L’Organisation des Nations Unies (ONU) a déclaré l’année 1975, Année internationale de la femme, mais également la décennie entre 1976 et 1985 comme étant décennie des Nations unies pour les femmes. Depuis cette date, on célèbre aux quatre coins du monde le 8 mars de chaque année comme la Journée internationale des femmes (International Women’s Day, appelée en France journée internationale des droits des femmes) qui fait référence à différents mouvements initiés dès le début du 20ème siècle aux Etats-Unis.
Pour cette occasion et pour commémorer le mois de mars qui est le Women’s History Month aux Etats-Unis, le Service pour la Science et la Technologie (SST) de l’Ambassade de France aux Etats-Unis a décidé d’organiser deux événements permettant de discuter entre collègues américains et français de la place des femmes dans les sciences mais également des actions qu’il est possible de prendre afin de les aider à s’épanouir dans ces carrières en échangeant sur les expériences de part et d’autres de l’Atlantique. Le premier événement, organisé le 8 mars, s’est intéressé en particulier au domaine de la cybersécurité tandis que le second événement, organisé par nos collègues à Houston et a eu lieu le 29 mars, et s’est focalisé sur la place des femmes dans les sciences physiques.
[Retrouver la vidéo complète de l’événement du 8 mars.]
1. Etat des lieux de la cyber : une main d’oeuvre insuffisante et un manque de représentation des femmes
En ouverture de l’événement, Xavier Bressaud, Attaché pour la Science et la Technologie, a pu exprimer à quel point l’importance des questions de cybersécurité était devenue apparente au grand public, suite à la numérisation accélérée qu’a provoqué la pandémie.
En effet, si la numérisation de nos sociétés était déjà bien engagée auparavant, la généralisation du télétravail pendant la crise covid a révélé les nombreux risques d’attaque et de piratage auxquels les organisations doivent faire face et pour lesquels elles sont insuffisamment préparées, qu’il s’agisse du public ou du privé. Les piratages en France des hôpitaux de Dax et Villefranche-sur-Saône ou bien aux Etats-Unis, l’attaque fin 2020 contre SolarWinds et autres entreprises de la tech, ont ainsi fait la une de l’actualité et ont eu un impact qui dépassait le cadre des experts informatiques.
Face à cette situation, un constat s’impose : il y a un énorme déficit en ressources humaines dans la cybersécurité, en France comme ailleurs. Selon le rapport annuel de 2020 sur la main d’oeuvre cyber, préparé par l’association professionnelle de référence (ISC)² (International Information Systems Security Certification Consortium), il existerait toujours près de 3.1 millions de postes cyber non pourvus dans le monde. L’association, d’origine américano-canadienne, comptabilise ainsi rien qu’en France, 27 562 emplois seraient à pourvoir et aux Etats-Unis, le chiffre atteint 359 236 !
Image : (ISC)² Cybersecurity Workforce Study, 2020
Malgré une amélioration de la situation par rapport à 2019 (4 millions de postes non pourvus), des raisons structurelles pourraient expliquer la persistance de cette problématique. Le nombre des formations à ces métiers disponibles est par exemple insuffisant.
Autre constat fait par le rapport, parmi les participants à l’étude, seulement 21% d’entre eux sont des femmes pour la région Amérique du Nord et 23% pour l’Europe. En Amérique Latine, la proportion des femmes participantes qui travaillent dans le domaine de la cybersécurité est la plus élevée, ce nombre atteint 40%.
Comme l’a montré la pandémie, nos sociétés se doivent d’être plus résilientes pour faire face aux différentes crises à venir et l’une des voies de salut doit être l’inclusion de plus de personnes, aux profils et aux compétences diversifiés, capables d’amener des idées neuves. Il est donc important que nous réfléchissions ensemble, et notamment entre américains et français, aux façons d’augmenter la participation des femmes dans le milieu de la cybersécurité.
À travers cet événement, le SST a aussi souhaité rappeler l’importance de la coopération scientifique internationale et notamment franco-américaine. Outre la collaboration scientifique en tant que telle, l’événement de ce jour est également une invitation lancée aux collègues américains et français à travailler ensemble pour une plus grande parité femme-homme dans tous les milieux et en particulier celui des sciences et de la recherche.
Après la lettre d’informations de février 2021 dédiée à la Journée internationale des femmes et des filles de science (le 11 février), cet événement est une nouvelle opportunité pour le SST de rendre hommage et d’apporter son soutien au travail de différentes associations comme WiCyS (prononcé we-sis pour Women in Cybersecurity) ou comme le CEFCYS (prononcé sef-sis pour Cercle des femmes de la cybersécurité) qui luttent au quotidien pour une meilleure représentation des femmes dans ce domaine. C’est enfin l’occasion de rappeler que ce combat pour la parité nécessite la participation de tous, hommes comme femmes, dans l’espoir d’une société plus juste.
[Retrouver la newsletter spéciale femmes et sciences de février 2021.]
