte environ 300 répartis sur 1 500 points d’importance vitale — la question de la discrétion devient encore plus critique. Défense, santé, nucléaire, énergie, transports : ces secteurs ont en commun d’être régis par des obligations de sécurité strictes et des directives nationales de sécurité classifiées “Confidentiel Défense”.
Dans le secteur de la santé, par exemple, l’attaque contre les opérateurs de tiers payant Viamedis et Almerys en 2024 a exposé les données de plus de 20 millions d’assurés. L’attaque a débuté par un email frauduleux envoyé à un professionnel de santé — de l’ingénierie sociale pure. Imaginez si les attaquants avaient eu accès aux profils LinkedIn détaillés des responsables sécurité de ces organismes : noms, fonctions, projets en cours, prestataires… Le terrain de jeu aurait été encore plus facile.
Mais attention : cette problématique ne concerne pas que les OIV. Toute entreprise, quelle que soit sa taille, bénéficie de la discrétion de ses collaborateurs. Vos anciens employeurs aussi. Car publier “Migration complète de l’infrastructure vers AWS avec mise en place de GuardDuty et Macie” révèle non seulement votre expertise, mais aussi les choix technologiques de votre ancienne entreprise — des informations précieuses pour quiconque voudrait s’y attaquer.
Entre valorisation et prudence : les dilemmes du CV en cybersécurité
Dilemme n°1 : détailler ses missions ou rester dans le flou ?
“Responsable sécurité” vs “Responsable de la sécurité des systèmes d’information critiques d’une centrale nucléaire”. La première formulation est sobre, la seconde est précise. Trop précise. Car oui, vous êtes fier de ce que vous avez accompli. Et vous devriez l’être. Mais faut-il pour autant transformer votre CV en manuel de reconnaissance pour attaquants ?
La règle d’or : privilégiez les compétences aux contextes. “Expert en détection d’intrusion et réponse à incident” dit ce que vous savez faire sans révéler où ni pour qui. “Conception et déploiement d’architectures zero-trust” montre votre maîtrise sans détailler l’infrastructure concernée. Vous restez attractif pour un cabinet de recrutement spécialisé cybersécurité qui saura lire entre les lignes, sans offrir un plan d’attaque sur un plateau.
Dilemme n°2 : les certifications non obtenues ou les tentatives avortées
Mentir sur un CV est illégal et éthiquement indéfendable. Mais qu’en est-il des “presque” ? Vous avez suivi 80% d’une formation CISSP mais n’avez pas encore passé l’examen. Vous avez tenté une certification OSCP et échoué une première fois. Devez-vous en parler ?
La réponse est non. Ou plutôt : pas sur LinkedIn. Un profil public n’est pas le lieu pour détailler vos échecs ou vos parcours incomplets. En revanche, lors d’un échange avec un cabinet de recrutement spécialisé cybersécurité, ces informations peuvent devenir pertinentes pour démontrer votre démarche d’apprentissage continu. Le contexte change tout.
Dilemme n°3 : les trous de parcours et les périodes floues
Vous avez quitté votre poste précédent dans des circonstances difficiles ? Vous avez pris une année sabbatique pour raisons personnelles ? Vous avez travaillé sur des projets classifiés dont vous ne pouvez rien dire ? Les trous dans un parcours professionnel inquiètent souvent les recruteurs. Mais là encore, LinkedIn n’est pas votre confident.
Sur un profil public, on peut mentionner “Consultant indépendant” ou “Missions confidentielles secteur défense” sans rentrer dans les détails. L’important est de signaler que vous étiez actif, sans pour autant dévoiler des informations sensibles ou personnelles. Lors d’un entretien avec un recruteur sérieux, vous pourrez contextualiser ces périodes, fournir des éléments de vérification si nécessaire, et démontrer que ces expériences vous ont fait grandir professionnellement.
