Mois de la femme : Compte-rendu détaillé de la rencontre franco-américaine organisée le 8 mars sur la place des femmes dans le domaine de la cyber

 
CONTINUER À LIRE
Mois de la femme : Compte-rendu détaillé de la rencontre franco-américaine organisée le 8 mars sur la place des femmes dans le domaine de la cyber
Mois de la femme : Compte-rendu
détaillé de la rencontre franco-
américaine organisée le 8 mars sur
la place des femmes dans le
domaine de la cyber
L’Organisation des Nations Unies (ONU) a déclaré l’année 1975, Année
internationale de la femme, mais également la décennie entre 1976 et 1985
comme étant décennie des Nations unies pour les femmes. Depuis cette date, on
célèbre aux quatre coins du monde le 8 mars de chaque année comme la Journée
internationale des femmes (International Women’s Day, appelée en France journée
internationale des droits des femmes) qui fait référence à différents mouvements
initiés dès le début du 20ème siècle aux Etats-Unis.

Pour cette occasion et pour commémorer le mois de mars qui est le Women’s
History Month aux Etats-Unis, le Service pour la Science et la Technologie (SST)
de l’Ambassade de France aux Etats-Unis a décidé d’organiser deux événements
permettant de discuter entre collègues américains et français de la place des
femmes dans les sciences mais également des actions qu’il est possible de prendre
afin de les aider à s’épanouir dans ces carrières en échangeant sur les expériences
de part et d’autres de l’Atlantique. Le premier événement, organisé le 8 mars, s’est
intéressé en particulier au domaine de la cybersécurité tandis que le second
événement, organisé par nos collègues à Houston et a eu lieu le 29 mars, et s’est
focalisé sur la place des femmes dans les sciences physiques.

[Retrouver la vidéo complète de l’événement du 8 mars.]

1. Etat des lieux de la cyber : une main d’oeuvre
insuffisante et un manque de représentation des
femmes
En ouverture de l’événement, Xavier Bressaud, Attaché pour la Science et la
Technologie, a pu exprimer à quel point l’importance des questions de cybersécurité
était devenue apparente au grand public, suite à la numérisation accélérée qu’a
provoqué la pandémie.

En effet, si la numérisation de nos sociétés était déjà bien engagée auparavant, la
généralisation du télétravail pendant la crise covid a révélé les nombreux risques
d’attaque et de piratage auxquels les organisations doivent faire face et pour
lesquels elles sont insuffisamment préparées, qu’il s’agisse du public ou du privé.
Les piratages en France des hôpitaux de Dax et Villefranche-sur-Saône ou
bien aux Etats-Unis, l’attaque fin 2020 contre SolarWinds et autres
entreprises de la tech, ont ainsi fait la une de l’actualité et ont eu un impact qui
dépassait le cadre des experts informatiques.

Face à cette situation, un constat s’impose : il y a un énorme déficit en ressources
humaines dans la cybersécurité, en France comme ailleurs. Selon le rapport annuel
de 2020 sur la main d’oeuvre cyber, préparé par l’association professionnelle de
référence (ISC)² (International Information Systems Security Certification
Consortium), il existerait toujours près de 3.1 millions de postes cyber non pourvus
dans le monde. L’association, d’origine américano-canadienne, comptabilise ainsi
rien qu’en France, 27 562 emplois seraient à pourvoir et aux Etats-Unis, le chiffre
atteint 359 236 !
Image : (ISC)² Cybersecurity Workforce Study, 2020

Malgré une amélioration de la situation par rapport à 2019 (4 millions de postes non
pourvus), des raisons structurelles pourraient expliquer la persistance de cette
problématique. Le nombre des formations à ces métiers disponibles est par exemple
insuffisant.

Autre constat fait par le rapport, parmi les participants à l’étude, seulement 21%
d’entre eux sont des femmes pour la région Amérique du Nord et 23% pour l’Europe.
En Amérique Latine, la proportion des femmes participantes qui travaillent dans le
domaine de la cybersécurité est la plus élevée, ce nombre atteint 40%.