2. Les actions françaises dans la cyber : nécessité de formation et de promotion des femmes dans le domaine, coopération franco-américaine et prise en compte des menaces
C’est donc dans ce cadre que le SST a eu le plaisir d’accueillir Madame la Députée, Sereine Mauborgne, qui représente la 4ème circonscription du Var, ainsi que Monsieur le Sénateur, Olivier Cadic, représentant les Français établis hors de France, pour revenir sur le plan d’1 milliard d’euros annoncé par le Président de la République pour renforcer la cybersécurité en France et souligner l’importance d’avoir plus de femmes dans ce secteur.
Madame la Députée a notamment débuté son discours en rappelant la contribution importante des femmes américaines dans la lutte pour l’égalité des droits et l’influence que ce combat a pu avoir ailleurs dans le monde. Elle a également souligné le fait que le thème de cette Journée internationale des droits des femmes 2021 était « Leadership féminin : Pour un futur égalitaire dans le monde de la COVID-19 », montrant toute la pertinence de questionner la sous-représentation des femmes dans la cyber à l’heure actuelle. En plus des chiffres de l'(ISC)² précédemment évoqués, Madame la Députée a fait référence aux études menées par le Syntec Numérique, l’organisation professionnelle des entreprises de services du numérique, des éditeurs de logiciels et des sociétés de conseil en technologies.
En termes d’initiatives pour contrer cette situation, elle a notamment évoqué le programme Women in Digital porté par la Commission Européenne. Ce programme, qui a pour objectif de susciter une prise de conscience vis-à-vis du besoin de plus de talents féminins dans la cybersécurité et le numérique de manière plus générale, repose sur une stratégie destinée à (1) remettre en cause les stéréotypes liés au genre dans le digital, (2) promouvoir l’éducation au numérique et les compétences, et (3) plaider pour plus de femmes entrepreneurs. Selon Madame la Députée, la France a besoin d’attirer plus de femmes dans ces carrières et cela ne peut passer que par un travail étroit entre le gouvernement, le secteur de la société civile avec les associations mais aussi les différents syndicats et bien sûr le secteur privé.
Plus tôt dans son discours, elle était revenue sur les annonces faites par le gouvernement français en précisant les objectifs à l’horizon 2025 :
- Près de 500 millions d’euros pour aider les entreprises et les autorités publiques à renforcer leurs capacités de défense cyber,
- Multiplier par trois le chiffre d’affaires de la filière (passant de 7,3 milliards à 25 milliards d’euros).
- Doubler les emplois de la filière (passant de 37 000 à 75 000).
Monsieur le Sénateur Cadic a, quant à lui, souhaité insister sur l’urgence de la situation actuelle en termes de cyber, tout en rappelant l’importance des investissements annoncés et les progrès réalisés en France durant les dix dernières années grâce au travail de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Il n’a pas manqué de souligner le rôle critique que joue la formation dans ce domaine en accentuant la nécessité de former plus de femmes. Plus loin dans son intervention, il a notamment évoqué la création du Campus Cyber à la Défense (dont l’ouverture est prévue pour octobre 2021) ainsi qu’une branche dédiée à l’expertise en cyberdéfense dans la Cyber Valley de Rennes (voir aussi CyberSchool à Rennes).
Dans son discours, Monsieur le Sénateur est revenu sur les menaces importantes qui pèsent sur les pays démocratiques en évoquant l’utilisation de la technologie par certains régimes pour asseoir leurs idéologies totalitaires qui est à prendre au sérieux. Au-delà de la protection des infrastructures numériques des acteurs, pour laquelle des investissements importants sont requis, il souligne le caractère hybride que peuvent prendre les conflits dans le cyberespace. La diffusion de fake news, devenue véritable infodémie pendant la crise covid, en est l’exemple le plus flagrant.
Déjà en 2018, ce point avait été soulevé par les collègues américains de la Défense lors de la visite du Sénateur à Washington. Dans son discours, Monsieur le Sénateur a d’ailleurs tenu à rappeler les forts liens qui existent la France et les Etats-Unis sur le sujet cyber en mentionnant par exemple la tenue le 20 juin 2019 du 14ème Forum parlementaire sur le renseignement et la sécurité (programme), présidé par le sénateur honoraire américain Robert Pittenger. Il juge la coopération franco-américaine essentielle dans ce domaine et a ainsi évoqué sa visite en 2019 à l’Université de Boston qui a mis en valeur l’utilité d’un travail conjoint pour réussir à établir des cadres légaux, adaptés à l’évolution rapide de la technologie, sans que ceux-ci ne deviennent des obstacles au progrès technique.
