Nacira Salvan : déconstruire les idées reçues pour promouvoir la place des femmes dans la cybersécurité
Inspirer et susciter des vocations : le CEFCYS, Cercle des femmes de la cybersécurité, fondé en 2016 par Nacira Salvan, a pour objectif de promouvoir la place des femmes dans les métiers de la cybersécurité. A travers des missions de sensibilisation, d’information et de formation, l’association travaille chaque jour à faire reculer les idées reçues. A l’occasion du FIC2020, Nacira Salvan, docteure en informatique et présidente du CEFCYS, a accepté de répondre à nos questions sur la sécurité et la place des femmes dans l’IT.
Pouvez-vous présenter votre parcours ?
J’ai un doctorat en réseau et sécurité des réseaux. Je n’avais pas de bourse et j’ai dû travailler en parallèle. Je donnais des cours d’informatique dans plusieurs centres de formation, c’était dur mais l’organisation, la motivation et la persévérance m’ont permis de réussir la thèse en 3 ans et demi. La visite de certains laboratoires de recherche en informatique aux USA m’a dissuadée de faire carrière dans une université en France, même si je continue à assurer des cours cybersécurité au master de Paris Descartes. Je me suis alors orientée vers l’industrie. Mon vrai premier job était un poste de consultante en réseau et sécurité des réseaux, j’étais en charge de la définition d’architecture, la mise en œuvre, le support, et la formation.
J’ai ensuite intégré une filiale de la Société Générale, où j’étais responsable de l’équipe réseaux/sécurité pour le maintien en condition opérationnelle et en condition de sécurité de l’infrastructure réseau et télécom. A cette époque, à la fin des années 90, on intégrait dans ce périmètre au-delà des composants techniques de la sécurité des systèmes d’information( firewall, proxy, VPN…), mais aussi les serveurs web, serveurs de messagerie…
Ensuite, en tant qu’expert réseau sécurité chez CS pendant 11 années, j’ai eu l’occasion de perfectionner mes compétences techniques mais aussi les aspects gouvernance, organisationnels et réglementaires de la sécurité des systèmes d’informations. J’ai ensuite intégré SAFRAN au poste de chef de projet SSI, puis responsable du pôle architecture sécurité où j’ai pu apporter la démarche SSI dans les projets.
Chez PwC, j’étais directeur CyberSécurité puis enfin RSSI opérationnel chez Thales. Puis en 2017, j’ai créé ma propre structure et je suis RSSI de transition.
Quelle vision avez-vous des enjeux de sécurité des SI ?
Au fil de mes expériences, j’ai travaillé aussi bien sur les aspects gouvernance, organisationnels et réglementaires, que sur des sujets purement techniques (configuration, firewalling, architecture, ingénierie). Cela m’a donné une vision globale de la sécurité des SI qui se positionne entre les aspects purement gouvernance et risques et les aspects purement techniques.
Parfois, la vision stratégique est décorrélée du besoin opérationnel, les politiques sont inadaptées et donc ne sont pas applicables, les risques cyber non considérés. Top souvent, la stratégie SI et les transformations digitales ne prennent pas en considération la sécurité.
Pour une prise en compte de la sécurité, je préconise souvent le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) basé sur 5 axes.
Quels sont ces cinq axes ?
1/ L’identification : que veut-on protéger, quelles sont les menaces et les risques? Quel est le contexte de l’entreprise, son métier, ses concurrents? Qu’est ce qui a de la valeur chez moi, et de qui ai-je peur ?
2/ La protection : la mise en place de mesures de protection technique, organisationnelle et juridique pour atténuer les risques (protection des réseaux, systèmes, sites web, messagerie, du cloud). Il faut aussi sensibiliser les utilisateurs.
3/ La détection : ce troisième axe est la surveillance, ou le monitoring, afin de pouvoir détecter les incidents et être dans une démarche proactive.
4/ La réponse : ce quatrième axe est la gestion des incidents.
5/ La résilience : c’est-à-dire la reprise d’activité après sinistre.
Et sur ce point, je constate aujourd’hui que nous sommes en situation d’échec en matière de cyberprotection. Chaque jour, l’actualité apporte son lot de nouvelles attaques et exploitations de failles et des entreprises ou des hôpitaux sont pénalisés. Pourquoi cette situation d’échec ? Bien souvent parce que la sécurité n’était pas un sujet prioritaire. Ou parce que l’on a pris comme postulat de départ qu’on ne serait pas attaqués étant donné que nous avons mis en place des mesures techniques pour se protéger. Parfois, les PCA/PRA (plan de continuité et plan de reprise des activités) n’existent que sur le papier, donc non testés et au moindre incident, ces plans ne sont pas efficaces.
La résilience, c’est se préparer à être attaqué malgré toutes les mesures de protection mises en place, et avoir un plan de continuité et de reprise afin de relancer son business en minimisant les pertes.