Dilemme n°4 : les compétences autodidactes et les apprentissages parallèles
Vous avez appris Python sur le tas. Vous avez monté un homelab pour pratiquer le pentesting. Vous suivez des CTF le week-end. Ces compétences autodidactes sont précieuses, surtout dans un secteur où 50% des professionnels ne viennent pas initialement de la cybersécurité. Elles témoignent de votre curiosité et de votre capacité d’apprentissage autonome.
Mais faut-il mentionner que vous participez à des CTF sous le pseudo “D4rkH4ck3r” et que vous avez un blog où vous détaillez vos exploits techniques ? Prudence. Si votre identité réelle est associée à ces activités, vous exposez potentiellement des méthodes, des outils, voire des vulnérabilités que vous avez découvertes. Et si vous avez déjà publié des write-ups techniques détaillés, des attaquants peuvent les utiliser comme base d’apprentissage ou identifier votre méthodologie pour mieux vous cibler.
Mieux vaut mentionner “Pratique régulière sur plateformes CTF” sans lien direct vers votre identité technique. Vous gardez ainsi la valorisation de vos compétences sans exposer vos méthodes ni votre identité numérique.
Quand l’entreprise devient vulnérable par les écrits de ses salariés
La fuite d’information involontaire
En 2021, 700 millions de profils LinkedIn ont été exposés, soit 92% des inscrits. Cette base de données, vendue sur le darknet, contenait noms, identifiants, localisations, et adresses emails. Imaginez maintenant qu’un attaquant combine ces données publiques avec les informations détaillées que vous avez vous-même publiées sur vos missions, vos projets, vos collègues. Il obtient une cartographie complète de votre entreprise : qui fait quoi, avec quels outils, sur quels systèmes.
C’est ce qu’on appelle l’Open Source Intelligence (OSINT). Et vous en êtes la source. Pas par malveillance, mais par simple volonté de valoriser votre parcours. En France, 37% des incidents de ransomware en 2024 ont touché des PME, TPE et ETI. Ces entreprises, souvent moins bien protégées que les grands groupes, sont des cibles privilégiées. Et leurs collaborateurs qui publient innocemment “Migration du SI sous Hyper-V avec sauvegarde Veeam” fournissent aux attaquants des informations tactiques précieuses.
La responsabilité collective de la discrétion
Vous n’êtes pas seul sur LinkedIn. Vos collègues y sont aussi. Et la somme de toutes vos informations crée une image globale bien plus détaillée que chaque profil pris isolément. Votre collègue mentionne qu’il travaille sur “Projet Phénix, refonte infrastructure cloud”. Vous indiquez être “Lead architect sur migration cloud majeure”. Un troisième collègue publie une photo de votre équipe lors d’un séminaire avec votre prestataire cloud en arrière-plan. Résultat ? N’importe qui peut reconstituer que votre entreprise est en train de migrer sur le cloud avec tel prestataire, dans le cadre du Projet Phénix, et identifier les acteurs clés du projet.
Cette problématique est d’autant plus sensible dans les secteurs régulés. Les OIV ont l’obligation légale de protéger leurs Systèmes d’Information d’Importance Vitale (SIIV) avec des mesures classifiées “Confidentiel Défense”. Mais si leurs collaborateurs publient publiquement des détails sur ces systèmes, à quoi bon toutes ces mesures ?
Les anciens salariés, une mine d’informations
Vous avez quitté votre ancienne entreprise. Vous êtes désormais libre de parler de ce que vous y avez fait, non ? Pas si simple. Les clauses de confidentialité ne disparaissent pas avec votre départ. Et même sans clause formelle, publier des informations détaillées sur les infrastructures de votre ancien employeur reste éthiquement discutable et potentiellement risqué juridiquement.
Surtout, cela envoie un message aux recruteurs : si vous êtes capable de détailler publiquement tout ce que vous avez fait chez votre ancien employeur, vous ferez probablement la même chose avec le suivant. Un cabinet de recrutement spécialisé cybersécurité sérieux sera plus impressionné par votre discrétion que par vos révélations.