La première partie de l’événement s’est conclue par l’intervention d’Alix Desforges, chercheuse post-doctorale au centre de recherche et de formation pluridisciplinaire dédié à l’étude des enjeux stratégiques et géopolitiques de la révolution numérique GEODE (Géopolitique de la Datasphère). Dans son intervention, la chercheuse a complété le commentaire de la stratégie cyber française en relevant la continuité de son développement sur plus d’une dizaine d’années, et qui se caractérise notamment par son niveau d’ambition élevé. Ainsi, si les annonces faites dans ce nouveau plan cyber provoquent peu de surprise chez les experts et observateurs du domaine, elles ont le mérite d’apporter une cohérence à un ensemble d’initiatives déjà lancées (la création du Campus Cyber était attendue, cf. rapport d’étude missionnée dès 2019), en permettant de préciser à tous les niveaux comment s’organisent les acteurs de la cyber en France. L’inclusion et l’implication plus forte des plus petites structures (collectivités locales, PME, individus) n’en reste pas moins une évolution notable et renvoie à une doctrine exprimée par Guillaume Poupard, directeur général, quand il indique que la cybersécurité est l’affaire de tous. Plus remarquable encore, le soutien direct du Président de la République à cette stratégie, et son inclusion comme partie importante du plan de relance, doit être vu comme un signal fort qui place le sujet au coeur de l’action gouvernementale. Autrefois, les stratégies cyber nationales étaient annoncées plutôt par les ministres des armées, de l’intérieur ou par le Premier Ministre. Reste un bémol que regrette Alix Desforges : trop peu de précisions sont apportées à la façon de s’y prendre pour développer des solutions technologiques souveraines françaises et la dimension européenne du développement de l’industrie cyber en France n’est pas mentionnée alors qu’elle existe bel et bien.
Sur la question de comment accroître la présence des femmes dans le domaine de la cyber, la chercheuse propose que l’on arrête de le considérer comme un sujet uniquement technique et que l’on prenne davantage en compte les enjeux humains et sociaux que recouvre la cyber. Bien qu’il soit nécessaire d’encourager les femmes à également se former sur les aspects techniques à travers des initiatives telles que Combattantes@Numérique, organisé par le Ministère des Armées, il est important de mettre en lumière les autres dimensions qui sont mises en jeu par la cyber, qu’il s’agisse de psychologie, de social, de droit ou de géopolitique. À GEODE, récemment labellisé centre d’excellence par le Ministère des Armées et où évolue Alix Desforges, chercheurs et chercheuses en informatique et mathématiques côtoient par exemple collègues des SHS et la datasphère y est étudiée comme un objet de géopolitique. À court terme, si l’on souhaite réduire les inégalités femme-homme dans ce secteur, cet élargissement vers les SHS, où la parité homme-femme parmi les doctorants et postdocs existe déjà, semble être une étape incontournable.
3. De nombreux programmes fédéraux américains sur la cybersécurité qui mettent l’accent sur la diversité
Dans la seconde partie de l’événement, 4 professionnelles françaises et américaines sont intervenues pour témoigner de leur expérience de vie dans le secteur et pour parler des actions qu’elles mènent au quotidien pour qu’il y ait plus de diversité et plus d’inclusion dans le milieu de la cybersécurité.
Ambareen Siraj est ainsi revenue sur son rôle en tant qu’enseignante à l’université Tennessee Tech, réputée pour la qualité de son cursus ingénieur.e, où elle travaille sur la formation et le développement des ressources humaines en cyber. Depuis 2016, elle dirige notamment le CEROC (Cybersecurity Education, Research and Outreach Center) qui regroupe les différents efforts de l’université qui pour le développement des capacités cyber s’appuye sur trois piliers (recherche, formation et accompagnement) et participe à de nombreux programmes et partenariats à l’échelle fédérale.
Le CEROC est, par exemple, certifié Centre national d’excellence académique en cybersécurité (NCAE-C) par la National Cryptologic School de la NSA et partenaire d’agences comme la NSF, le Département de la Défense (DoD) ou le NIST. Parmi les autres programmes fédéraux d’importance, on compte notamment les suivants :
- CyberCorps est un système de bourses (géré par l’agence responsable de la fonction publique) qui fournit une aide matérielle et financière à des étudiants, en contrepartie d’années de service au sein du gouvernement fédéral (égales au nombre d’années de bourse reçue). Le programme offre également des passerelles pour les étudiants issus des community colleges (équivalents à des BTS en France) vers des programmes d’études supérieures en 4 ans.
- Cybersecurity Scholarship Program (CySP) est un programme avec le même fonctionnement que précédemment, opéré cette fois-ci par le DoD, et qui lui permet soit de recruter de nouveaux employés, soit de former son propre personnel aux compétences cyber. De la même façon, la bourse implique un engagement au sein du DoD d’une durée égale à la durée d’octroi de la bourse.
- GenCyber est une initiative conjointe entre la NSF et la NSA, financée par cette dernière, qui a pour but de répondre au déficit de main d’oeuvre cyber en sensibilisant les élèves du primaire au secondaire (K-12 education) et leurs enseignants aux carrières dans la cybersécurité. À travers l’organisation d’écoles d’été et d’activités tout au long de l’année, le programme apporte un soutien aux instituteurs et institutrices, cherche à susciter des vocations très tôt parmi des élèves venant d’une grande diversité socio-économique mais aussi à les préparer aux différentes possibilités de cursus dans le supérieur.