Comme l’a montré la pandémie, nos sociétés se doivent d’être plus résilientes pour
faire face aux différentes crises à venir et l’une des voies de salut doit être
l’inclusion de plus de personnes, aux profils et aux compétences diversifiés, capables
d’amener des idées neuves. Il est donc important que nous réfléchissions ensemble,
et notamment entre américains et français, aux façons d’augmenter la participation
des femmes dans le milieu de la cybersécurité.

À travers cet événement, le SST a aussi souhaité rappeler l’importance de la
coopération scientifique internationale et notamment franco-américaine. Outre la
collaboration scientifique en tant que telle, l’événement de ce jour est également
une invitation lancée aux collègues américains et français à travailler ensemble pour
une plus grande parité femme-homme dans tous les milieux et en particulier celui
des sciences et de la recherche.

Après la lettre d’informations de février 2021 dédiée à la Journée internationale
des femmes et des filles de science (le 11 février), cet événement est une
nouvelle opportunité pour le SST de rendre hommage et d’apporter son soutien au
travail de différentes associations comme WiCyS (prononcé we-sis pour Women in
Cybersecurity) ou comme le CEFCYS (prononcé sef-sis pour Cercle des femmes
de la cybersécurité) qui luttent au quotidien pour une meilleure représentation des
femmes dans ce domaine. C’est enfin l’occasion de rappeler que ce combat pour la
parité nécessite la participation de tous, hommes comme femmes, dans l’espoir
d’une société plus juste.

[Retrouver la newsletter spéciale femmes et sciences de février 2021.]

2. Les actions françaises dans la cyber : nécessité
de formation et de promotion des femmes dans le
domaine, coopération franco-américaine et prise
en compte des menaces
C’est donc dans ce cadre que le SST a eu le plaisir d’accueillir Madame la Députée,
Sereine Mauborgne, qui représente la 4ème circonscription du Var, ainsi que
Monsieur le Sénateur, Olivier Cadic, représentant les Français établis hors de
France, pour revenir sur le plan d’1 milliard d’euros annoncé par le Président
de la République pour renforcer la cybersécurité en France et souligner
l’importance d’avoir plus de femmes dans ce secteur.

Madame la Députée a notamment débuté son discours en rappelant la contribution
importante des femmes américaines dans la lutte pour l’égalité des droits et
l’influence que ce combat a pu avoir ailleurs dans le monde. Elle a également
souligné le fait que le thème de cette Journée internationale des droits des
femmes 2021 était « Leadership féminin : Pour un futur égalitaire dans le monde
de la COVID-19 », montrant toute la pertinence de questionner la sous-
représentation des femmes dans la cyber à l’heure actuelle. En plus des chiffres de
l'(ISC)² précédemment évoqués, Madame la Députée a fait référence aux études
menées par le Syntec Numérique, l’organisation professionnelle des entreprises de
services du numérique, des éditeurs de logiciels et des sociétés de conseil en
technologies.

En termes d’initiatives pour contrer cette situation, elle a notamment évoqué le
programme Women in Digital porté par la Commission Européenne. Ce
programme, qui a pour objectif de susciter une prise de conscience vis-à-vis du
besoin de plus de talents féminins dans la cybersécurité et le numérique de manière
plus générale, repose sur une stratégie destinée à (1) remettre en cause les
stéréotypes liés au genre dans le digital, (2) promouvoir l’éducation au numérique et
les compétences, et (3) plaider pour plus de femmes entrepreneurs. Selon Madame
la Députée, la France a besoin d’attirer plus de femmes dans ces carrières et cela ne
peut passer que par un travail étroit entre le gouvernement, le secteur de la société
civile avec les associations mais aussi les différents syndicats et bien sûr le secteur
privé.

Plus tôt dans son discours, elle était revenue sur les annonces faites par le
gouvernement français en précisant les objectifs à l’horizon 2025 :
Près de 500 millions d’euros pour aider les entreprises et les autorités
        publiques à renforcer leurs capacités de défense cyber,
        Multiplier par trois le chiffre d’affaires de la filière (passant de 7,3 milliards
        à 25 milliards d’euros).
        Doubler les emplois de la filière (passant de 37 000 à 75 000).