Il y a encore beaucoup d’éducation à faire sur ces sujets, notamment au niveau des membres du COMEX, qui sont souvent loin de comprendre des enjeux cybersécurité. Cependant, les récents incidents ont fait prendre conscience à de nombreuses entreprises de l’importance de la résilience.
Quelles sont les évolutions ces dernières années sur le métier ?
Le Cloud, l’IoT, le Big Data, l’IA… tout cela fait qu’aujourd’hui les métiers de la cybersécurité changent et doivent évoluer pour prendre en compte les nouveaux risques liés à ces nouvelles technologies.
A cela s’ajoute un autre enjeu, celui de l’augmentation spectaculaire de la menace et du nombre d’attaquants. Les attaquants se sont professionnalisés, le ransomware est devenu un business model. Les métiers évoluent donc pour répondre à ces nouveaux types de besoins. Cependant la filière reste jeune, le métier n’est pas encore mature, et l’offre de formation n’a pas évolué au même rythme que la filière et la diversification des menaces. On a du mal à fournir autant d’experts qu’on en aurait besoin. C’est un sujet très vaste, et transverse, la sécurité touche tout le monde, et tous les sujets numériques, du particulier, aux entreprises mais aussi aux structures étatiques.
Quelle est la place des femmes dans ces métiers ?
J’aurais aimé que la question des femmes dans la cybersécurité ne soit pas un sujet. C’est un paradoxe surprenant car les femmes étaient très présentes aux débuts de l’ère informatique. Progressivement, leur nombre a diminué dans les métiers de l’IT, et c’est pire encore dans le domaine de la cybersécurité.
Pourtant, c’est un domaine passionnant, dynamique, qui fait appel à la curiosité et à l’intuition. Vivre une crise de sécurité, c’est un moment exceptionnel, il faut réagir vite, il y a du stress et de l’adrénaline. J’adore les crises même si ce sont des moments très durs, qui font appel à des compétences autres que la technique : la communication, la gestion de la crise, la concentration… et l’envie de mettre fin à des actions néfastes.
Ce métier offre des moments formidables, mais la cybersécurité, comme le numérique de façon globale, souffre d’un problème de perception. Les métiers de la cybersécurité sont vus comme des métiers d’homme, des métiers de geeks et les femmes ne se projettent pas dans ces métiers. Parfois, ce sont leurs parents qui les en dissuadent, comme l’exemple de cette femme, membre du CEFCYS dont le père ne voulait pas qu’elle fasse de l’informatique. Aujourd’hui, c’est une excellente consultante en cybersécurité.
Culturellement parlant, il y a encore beaucoup de travail. C’est pour cette raison que nous intervenons régulièrement dans les forums d’orientation pour présenter les métiers de la cybersécurité. Il y a beaucoup d’idées reçues à déconstruire, comme le fait que les métiers de l’informatique soient réservés aux hommes. Cette perception fait qu’aujourd’hui il n’y a pas assez de femmes dans l’IT et le CEFCYS essaie de faire bouger les choses, en intervenant dès le plus jeune âge auprès des collégiennes et des lycéennes. Il reste beaucoup à faire pour arriver à l’égalité en entreprise, notamment sur la question des salaires, des congés maternité… mais le sujet dépasse la sphère de la filière de la cybersécurité
Les besoins sont pourtant bien là : d’après une étude de Cybersecurity Ventures il y aurait jusqu’à 3,5 millions de postes vacants d’ici 2021, et les femmes ne représentent que 11% des effectifs. Le marché doit se montrer plus attractif pour les femmes. Mais je veux conseiller à toutes les femmes qui n’osent pas s’engager dans cette filière, d’y aller, de se lancer, de prendre le risque, de s’imposer, de ne pas avoir peur de l’échec, de ne pas chercher l’excellence (ça viendra) et surtout de se libérer du complexe d’infériorité qu’on peut avoir vis-à-vis de métiers qu’on pense réservés aux hommes. Les femmes ne voient pas souvent la technologie ou la sécurité des SI comme des cheminements de carrière viables car elles sont souvent considérées comme des professions masculines.
La diversité des perspectives, du leadership et de l’expérience est une richesse pour les entreprises et pour la société. Il y a de la passion et le sentiment de servir et protéger dans nos métiers !
En effet, au cœur de la cybersécurité, il s’agit de protéger les gens contre des actes malveillants et, lorsque quelqu’un est victime, d’identifier le ou les auteurs. Je suis née dans une famille où l’altruisme et l’envie d’aider l’autre sont dans notre ADN, j’aime aider à protéger les gens du mal, poursuivre les mauvais acteurs et apprendre continuellement. J’aime mon travail, voilà une passion que je souhaite transmettre à d’autres femmes à travers les actions que nous menons au CEFCYS.