- Cybersecurity Education Diversity Initiative (CEDI) est un nouveau programme annoncé fin 2020 en partenariat entre le DoD et la NSA et qui vise en particulier à aider les institutions d’enseignement supérieur qui soutiennent les populations minoritaires (Minority Serving Institutions, MSIs) en mettant à disposition des formations, différents contenus éducatifs et des moyens financiers.
- Tennessee 3-Star Industrial Assessment Center (en partenariat avec le Département de l’Energie) : dans ce cadre, les étudiants du CEROC produisent des analyses cyber gratuitement à des PME du secteur de l’énergie.
- STOP.THINK.CONNECT est une campagne nationale de sensibilisation menée par le Département de l’Intérieur et pour laquelle le CEROC est partenaire académique.
En quatre années d’existence, Ambareen Siraj a observé au CEROC une croissance importante du nombre d’étudiants inscrits (x4) ce qui témoigne d’un intérêt de plus en plus prononcé pour les carrières dans ce secteur. Les étudiants sont d’ailleurs au coeur de ce programme, avec une association qui compte plus de 150 membres (CyberEagles Security Club) et de nombreuses activités organisées comme par exemple des ateliers ouverts aux étudiants comme aux professeurs non-initiés. Au total, ce sont plus de 7000 personnes qui ont pu bénéficier des services du CEROC depuis sa création.
4. Témoignages de professionnelles françaises et américaines : l’entraide, l’accompagnement professionnel, les relations humaines comme facteurs essentiels pour le progrès des femmes dans la cyber
Outre la casquette d’académique, Ambareen Siraj a également pu partager son expérience à la tête de l’association Women in Cybersecurity (WiCys, à prononcer « we-sis » comme we the sisters of cybersecurity). Cette association à but non-lucratif a été créée en 2017 et fait suite à un financement obtenu auprès de la NSF dès 2012 pour l’organisation d’une grande conférence autour de la cybersécurité mettant la question de la diversité au coeur des échanges. Au départ, $70 000 étaient prévus pour financer les déplacements d’environ 250 participants sur deux ans, étudiants et non-étudiants, et rendre l’événement accessible à tous sans distinction de moyens. Suite au succès répété, l’association a vu le jour pour permettre de faire grossir la communauté et développer des actions en dehors de la conférence qui entre temps est devenue l’un des plus grands événements cyber aux Etats-Unis. La dernière édition en présentiel en 2019 avait ainsi réuni plus de 1300 participants à Pittsburgh, avec un équilibre entre étudiants, professionnels, académique, industrie, secteur public. En 7 ans, ce sont plus de $3.5 millions de financement issus en grande partie de l’industrie qui ont permis d’organiser des conférences réunissant 6400 participants au total, près de 3000 bourses pour étudiants et étudiantes, 340 bourses de recherche et 26 bourses pour des vétérans. L’association compte aujourd’hui plus de 4700 membres dans 69 pays différents, dont la France, avec une égale répartition entre personnes qui aspirent à rentrer dans le domaine de la cyber et professionnels du secteur. 114 groupes étudiants et 36 groupes professionels affiliés font partie de ce réseau et permettent d’organiser différentes initiatives comme un forum annuel de l’emploi (un en présentiel et en ligne), une base de données des offres d’emploi, des programmes de mentorat, de bourses et des formations gratuites pour les membres.
Prenant le relais de sa collègue, Noureen Njoroge, directrice du pôle Cyber Threat Intelligence (veille cybermenace) pour la marque Nike et membre du board de WiCyS, a insisté dans son témoignage sur l’importance de l’humain pour pouvoir faire avancer le domaine de la cyber. Comme pour Guillaume Poupard, que nous citions précédemment, elle constate que la cybersécurité affecte toutes les couches de la société et dépasse même les frontières. C’est pourquoi, il lui semble nécessaire de développer un système de mentorat à l’échelle mondiale permettant à tous et toutes de partager des ressources, d’offrir des espaces d’échange ou chacune et chacun est libre de poser toutes les questions, même les plus naïves, afin de mieux comprendre les enjeux d’un secteur qui évolue rapidement. Les mutations constantes dans les menaces cyber constituent aujourd’hui un véritable défi de formation puisqu’il est nécessaire de régulièrement acquérir de nouvelles compétences et mettre à jour ses connaissances.