Monsieur le Sénateur Cadic a, quant à lui, souhaité insister sur l’urgence de la
situation actuelle en termes de cyber, tout en rappelant l’importance des
investissements annoncés et les progrès réalisés en France durant les dix dernières
années grâce au travail de l’ANSSI (Agence nationale de la sécurité des
systèmes d’information). Il n’a pas manqué de souligner le rôle critique que joue
la formation dans ce domaine en accentuant la nécessité de former plus de femmes.
Plus loin dans son intervention, il a notamment évoqué la création du Campus
Cyber à la Défense (dont l’ouverture est prévue pour octobre 2021) ainsi qu’une
branche dédiée à l’expertise en cyberdéfense dans la Cyber Valley de Rennes (voir
aussi CyberSchool à Rennes).

Dans son discours, Monsieur le Sénateur est revenu sur les menaces importantes qui
pèsent sur les pays démocratiques en évoquant l’utilisation de la technologie par
certains régimes pour asseoir leurs idéologies totalitaires qui est à prendre au
sérieux. Au-delà de la protection des infrastructures numériques des acteurs, pour
laquelle des investissements importants sont requis, il souligne le caractère hybride
que peuvent prendre les conflits dans le cyberespace. La diffusion de fake news,
devenue véritable infodémie pendant la crise covid, en est l’exemple le plus flagrant.

Déjà en 2018, ce point avait été soulevé par les collègues américains de la Défense
lors de la visite du Sénateur à Washington. Dans son discours, Monsieur le Sénateur
a d’ailleurs tenu à rappeler les forts liens qui existent la France et les Etats-Unis sur
le sujet cyber en mentionnant par exemple la tenue le 20 juin 2019 du 14ème
Forum parlementaire sur le renseignement et la sécurité (programme),
présidé par le sénateur honoraire américain Robert Pittenger. Il juge la
coopération franco-américaine essentielle dans ce domaine et a ainsi évoqué sa
visite en 2019 à l’Université de Boston qui a mis en valeur l’utilité d’un travail
conjoint pour réussir à établir des cadres légaux, adaptés à l’évolution rapide de la
technologie, sans que ceux-ci ne deviennent des obstacles au progrès technique.
La première partie de l’événement s’est conclue par l’intervention d’Alix Desforges,
chercheuse post-doctorale au centre de recherche et de formation pluridisciplinaire
dédié à l’étude des enjeux stratégiques et géopolitiques de la révolution numérique
GEODE (Géopolitique de la Datasphère). Dans son intervention, la chercheuse a
complété le commentaire de la stratégie cyber française en relevant la continuité de
son développement sur plus d’une dizaine d’années, et qui se caractérise notamment
par son niveau d’ambition élevé. Ainsi, si les annonces faites dans ce nouveau plan
cyber provoquent peu de surprise chez les experts et observateurs du domaine, elles
ont le mérite d’apporter une cohérence à un ensemble d’initiatives déjà lancées (la
création du Campus Cyber était attendue, cf. rapport d’étude missionnée dès
2019), en permettant de préciser à tous les niveaux comment s’organisent les
acteurs de la cyber en France. L’inclusion et l’implication plus forte des plus petites
structures (collectivités locales, PME, individus) n’en reste pas moins une évolution
notable et renvoie à une doctrine exprimée par Guillaume Poupard, directeur
général, quand il indique que la cybersécurité est l’affaire de tous. Plus
remarquable encore, le soutien direct du Président de la République à cette
stratégie, et son inclusion comme partie importante du plan de relance, doit être vu
comme un signal fort qui place le sujet au coeur de l’action gouvernementale.
Autrefois, les stratégies cyber nationales étaient annoncées plutôt par les ministres
des armées, de l’intérieur ou par le Premier Ministre. Reste un bémol que regrette
Alix Desforges : trop peu de précisions sont apportées à la façon de s’y prendre pour
développer des solutions technologiques souveraines françaises et la dimension
européenne du développement de l’industrie cyber en France n’est pas mentionnée
alors qu’elle existe bel et bien.