Comment rester attractif sans tout dévoiler ?
Principe n°1 : parler de compétences, pas de contextes
Au lieu d’écrire “Déploiement d’un SIEM Splunk pour l’analyse des logs du datacenter Marseille”, préférez “Expertise en déploiement et administration de solutions SIEM pour la détection de menaces en temps réel”. Vous démontrez votre compétence sans révéler la technologie exacte, la localisation, ni l’infrastructure concernée.
Un recruteur averti comprendra immédiatement que vous maîtrisez les SIEM et que vous avez de l’expérience opérationnelle. Il pourra vous poser des questions approfondies en entretien, dans un cadre confidentiel. Vous restez attractif professionnellement sans compromettre la sécurité de votre employeur.
Principe n°2 : la règle du “besoin d’en connaître”
C’est un principe de base en sécurité de l’information : on ne donne accès à une information qu’aux personnes qui en ont réellement besoin. Appliquez ce principe à votre CV. Le grand public a-t-il besoin de connaître les détails de votre infrastructure ? Non. Un cabinet de recrutement spécialisé cybersécurité a-t-il besoin de connaître vos compétences globales pour évaluer votre profil ? Oui.
Donc : compétences et résultats génériques sur LinkedIn, détails contextuels réservés aux échanges confidentiels avec des recruteurs de confiance. Cette approche vous protège, protège votre employeur, et permet néanmoins aux bons interlocuteurs de vous identifier et de vous proposer des opportunités pertinentes.
Principe n°3 : valoriser sans quantifier
“Amélioration significative du temps de détection des incidents” plutôt que “Réduction du temps de détection de 45 minutes à 8 minutes”. “Optimisation des coûts de sécurité” plutôt que “Économies de 200 000€ sur le budget annuel”. Vous montrez votre impact sans donner de chiffres exploitables par des attaquants pour évaluer votre infrastructure, vos investissements, ou vos performances opérationnelles.
Les recruteurs sérieux savent que les chiffres précis viendront lors des échanges directs. Ce qui les intéresse d’abord, c’est de savoir si vous avez eu un impact positif, pas le montant exact de cet impact.
Principe n°4 : soigner ses paramètres de confidentialité
LinkedIn propose de nombreux réglages de confidentialité que peu de professionnels exploitent pleinement. Vous pouvez :
- Masquer votre liste de relations (pour éviter qu’on cartographie votre réseau professionnel)
- Restreindre qui peut voir votre email et votre téléphone
- Désactiver la possibilité de télécharger votre profil
- Limiter qui peut voir vos activités et vos partages
- Contrôler qui peut vous contacter directement
Ces réglages ne vous rendront pas invisible, mais ils compliqueront sérieusement la tâche de quiconque voudrait vous cibler avec de l’ingénierie sociale ou du phishing. Et dans un secteur où les attaques personnalisées sont en hausse constante, chaque barrière compte.
Le rôle du recrutement dans cet équilibre
Ce qu’un cabinet de recrutement spécialisé cybersécurité cherche concrètement
Contrairement aux idées reçues, un bon cabinet de recrutement spécialisé cybersécurité ne cherche pas la liste exhaustive de vos missions passées. Il cherche à comprendre :
- Votre capacité à résoudre des problèmes complexes
- Votre niveau d’autonomie et de responsabilité
- Votre aptitude à communiquer avec des non-techniciens
- Votre curiosité et votre capacité d’apprentissage
- Votre alignement avec les valeurs et la culture de l’entreprise cible
Tout cela peut être évalué sans que vous détailliez les systèmes exacts que vous avez gérés ou les incidents précis que vous avez traités. Un recruteur qui insiste pour connaître ces détails dès le premier contact devrait vous alerter : soit il ne comprend pas les enjeux de confidentialité du secteur, soit il cherche autre chose que votre profil professionnel.