Pour exemple, Noureen Njoroge soulignait, parmi les questions les plus récurrentes qu’elle reçoit, celles concernant (1) la transition vers la cyber et (2) comment passer d’un sous-domaine de la cyber à un autre. Face à ce constat, elle propose à toute personne qui souhaite faire carrière dans ce domaine d’adopter la règle des 3E :
- Master your Education: se former autant que possible, en suivant diverses formations disponibles en fonction de sa situation : formations initiales, continues, en ligne ou en présentiel,
- Get your Experience: même sans avoir un emploi dans la cyber, il est possible de gagner de l’expérience à travers la rédaction d’articles de blog, de participer à des webinaires, de s’inscrire à des panels de présentation,
- Get Exposure: en étant actif dans son réseau professionnel et personnel, et en restant ouvert et attentif à divers échanges, il est possible de découvrir différentes opportunités ou d’en partager qui permettent encore une fois de gagner en expérience, d’être connecté à différentes initiatives, ou de se mettre en relation avec plusieurs mentors qui pourront aider à mieux naviguer dans ce milieu complexe.
Au-delà des initiatives individuelles de personnes qui chercheraient à rejoindre ce secteur, Noureen Njoroge, a aussi énormément insisté sur la responsabilité des professionnels de la cyber de former, soutenir et entraîner une nouvelle génération d’acteurs vers ces métiers de la cyber. Dans une époque où les menaces sont de plus en plus nombreuses et les personnels insuffisants, il est important que ceux en poste encouragent ceux qui se cherchent. « We need to bring more people along! »
Dans son intervention, Anne Leslie a tenu à rendre hommage au soutien important qu’elle a reçu de l’association CEFCYS et au travail d’autres structures comme WiCyS, composées de personnes volontaires, qui déploient énormément d’énergie et consacrent énormément de temps pour faire rencontrer différents acteurs. En effet, c’est grâce à sa participation à un bootcamp organisé par le CEFCYS en partenariat avec IBM qu’elle a pu obtenir son emploi actuel dans la cybersécurité, après une première partie de carrière passée dans des domaines variés comme le monde de la banque ou la vente de logiciels. Sans pour autant chercher à décrire son parcours comme héroïque, Anne Leslie a souhaité montrer par son témoignage qu’une reconversion dans la cyber est entièrement possible indépendamment des différents choix de vie et de carrière de chacun et chacune. Une disposition à l’apprentissage en continu et un goût prononcé pour la résolution de problèmes sont toutefois des caractéristiques importantes pour la réussite dans ces métiers. Parmi les facteurs importants pour faire progresser le monde de la cyber vers plus de diversité, Anne Leslie a souligné le rôle important joué par les équipes de recrutement qui se doivent de prendre des risques et d’innover dans leurs processus d’embauche. Cela passe notamment par une évaluation des candidats pour des postes cyber, non seulement sur leurs connaissances et expérience à un instant T, mais surtout sur leur potentiel et leur capacité à se développer dans le poste (growth mindset). Sans des changements drastiques tant au niveau organisationnel qu’au niveau individuel, il sera très difficile de faire face au déficit important de main d’oeuvre cyber. Il est important que l’ensemble des acteurs soit engagé et collabore, à l’échelle nationale, internationale et même supranationale, afin d’élargir le spectre des compétences nécessaires pour la cyber et que l’on parle davantage des politiques possibles d’attraction des talents.
Membre active du CEFCYS, Aline Barthelemy est revenue sur la raison d’être de l’association en indiquant, comme Anne Leslie, que s’il existe des passerelles et des possibilités pour faire des transitions de carrières vers la cyber, celles-ci ne se font pas toujours simplement et les opportunités ne sont pas toujours visibles à un grand nombre. Pour cette ancienne ingénieure en logistique reconvertie, tout le travail du CEFCYS est donc de faciliter ces démarches, tout en portant le message qu’une plus grande diversité de profils dans la cyber est un facteur important pour augmenter l’efficacité des équipes dans ce domaine. À une époque où les initiatives de ce type restent rares, le travail du CEFCYS est d’autant plus important et d’autant plus louable que l’association ne vit uniquement que par les cotisations directes de ses membres, une situation qui lui empêche d’atteindre l’échelle d’actions du WiCyS aux Etats-Unis.
Pourtant, l’association française, qui organise sessions de job dating, masterclasses d’approfondissement des compétences et des connaissances, mais aussi compétitions type Capture The Flag (CTF) ou test d’instrusion (aussi dit pentest), n’a pas à rougir face aux collègues américaines.
L’année 2020, en particulier, a été riche en activités. L’association a ainsi pu rapidement mobiliser son réseau pour organiser, en quelques jours, une série de webinaires sur des thématiques liées au covid. Le CEFCYS a également publié un ouvrage intitulé Je ne porte pas de sweat à capuche, pourtant je travaille dans la cybersécurité: Guide des métiers, formations et opportunités dans la cybersécurité, permettant de recenser un grand nombre de ressources sur la cyber, tout en cassant les codes et préjugés communs sur ce milieu et en montrant qu’il y a suffisamment de demande pour que chacun puisse trouver sa voie dans la cyber.