Sur la question de comment accroître la présence des femmes dans le domaine de la
cyber, la chercheuse propose que l’on arrête de le considérer comme un sujet
uniquement technique et que l’on prenne davantage en compte les enjeux humains
et sociaux que recouvre la cyber. Bien qu’il soit nécessaire d’encourager les femmes
à également se former sur les aspects techniques à travers des initiatives telles que
Combattantes@Numérique, organisé par le Ministère des Armées, il est important
de mettre en lumière les autres dimensions qui sont mises en jeu par la cyber, qu’il
s’agisse de psychologie, de social, de droit ou de géopolitique. À GEODE, récemment
labellisé centre d’excellence par le Ministère des Armées et où évolue Alix
Desforges, chercheurs et chercheuses en informatique et mathématiques côtoient
par exemple collègues des SHS et la datasphère y est étudiée comme un objet de
géopolitique. À court terme, si l’on souhaite réduire les inégalités femme-homme
dans ce secteur, cet élargissement vers les SHS, où la parité homme-femme parmi
les doctorants et postdocs existe déjà, semble être une étape incontournable.

3. De nombreux programmes fédéraux américains
sur la cybersécurité qui mettent l’accent sur la
diversité
Dans la seconde partie de l’événement, 4 professionnelles françaises et américaines
sont intervenues pour témoigner de leur expérience de vie dans le secteur et pour
parler des actions qu’elles mènent au quotidien pour qu’il y ait plus de diversité et
plus d’inclusion dans le milieu de la cybersécurité.

Ambareen Siraj est ainsi revenue sur son rôle en tant qu’enseignante à
l’université Tennessee Tech, réputée pour la qualité de son cursus ingénieur.e, où
elle travaille sur la formation et le développement des ressources humaines en
cyber. Depuis 2016, elle dirige notamment le CEROC (Cybersecurity Education,
Research and Outreach Center) qui regroupe les différents efforts de l’université
qui pour le développement des capacités cyber s’appuye sur trois piliers (recherche,
formation et accompagnement) et participe à de nombreux programmes et
partenariats à l’échelle fédérale.

Le CEROC est, par exemple, certifié Centre national d’excellence académique en
cybersécurité (NCAE-C) par la National Cryptologic School de la NSA et
partenaire d’agences comme la NSF, le Département de la Défense (DoD) ou le
NIST. Parmi les autres programmes fédéraux d’importance, on compte notamment
les suivants :

       CyberCorps est un système de bourses (géré par l’agence responsable de
       la fonction publique) qui fournit une aide matérielle et financière à des
       étudiants, en contrepartie d’années de service au sein du gouvernement
       fédéral (égales au nombre d’années de bourse reçue). Le programme offre
       également des passerelles pour les étudiants issus des community colleges
(équivalents à des BTS en France) vers des programmes d’études
       supérieures en 4 ans.
       Cybersecurity Scholarship Program (CySP) est un programme avec le
       même fonctionnement que précédemment, opéré cette fois-ci par le DoD, et
       qui lui permet soit de recruter de nouveaux employés, soit de former son
       propre personnel aux compétences cyber. De la même façon, la bourse
       implique un engagement au sein du DoD d’une durée égale à la durée
       d’octroi de la bourse.
       GenCyber est une initiative conjointe entre la NSF et la NSA, financée par
       cette dernière, qui a pour but de répondre au déficit de main d’oeuvre cyber
       en sensibilisant les élèves du primaire au secondaire (K-12 education) et
       leurs enseignants aux carrières dans la cybersécurité. À travers
       l’organisation d’écoles d’été et d’activités tout au long de l’année, le
       programme apporte un soutien aux instituteurs et institutrices, cherche à
       susciter des vocations très tôt parmi des élèves venant d’une grande
       diversité socio-économique mais aussi à les préparer aux différentes
       possibilités de cursus dans le supérieur.
       Cybersecurity Education Diversity Initiative (CEDI) est un nouveau
       programme annoncé fin 2020 en partenariat entre le DoD et la NSA et qui
       vise en particulier à aider les institutions d’enseignement supérieur qui
       soutiennent les populations minoritaires (Minority Serving Institutions,
       MSIs) en mettant à disposition des formations, différents contenus éducatifs
       et des moyens financiers.
       Tennessee 3-Star Industrial Assessment Center (en partenariat avec le
       Département de l’Energie) : dans ce cadre, les étudiants du CEROC
       produisent des analyses cyber gratuitement à des PME du secteur de
       l’énergie.
       STOP.THINK.CONNECT est une campagne nationale de sensibilisation
       menée par le Département de l’Intérieur et pour laquelle le CEROC est
       partenaire académique.