Pouvez-vous présenter le CEFCYS et ses activités ?
Nous encourageons les femmes à prendre la parole, et à ne pas attendre qu’on leur donne le micro. Cela fait écho à mon expérience personnelle et à celle de mes consoeurs, qui il y a quelques années n’auraient jamais imaginé intervenir dans des conférences ou répondre à des interviews. Notre premier objectif est donc de travailler à la promotion de la femme dans les métiers de la cybersécurité pour plus de visibilité, plus de présence, plus de leadership et plus de diversité. Nous voulons être présentes sur les événements, montrer qu’il y a des femmes compétentes, et entendre ce qu’elles ont à dire.
Nous menons aussi des actions de mentorat et de coaching pour accompagner les femmes vers ces métiers, y compris celles qui veulent se reconvertir. Encore une fois, il faut expliquer, démythifier, montrer que le secteur est ouvert à toutes, et accompagner chacune sur son parcours de formation et de certification. Ces actions s’adressent aussi aux plus jeunes, nous sommes présentes dans les collèges et lycées car il y a un déficit d’information notamment sur Parcours Sup.
Enfin nous avons un objectif d’action sociétale, sur la sensibilisation du grand public, et notamment les jeunes, à l’usage sécurisé du numérique. La sécurité sur le numérique c’est l’affaire de tout le monde, il faut expliquer les bons usages de ces outils aux enfants comme on leur explique les règles du code de la route, se protéger des dangers du numérique doit être un réflexe à intégrer dès le jeune âge. Quelques exemples concrets de nos actions : la publication du livre « Je ne porte pas de sweat à capuche, pourtant je travaille dans la Cybersécurité« avec 23 témoignages de femmes, un partenariat avec une école pour dispenser une formation gratuite en cybersécurité à Paris et à Marseille en mars prochain.
L’arrivée du Cloud, qu’est-ce que ça a changé pour la sécurité ?
C’est une bonne chose. Le Cloud va apporter énormément, en permettant de se focaliser sur le métier plutôt que sur l’informatique. J’ai travaillé dans de très grands groupes et le SI est un casse-tête informatique. Le Cloud va démocratiser l’informatique as a service. Cela va apporter beaucoup d’avantages : l’accessibilité à tout moment, depuis n’importe lieu, la rapidité et la simplicité des déploiements sans avoir à se préoccuper de l’infrastructure. On dépose ses données et on paie pour un service qui nous dispense du maintien en condition opérationnelle. Avant, c’était un cauchemar, au moindre patch il fallait tout refaire. Le niveau de SLA est très élevé, et globalement le Cloud facilite la vie à la DSI.
Paradoxalement, il apporte aussi beaucoup de vulnérabilités. On a très régulièrement des exemples de fuites massives de données (Gmail, Orange, Facebook, Quora…). D’où l’intérêt de considérer la sécurité comme un sujet transverse, et intégré par défaut à une offre Cloud pour le prestataire de service. Le client qui achète des services Cloud doit aussi maîtriser les données qu’il met dans le Cloud. Donc il est primordial d’étudier les risques et de mettre en place les contre-mesures adéquates pour contrer ces risques. En fonction de la sensibilité des données et donc de l’étude des risques on décide ou non d’externaliser. Plusieurs précautions sont à prendre. Je ne compte plus les crises liées au déploiement de messagerie Office 365 sans MFA.
Il n’existe pas de système sûr à 100%, toute solution de sécurité a une durée de vie limitée, jusqu’à l’apparition d’une faille. Cependant les grands acteurs du Cloud comme Amazon ou Microsoft intègrent par défaut un socle de sécurité : chiffrement, firewalls, patching automatisé, etc. On doit tout de même considérer les autres facteurs de risque.
Si vous deviez donner un conseil aux femmes dans les métiers de la cybersécurité ?
Si je me base sur ma propre expérience, et celle de l’association, cela me réconforte et je me dis que le chemin que j’ai choisi est le bon. Je conseille donc de ne pas se laisser intimider, il faut prendre le risque et se lancer. Certes, le domaine est dominé par les hommes, mais allez-y et exigez le respect et l’égalité. Il faut arrêter de se sous-estimer, et avoir confiance en ses compétences quand on arrive dans un milieu d’hommes.
Il faut aussi s’appuyer sur des mentors et cultiver son réseau, et apporter des témoignages de réussite pour encourager les autres. Cela peut aider celles qui n’osent pas prendre la parole à se découvrir. Allez dans les conférences, travaillez votre réseau également en interne dans l’entreprise, et cherchez les meilleures opportunités pour évoluer. Osez postuler à des postes de RSSI, ils ne sont pas réservés aux hommes ! Osez prendre la parole, et exprimer vos convictions.