Enfin, le mardi 27 octobre 2020, le CEFCYS a remis pour la première fois le Trophée de la femme cyber et comptait des soutiens de premier plan, parmi lesquels on trouvait notamment :
- Mariya Gabriel, Commissaire européenne à l’Innovation et à la Jeunesse, était marraine de cette édition,
- Christine Hennion, Députée de la troisième circonscription des Hauts-de-Seine, était présidente du jury,
- Bénédicte Pilliet, Présidente du CyberCercle et Responsable du Séminaire Politiques publiques de cybersécurité et relations internationales pour l’Université Toulouse 1 Capitole, animait le jury.
[Retrouver la composition complète du jury pour l’édition 2020 du Trophée de la femme cyber.]
Sur plus de 200 candidatures reçues, dont un grand nombre ont été recommandées pour le trophée par leurs pairs, 7 femmes se sont distinguées dans les différentes catégories :
- Solange GHERNAOUTI, Femme Cyber Dirigeante ou Entrepreneure,
- Tiphaine ROMAND-LATAPIE, Femme Cyber Professionnelle,
- Anne LAUBACHER, Femme Cyber Fonctions Support,
- Claire CHOPIN, Femme Cyber Etudiante,
- Sabrina FEDDAL et Alice LOUIS, Femmes Cyber Coup de Coeur du Jury,
- Anna DEROYAN, Femme Cyber Coup de Coeur du Cefcys.
[Retrouver le portrait des lauréates et le nom des autres femmes nominées.]
5. Redéfinir la cybersécurité : plusieurs axes majeurs de réflexion et d’action pour accroître la diversité dans ce domaine
Dans la troisième partie de l’événement, l’ensemble des différentes intervenantes a participé à une discussion, modérée par Nacira Guerroudji-Salvan, présidente et fondatrice du CEFCYS, et à laquelle s’est joint Michel Cukier, pour revenir sur les différents défis qui se posent aujourd’hui lorsque l’on réfléchit à la place des femmes dans la cyber.
a. L’interdisciplinarité de la cyber
Michel Cukier est professeur à l’université du Maryland et directeur du programme ACES (Advanced Cybersecurity Experience for Students), premier programme d’excellence (honors program) en cybersécurité aux Etats-Unis, financé par Northrop Grumman (conglomérat américain et l’une des grandes entreprises de la défense dans le monde). Ce programme bénéficie également d’un partenariat unique avec la NSA, dont le siège est installé dans la région à Fort (George G.) Meade, dans le Maryland, qui accueille également le US Cyber Command (créé en 2010) et la Defense Information Systems Agency (DISA, l’agence de défense des systèmes d’information).
Dans son introduction, Michel Cukier a commencé par rappelé que le principal objectif du programme qu’il dirige est de faire croître la diversité des profils qui travaillent dans la cyber. Si le programme compte déjà aujourd’hui 38% d’étudiantes (ce qui est supérieur aux autres statistiques mentionnées précédemment), il est important pour aller plus loin de redéfinir ce qu’est la cybersécurité, pour que ce champ de recherche et champ professionnel devienne plus qu’une sous-branche de l’informatique mais bel et bien un sujet interdisciplinaire.
Dans la même veine, Anne Leslie évoque l’existence d’un certain archétype de ce que doit être un professionnel de la cybersécurité, son rôle et ses responsabilités. En termes de formation, par exemple, une impression persistante est qu’un passage dans les meilleures écoles d’ingénieurs ou bien d’autres cursus spécifiques est un prérequis. Cette vision de la cyber change petit à petit et on observe aujourd’hui de plus en plus de femmes intégrer la cyber par l’angle de la gouvernance qui participe à l’interdisciplinarité du milieu, même s’il serait dommage de laisser penser que les femmes doivent se contenter d’entrer dans la cyber par des voies uniquement « non-techniques ».
Parmi les différentes ressources documentaires permettant de voir la diversité des connaissances et compétences :
- NIST NICE Cybersecurity Workforce Framework,
- Cartographie 2020 des métiers de la cybersécurité par l’Ecole de Guerre,
- Panorama des métiers de la cybersécurité (ANSSI, 2020),
- Les formations et les compétences en France sur la cybersécurité (OPIIEC, 2017).
- Nouveau diplôme universitaire délivré par GEODE sur la révolution numérique
b. La cybersécurité, une affaire de défense autant que d’attaque
Ambareen Siraj abonde en ce sens et rajoute qu’en plus de ne pas former suffisamment de personnes à la cybersécurité au sens « traditionnel », l’image que le grand public peut avoir du métier est également faussée par la couverture médiatique trop souvent négative et anxiogène, ce qui peut expliquer en partie que certaines personnes puissent se détourner de ces carrières. En effet, la cybersécurité est souvent abordée dans l’actualité pour évoquer des cas d’attaques, de dommages infligés, de défaillance et autres infiltrations pour nuire à des intérêts particuliers ou collectifs. Un discours plus positif pourrait être construit pour expliquer en quoi la cybersécurité est tout autant une question de défense et de protection, aux conséquences positives qui dépassent le strict cadre de l’informatique et qui ont un impact sur la société, sur l’économie (protection de la vie privée des individus et organisations ou de l’intégrité des données, par exemple). L’ensemble des participants à la discussion s’accordent pour exprimer le fait qu’il existe une vraie communauté cyber caractérisée par la curiosité intellectuelle et qui prône le partage et l’entraide. Travailler dans la cybersécurité peut-être extrêmement plaisant et c’est un milieu dans lequel on ne s’ennuie jamais, confie Aline Barthelemy.