En quatre années d’existence, Ambareen Siraj a observé au CEROC une croissance
importante du nombre d’étudiants inscrits (x4) ce qui témoigne d’un intérêt de plus
en plus prononcé pour les carrières dans ce secteur. Les étudiants sont d’ailleurs au
coeur de ce programme, avec une association qui compte plus de 150 membres
(CyberEagles Security Club) et de nombreuses activités organisées comme par
exemple des ateliers ouverts aux étudiants comme aux professeurs non-initiés. Au
total, ce sont plus de 7000 personnes qui ont pu bénéficier des services du CEROC
depuis sa création.

4. Témoignages de professionnelles françaises et
américaines : l’entraide, l’accompagnement
professionnel, les relations humaines comme
facteurs essentiels pour le progrès des femmes
dans la cyber
Outre la casquette d’académique, Ambareen Siraj a également pu partager son
expérience à la tête de l’association Women in Cybersecurity (WiCys, à prononcer
« we-sis » comme we the sisters of cybersecurity). Cette association à but non-
lucratif a été créée en 2017 et fait suite à un financement obtenu auprès de la NSF
dès 2012 pour l’organisation d’une grande conférence autour de la cybersécurité
mettant la question de la diversité au coeur des échanges. Au départ, $70 000
étaient prévus pour financer les déplacements d’environ 250 participants sur deux
ans, étudiants et non-étudiants, et rendre l’événement accessible à tous sans
distinction de moyens. Suite au succès répété, l’association a vu le jour pour
permettre de faire grossir la communauté et développer des actions en dehors de la
conférence qui entre temps est devenue l’un des plus grands événements cyber aux
Etats-Unis. La dernière édition en présentiel en 2019 avait ainsi réuni plus de 1300
participants à Pittsburgh, avec un équilibre entre étudiants, professionnels,
académique, industrie, secteur public. En 7 ans, ce sont plus de $3.5 millions de
financement issus en grande partie de l’industrie qui ont permis d’organiser des
conférences réunissant 6400 participants au total, près de 3000 bourses pour
étudiants et étudiantes, 340 bourses de recherche et 26 bourses pour des vétérans.
L’association compte aujourd’hui plus de 4700 membres dans 69 pays différents,
dont la France, avec une égale répartition entre personnes qui aspirent à rentrer
dans le domaine de la cyber et professionnels du secteur. 114 groupes étudiants et
36 groupes professionels affiliés font partie de ce réseau et permettent d’organiser
différentes initiatives comme un forum annuel de l’emploi (un en présentiel et en
ligne), une base de données des offres d’emploi, des programmes de mentorat, de
bourses et des formations gratuites pour les membres.

[Plus d’informations sur la conférence annuelle WiCyS 2021 qui se tiendra à
Denver du 8 au 10 septembre 2021.]

Prenant le relais de sa collègue, Noureen Njoroge, directrice du pôle Cyber Threat
Intelligence (veille cybermenace) pour la marque Nike et membre du board de
WiCyS, a insisté dans son témoignage sur l’importance de l’humain pour pouvoir
faire avancer le domaine de la cyber. Comme pour Guillaume Poupard, que nous
citions précédemment, elle constate que la cybersécurité affecte toutes les couches
de la société et dépasse même les frontières. C’est pourquoi, il lui semble nécessaire
de développer un système de mentorat à l’échelle mondiale permettant à tous et
toutes de partager des ressources, d’offrir des espaces d’échange ou chacune et
chacun est libre de poser toutes les questions, même les plus naïves, afin de mieux
comprendre les enjeux d’un secteur qui évolue rapidement. Les mutations
constantes dans les menaces cyber constituent aujourd’hui un véritable défi de
formation puisqu’il est nécessaire de régulièrement acquérir de nouvelles
compétences et mettre à jour ses connaissances.