L’approche “terrain” plutôt que “catalogue”
Chez Rehackt, nous privilégions une approche que nous appelons le recrutement “terrain” plutôt que “catalogue”. Au lieu de chercher le mouton à cinq pattes qui coche toutes les cases d’une fiche de poste irréaliste, nous cherchons à comprendre vos motivations réelles, votre capacité d’adaptation, et votre potentiel d’évolution.
Cette approche implique des échanges approfondis, dans un cadre confidentiel, où vous pouvez détailler votre parcours sans risquer de l’exposer publiquement. Nous ne publions jamais les détails de vos missions sur nos supports de communication. Nous ne partageons pas vos informations sans votre accord explicite. Et nous sensibilisons nos clients à l’importance de la discrétion dans leurs propres processus de recrutement.
Parce qu’un bon recrutement en cybersécurité, c’est autant une question de compétences techniques que de confiance mutuelle et de respect de la confidentialité.
Reconnaître les signaux d’alerte
Pas tous les “recruteurs” sont ce qu’ils prétendent être. En 2024, LinkedIn a supprimé 156 millions de faux comptes, et beaucoup d’entre eux se faisaient passer pour des recruteurs. Comment distinguer un vrai cabinet de recrutement spécialisé cybersécurité d’un faux profil créé pour de l’ingénierie sociale ?
Quelques signaux d’alerte :
- Le “recruteur” vous demande des détails techniques très précis dès le premier contact
- Il insiste pour que vous lui envoyiez des documents confidentiels de votre employeur actuel
- Son profil LinkedIn est récent, avec peu de relations et peu d’historique
- Il vous propose une offre trop belle pour être vraie, avec urgence à postuler
- Il utilise un email personnel (Gmail, Outlook) plutôt qu’un email professionnel
- Il refuse de vous mettre en contact avec l’entreprise cliente ou d’organiser un entretien vidéo
Face à ces signaux, la prudence s’impose. Un vrai recruteur comprendra vos réserves et saura les respecter. Un faux profil insistera et tentera de créer un sentiment d’urgence pour vous pousser à l’erreur.
Les bonnes pratiques pour un profil équilibré
Pour les profils juniors et en reconversion
Vous entrez dans la cybersécurité, peut-être après une reconversion depuis un autre domaine. Vous avez peu d’expérience à valoriser et vous êtes tenté d’en dire beaucoup pour compenser. Résistez à cette tentation.
Ce qui intéresse les recruteurs dans votre profil, c’est :
- Votre motivation réelle pour la cybersécurité (pas juste “le marché recrute”)
- Les formations et certifications que vous avez suivies
- Vos projets personnels (homelab, CTF, contributions open source) sans détails sensibles
- Les compétences transverales de votre ancien métier qui s’appliquent à la cyber
- Votre capacité à apprendre rapidement et à vous adapter
Mentionnez “Participation régulière à des CTF et challenges de sécurité” plutôt que “1er place au CTF de l’entreprise X avec exploitation d’une faille SQL injection”. Le premier est valorisant et reste discret. Le second révèle une vulnérabilité de l’entreprise X et pose des questions éthiques.
Pour les profils confirmés
Vous avez 10, 15, 20 ans d’expérience en cybersécurité. Votre CV pourrait remplir des pages. Mais devrait-il ? Plus vous êtes expérimenté, plus vous avez probablement accès à des informations sensibles et plus vous avez de responsabilités. Votre niveau de discrétion devrait suivre cette courbe.
Privilégiez une approche par thématiques plutôt que chronologique :
- “Expertise en gouvernance et conformité (ISO 27001, NIS2, RGPD)”
- “Spécialisation en sécurité des infrastructures critiques”
- “Management d’équipes SOC et réponse à incident”
Cette structuration permet de comprendre votre niveau d’expertise sans révéler les entreprises exactes, les systèmes précis, ni les incidents spécifiques que vous avez gérés. Un recruteur avisé saura vous poser les bonnes questions pour creuser ces thématiques en entretien confidentiel.