6. Des changements à opérer dans les processus de recrutement, dans les perspectives de carrière et dans l’environnement de travail en général
a. Innover dans le recrutement et donner des perspectives de carrière aux femmes
Faisant échos aux éléments cités précédemment, les intervenants sont revenus sur la nécessité de rupture avec les pratiques de recrutement et d’embauche traditionnelles. Cela se traduit notamment par des mesures très concrètes à adopter au niveau de la direction : dans son rôle de CISO (cheffe de la sécurité informatique), Aline Barthelemy a par exemple pu exiger très directement de ses collaborateurs de recevoir autant de CVs et profils de femmes que d’hommes. De la même façon, Noureen Njoroge indique qu’il est important de revoir le contenu des fiches de poste et offres d’emploi, de les rédiger spécifiquement pour que celles-ci soient plus attractives pour un ensemble plus diversifiés de profils et pour qu’elles prennent mieux en compte les réalités actuelles. Dans un secteur en constante évolution, il est absurde de voir certaines fiches demander un nombre élevé d’années d’expérience alors que les technologies viennent juste d’être développées et que certaines autres deviennent rapidement obsolètes. Plus qu’un ensemble bien défini de compétences, les différents orateurs et oratrices se rejoignent pour parler de l’importance de l’attitude et de l’état d’esprit des candidats avec comme mots-clés authenticité, curiosité d’esprit, passion, aptitude pour la résolution de problème, engagement ou bien encore souci des autres.
I can teach experience but I can’t teach passion. -Noureen Njoroge
Outre le processus de recrutement, la rétention des femmes dans le secteur et la garantie de leur épanouissement dans leur profession passent également par l’offre de perspectives de carrières ambitieuses. Il ne s’agit pas simplement de recruter des femmes pour augmenter ses statistiques mais il s’agit de s’assurer qu’elles puissent réellement participer à part égale par rapport aux hommes dans tous types de projets cyber et à tous niveaux (de l’opérationnel à la stratégie) et que leurs opinions soient prises en compte et respectées. Dans trop de cas, l’ambition des femmes évoluant dans la cyber est freinée par le manque de postes à responsabilité qui leur sont disponibles, ce qui explique pourquoi certaines décident de quitter la profession, déplore Aline Barthelemy.
b. Le rôle des modèles
Malgré toutes les bonnes volontés exprimées, le panel a bien conscience que les changements envisagés n’arriveront pas du jour au lendemain et nécessiteront un travail de tous. Au niveau des postes de direction et des ressources humaines, ces changements sont autant de prises de risque qui peuvent mettre en jeu les carrières professionnelles ou réputations personnelles d’individus et ainsi les décourager de faire les choses différemment, comme le rappelle Anne Leslie. Dans ce cadre, comme plus largement dans la cyber, il est important que des exemples et modèles de femmes mais aussi d’hommes puissent émerger et que l’on puisse célébrer ces personnes qui osent et qui prennent le risque d’agir autrement pour plus de diversité. Sans présence de modèle, il est difficile pour les jeunes femmes de se projeter dans ces carrières et sans l’intervention de collègues plus hautement placés dans la hiérarchie, parfois même pour des simples remarques, il est facile de laisser s’installer une atmosphère de travail délétère qui finit par démotiver celles et ceux qui avaient décidé de rejoindre ce milieu.
c. Animer des communautés d’entraide et quelques conseils pratiques
Pour Ambareen Siraj, comme pour Michel Cukier, plus que tout, la notion de communauté est primordiale pour continuer à faire avancer plus de femmes vers ce secteur et les aider à s’y épanouir et à y atteindre des postes à responsabilité. La possibilité de contacter à tout moment un important réseau d’acteurs (personnes dans la même situation, mentors ou modèles) pour un simple conseil ou bien à les mobiliser pour organiser une action est un levier important pour la communauté des femmes dans la cyber et pour toutes celles et tous ceux qui s’intéressent au sujet.
Dans le programme ACES, ce sont chaque année près de 80 étudiants qui vivent ensemble au sein du campus, dans le même bâtiment, ce qui contribue à former un premier niveau de communauté entre élèves actuels et anciens du programme. Les partenaires du programme, Northrup Grumman et la NSA, participent également dans ce processus en identifiant au sein de leurs équipes des personnes clés acceptant d’endosser le rôle de mentor ou modèle et que les étudiants peuvent solliciter pour commencer à constituer leur réseau personnel et professionnel.
