L'ISC² Workforce Study 2024 documente un écart de 4,8 millions de professionnels cybersécurité non pourvus à l'échelle mondiale. En Europe, l'entrée en vigueur de NIS2 et DORA a déclenché une vague de recrutements urgents — dans un marché où les profils expérimentés en conformité réglementaire sont quasi intégralement en poste. Résultat : un poste senior GRC dans une PME européenne prend en moyenne quatre à cinq mois à être pourvu (estimation cabinets de recrutement spécialisés, 2025), et un tiers des recrues quittent leur poste dans les dix-huit mois. La pénurie de talent GRC n'est pas un problème RH périphérique. Dans un contexte de conformité permanente, c'est un risque opérationnel direct.
Un marché sous tension structurelle
La demande de profils GRC spécialisés en conformité réglementaire européenne a progressé de 18 % entre 2024 et 2025 (LinkedIn Talent Insights, périmètre UE). Cette hausse est directement corrélée aux exigences de NIS2 — qui a élargi son périmètre à plus de 160 000 entités dans l'UE — et à DORA, qui impose depuis janvier 2025 une expertise spécifique en résilience opérationnelle dans les entités financières.
La formation initiale aux métiers GRC reste longue — trois à cinq ans de pratique opérationnelle sont nécessaires pour développer une maîtrise réelle des frameworks réglementaires européens. Les certifications existantes (CISM, CISA, CISSP) progressent en nombre de candidats, mais avec un décalage de 18 à 24 mois par rapport aux besoins exprimés par le marché.
La conséquence pratique : les profils GRC expérimentés sont en situation de choix. Un directeur conformité avec cinq ans d'expérience reçoit en moyenne trois à cinq approches par mois. Il n'est plus en recherche d'emploi — il est en position de négocier les conditions d'un mouvement. Les organisations qui ne comprennent pas ce changement de rapport de force peinent à recruter, puis à retenir.
Pourquoi les stratégies d'attraction traditionnelles échouent
Trois erreurs reviennent systématiquement dans les organisations qui n'arrivent pas à pourvoir leurs postes GRC.
La compensation financière comme levier unique. Surenchérir sur le salaire est la réponse réflexe à la pénurie. Elle fonctionne pour le recrutement initial — et accélère le turnover. Les études de rétention des talents (Mercer Retention Trends 2024) montrent que la rémunération explique moins de 30 % des départs chez les professionnels GRC expérimentés. Les trois premiers motifs réels sont : manque de visibilité sur l'impact stratégique du poste, outils insuffisants ou inadaptés, et absence de trajectoire d'évolution claire.
Des descriptions de poste qui reflètent la compliance d'hier. Beaucoup d'offres GRC publiées en 2025 décrivent encore un rôle d'audit rétrospectif : maintenir le registre, préparer les rapports, répondre aux demandes des commissaires aux comptes. Ce positionnement est techniquement correct mais stratégiquement insuffisant pour attirer les profils qui ont la maturité de comprendre NIS2 ou DORA dans leur complexité opérationnelle. Ces profils cherchent un mandat, pas une liste de contrôles.
L'absence de trajectoire d'évolution dans les PME et mid-market. Les grandes organisations peuvent offrir une progression vers un rôle de CISO ou de DPO groupe. Les PME ne peuvent généralement pas concurrencer sur ce terrain. Mais elles sous-estiment leur avantage naturel : un expert GRC dans une organisation de 100 à 500 collaborateurs a un impact visible et direct sur les décisions de gouvernance — une chose que les grandes structures, avec leurs couches hiérarchiques, ne peuvent pas toujours offrir.
Ce que font les organisations qui fidélisent leurs experts
Les organisations qui maintiennent leurs experts GRC au-delà de deux ans partagent trois caractéristiques observables.
Un mandat explicite et une autorité réelle. L'expert GRC a un accès direct au comité de direction pour les sujets réglementaires. Ses avis sont documentés et pris en compte dans les décisions d'architecture IT, de sourcing de sous-traitants, de déploiement de nouveaux outils. Ce n'est pas un rôle consultatif — c'est un rôle de décision partagée sur les sujets de risque.
Des outils qui éliminent le travail à faible valeur ajoutée. La principale cause d'usure professionnelle citée par les experts GRC : passer 60 % à 70 % de leur temps à des tâches manuelles répétitives — collecte documentaire, consolidation de reporting, relances. Les organisations qui automatisent ces tâches libèrent leurs experts pour des activités à plus forte valeur : analyse des risques émergents, engagement avec les régulateurs, accompagnement des équipes métier. C'est précisément ce type de travail qui retient les meilleurs profils.
Une culture de la conformité distribuée, pas concentrée. Les experts GRC qui restent sont ceux dont l'organisation a intégré la conformité dans ses pratiques opérationnelles quotidiennes. Quand les équipes IT, les responsables achats et les directeurs métier partagent la responsabilité de la conformité sur leurs périmètres, l'expert GRC devient un architecte et un formateur plutôt qu'un gardien solitaire. C'est une position professionnellement plus enrichissante — et significativement moins épuisante.
Repositionner le rôle GRC pour attirer les profils de demain
La pénurie de talent GRC n'est pas résoluble uniquement par des politiques de recrutement. Elle est résoluble par un repositionnement du rôle lui-même.
Les profils GRC formés depuis 2022 — après l'adoption du RGPD mature, en anticipation de NIS2 — ont une compréhension de la conformité comme discipline d'architecture, pas de vérification. Ils veulent concevoir des systèmes conformes by design, pas auditer des systèmes conformes a posteriori. Les organisations qui intègrent l'expert GRC dans les décisions d'architecture dès la phase de design — choix d'un nouveau fournisseur cloud, migration SaaS, déploiement d'un outil IA — attirent et retiennent naturellement ces profils. À l'inverse, les organisations qui cantonnent le GRC à une fonction de contrôle post-déploiement se retrouvent avec les profils les moins adaptés au contexte réglementaire actuel.
Évaluer votre positionnement sur le marché du talent GRC
Trois indicateurs permettent d'évaluer rapidement la compétitivité de votre organisation : le temps moyen pour pourvoir un poste GRC (plus de 90 jours est un signal d'alerte) ; le taux de rétention à 24 mois (moins de 60 % indique un problème structurel) ; et la proportion du temps de vos experts GRC consacrée à des tâches manuelles répétitives (plus de 50 % signifie que vos outils sont inadaptés). Ces métriques sont rarement suivies formellement — elles méritent de l'être.
Presidio structure la gouvernance GRC autour de workflows automatisés qui libèrent les équipes des tâches à faible valeur ajoutée. L'équipe Valtieri propose un diagnostic de 30 minutes pour évaluer si votre configuration d'outils est adaptée à vos besoins actuels.
Conclusion
La pénurie de talent GRC est structurelle et durable. Les organisations qui s'en sortent ne sont pas celles qui surenchérissent sur les salaires — ce sont celles qui ont repositionné le rôle GRC comme une fonction d'architecture stratégique, doté de l'autorité et des outils qui rendent le travail intellectuellement exigeant et humainement soutenable. Les organisations qui traitent encore le GRC comme une fonction support sous-staffée et sous-outillée ne souffrent pas seulement d'un problème de recrutement. Elles souffrent d'un problème de gouvernance qui se manifestera, tôt ou tard, sous forme d'un retard réglementaire ou d'un incident non documenté.
Pour aller plus loin : Automatisation GRC : ROI calculé vs. réalité — DORA et le paradoxe de la résilience opérationnelle.