Pour les profils dans des secteurs sensibles
Vous travaillez pour un OIV ? Dans la défense ? Pour une administration ? Votre niveau de discrétion doit être maximal. Vous êtes soumis à des obligations légales de confidentialité, et la liste des OIV elle-même n’est pas publique.
Dans ce cas :
- Évitez de mentionner explicitement le nom de votre employeur si possible
- Utilisez des formulations génériques : “Secteur défense” ou “Opérateur d’importance vitale”
- Ne mentionnez jamais de projets ou de systèmes spécifiques
- Limitez les détails sur votre équipe et votre position hiérarchique
- Désactivez la géolocalisation précise sur LinkedIn
Cette discrétion n’est pas un frein au recrutement. Au contraire, elle démontre votre professionnalisme et votre compréhension des enjeux de sécurité. Un cabinet de recrutement spécialisé cybersécurité qui travaille régulièrement avec des OIV saura identifier votre profil et vous contacter de manière appropriée, souvent via votre réseau professionnel plutôt que par approche directe.
Pour tous : l’hygiène numérique de base
Quelques règles universelles, quel que soit votre niveau :
- Ne jamais publier de photos de badges, d’écrans de travail, ou de documents internes
- Éviter de taguer votre localisation précise (datacenter, locaux sécurisés)
- Réfléchir avant de partager du contenu lié à votre employeur
- Vérifier régulièrement ce que Google dit de vous (votre “empreinte numérique”)
- Utiliser l’authentification à deux facteurs sur tous vos comptes professionnels
- Séparer vos comptes personnels de vos comptes professionnels
Et surtout : rappelez-vous que ce que vous publiez sur LinkedIn reste accessible longtemps après votre départ de l’entreprise. Ce que vous écrivez aujourd’hui sera encore lisible dans cinq ans, peut-être par des attaquants qui préparent une campagne de longue haleine.
Conclusion : la discrétion comme compétence professionnelle
Dans un monde où 82,6% des emails de phishing utilisent l’intelligence artificielle et où les attaques d’ingénierie sociale ont bondi de 141% en un an, la discrétion n’est plus une option. C’est une compétence professionnelle à part entière.
Être capable de se valoriser sans tout dévoiler, de démontrer son expertise sans compromettre la sécurité de son employeur : voilà ce qui distingue un professionnel mature d’un débutant imprudent. Le marché français va passer de 45 000 emplois en 2024 à 70 000 en 2028. Les opportunités ne manquent pas. Ce qui manque, ce sont les candidats qui comprennent que leur discrétion fait partie de leur valeur professionnelle.
Un cabinet de recrutement spécialisé cybersécurité sérieux saura lire entre les lignes et respecter votre besoin de confidentialité. Avant de publier votre prochaine mise à jour LinkedIn, posez-vous cette question : “Si j’étais un attaquant, qu’est-ce que je pourrais tirer de cette information ?” Si la réponse vous met mal à l’aise, vous en dites probablement trop.
Chez Rehackt, nous accompagnons les professionnels de la cybersécurité dans leur évolution de carrière en respectant leurs obligations de confidentialité et en valorisant leur expertise sans les exposer. Parce que recruter en cyber, c’est d’abord comprendre que la discrétion fait partie du métier.
Pour aller plus loin :
- Notre article sur l’ingénierie sociale et ses mécanismes
- Comprendre la résilience cyber : au-delà de la technique
Sources :
- ANSSI – Panorama de la cybermenace 2024
- LinkedIn Transparency Report 2024
- CNIL – Violations massives de données en 2024
- Verizon DBIR 2025 (Data Breach Investigations Report)
- OPIIEC – Observatoire des métiers de la cybersécurité 2025
- FBI Internet Crime Report 2024
- SGDSN – Dispositif de sécurité des activités d’importance vitale
Laisser un commentaire