Dans la suite de la discussion, les panelistes ont pu réagir aux différentes commentaires et questions posées par le public :
- Conseil pratique 1 : Parmi les questions du public, une personne s’interrogeait sur la meilleure façon de procéder pour faire sa transition vers le cyber. La réponse du panel a été unanime : prenez contact avec un mentor, suivez ses conseils pour identifier quel type de poste, quel type de rôle est le plus adapté pour vous, les mentors sauront mieux que quiconque vous aiguillez et vous mettre en contact avec les bonnes personnes ou formations en lien avec vos aspirations professionnelles.
- Conseil pratique 2 : Sur la question des candidatures, là encore, tous et toutes, sont unanimes. Il ne faut surtout pas hésiter à postuler même si l’on ne correspond pas à 100% à tous les critères énoncés par la fiche de poste. Comme indique Noureen Njoroge, dans beaucoup de cas, il est possible que vous soyez la seule personne à candidater pour le poste car d’autres comme vous se disent que celui-ci n’est pas fait pour eux. En effet, il est important de se laisser de la marge pour progresser et, pour les critères que vous ne remplisseriez pas, Ambareen Siraj suggère d’évoquer de quelle façon vous vous y prendriez pour y remédier.
- Conseil pratique 3 : Dans le cadre d’un entretien, il est important de toujours préparer au moins deux questions à poser en conclusion de l’échange. Par défaut, vous pouvez par exemple terminer l’entretien en mentionnant au recruteur le fait que vous pensez être le candidat idéal ou la candidate idéale pour le poste mais que le recruteur vous donne une raison, si jamais il ou elle n’était pas d’accord. Cela vous permet de recevoir un retour et de ne pas répéter les mêmes erreurs lors d’entretiens futurs.
- Conseil pratique 4 : Mutlipliez le nombre de mentors avec lequel vous discutez pour confronter différentes perspectives et recevoir différents types de conseil.
7. Vers une collaboration franco-américaine pour la cyber et pour les femmes dans la cyber?
En conclusion de ce riche événement, Cara LaPointe, directrice du programme cybersécurité à la French-American Foundation – United States, est intervenue pour rendre une synthèse des discussions. Elle en a profité pour rappeler la longue amitié, l’engagement et les différentes initiatives déjà entreprises entre la France et les Etats-Unis pour coopérer ensemble sur divers sujets complexes et sensibles tels que la cyber et proposer des solutions conjointement.
La French-American-Foundation (FAF) est ainsi composée de deux organisations à but non lucratif, jumelées (FAF France et FAF United States), créées il y a près de 45 ans. Son programme phare, Young Leaders, permet de mettre en relation des jeunes talents de chaque côté de l’Atlantique pour échanger sur divers enjeux politiques programs et créer des ponts entre futurs dirigeants.
Sur la question particulière de la cybersécurité, un programme spécifique a été créé et réunit chaque année depuis 2012 un ensemble de personnalités de haut niveau issus du monde de l’industrie, du public ou de l’académique, pour se confronter aux défis contemporains liés au cyber tels que la criminalité, les risques ou le terrorisme dans le cyberespace mais aussi des sujets tels que le développement de la 5G, la gouvernance des plateformes de réseau social ou la résilience et la protection des infrastructures critiques.
Parmi les invités triés sur le volet, un nombre important de femmes brillantes dans des domaines liés à la cyber ont pris part aux discussions :
- Anne Neuberger, Conseillère adjointe à la sécurité nationale (Deputy National Security Advisor for Cyber and Emerging Technology) nommée sous l’administration Biden,
- Aurélie Beaumel, Co-fondatrice de la société Blue Sphinx,
- Camille François, Cheffe de l’innovation chez Graphika
- Stephanie Handler, Avocate général conseiller sur la cybersécurité chez McKinsey.
Cara LaPointe a insisté sur l’importance de créer des espaces de dialogue transatlantique, de continuer d’offrir des opportunités pour que collègues français et américains puissent interagir et former des partenariats par la FAF ou au-delà.
Sur le sujet spécifiquement des femmes dans la cyber, elle a enfin tenu à rappeler trois points importants :
- Créer un déclic, insuffler une passion pour le sujet à travers des témoignages inspirants comme ceux des intervenantes et intervenants de ce jour,
- Avoir les structures éducatives et les formations adaptées pour que les femmes soient représentées dans tous les domaines de la cyber (autant dans la technique que dans les aspects plus de société) et encourager filles et femmes à postuler dans les différentes filières qui existent,
- Créer des opportunités pour interagir : il est notamment de la responsabilité des dirigeants en place, hommes ou femmes, d’aller à la rencontre de la nouvelle génération pour les encourager vers ce secteur dynamique et stimulant. (« Reach down, reach out and lift up »)
Rédacteur :
Kévin KOK HEANG, Attaché adjoint pour la Science et la Technologie, [email protected]