Pour exemple, Noureen Njoroge soulignait, parmi les questions les plus récurrentes
qu’elle reçoit, celles concernant (1) la transition vers la cyber et (2) comment passer
d’un sous-domaine de la cyber à un autre. Face à ce constat, elle propose à toute
personne qui souhaite faire carrière dans ce domaine d’adopter la règle des 3E :

        Master your Education: se former autant que possible, en suivant diverses
        formations disponibles en fonction de sa situation : formations initiales,
        continues, en ligne ou en présentiel,
        Get your Experience: même sans avoir un emploi dans la cyber, il est
        possible de gagner de l’expérience à travers la rédaction d’articles de blog,
        de participer à des webinaires, de s’inscrire à des panels de présentation,
        Get Exposure: en étant actif dans son réseau professionnel et personnel, et
        en restant ouvert et attentif à divers échanges, il est possible de découvrir
        différentes opportunités ou d’en partager qui permettent encore une fois de
        gagner en expérience, d’être connecté à différentes initiatives, ou de se
mettre en relation avec plusieurs mentors qui pourront aider à mieux
        naviguer dans ce milieu complexe.

Au-delà des initiatives individuelles de personnes qui chercheraient à rejoindre ce
secteur, Noureen Njoroge, a aussi énormément insisté sur la responsabilité des
professionnels de la cyber de former, soutenir et entraîner une nouvelle génération
d’acteurs vers ces métiers de la cyber. Dans une époque où les menaces sont de plus
en plus nombreuses et les personnels insuffisants, il est important que ceux en poste
encouragent ceux qui se cherchent. « We need to bring more people along! »

Dans son intervention, Anne Leslie a tenu à rendre hommage au soutien important
qu’elle a reçu de l’association CEFCYS et au travail d’autres structures comme
WiCyS, composées de personnes volontaires, qui déploient énormément d’énergie et
consacrent énormément de temps pour faire rencontrer différents acteurs. En effet,
c’est grâce à sa participation à un bootcamp organisé par le CEFCYS en partenariat
avec IBM qu’elle a pu obtenir son emploi actuel dans la cybersécurité, après une
première partie de carrière passée dans des domaines variés comme le monde de la
banque ou la vente de logiciels. Sans pour autant chercher à décrire son parcours
comme héroïque, Anne Leslie a souhaité montrer par son témoignage qu’une
reconversion dans la cyber est entièrement possible indépendamment des différents
choix de vie et de carrière de chacun et chacune. Une disposition à l’apprentissage
en continu et un goût prononcé pour la résolution de problèmes sont toutefois des
caractéristiques importantes pour la réussite dans ces métiers. Parmi les facteurs
importants pour faire progresser le monde de la cyber vers plus de diversité, Anne
Leslie a souligné le rôle important joué par les équipes de recrutement qui se
doivent de prendre des risques et d’innover dans leurs processus d’embauche. Cela
passe notamment par une évaluation des candidats pour des postes cyber, non
seulement sur leurs connaissances et expérience à un instant T, mais surtout sur
leur potentiel et leur capacité à se développer dans le poste (growth mindset). Sans
des changements drastiques tant au niveau organisationnel qu’au niveau individuel,
il sera très difficile de faire face au déficit important de main d’oeuvre cyber. Il est
important que l’ensemble des acteurs soit engagé et collabore, à l’échelle nationale,
internationale et même supranationale, afin d’élargir le spectre des compétences
nécessaires pour la cyber et que l’on parle davantage des politiques possibles
d’attraction des talents.
Membre active du CEFCYS, Aline Barthelemy est revenue sur la raison d’être de
l’association en indiquant, comme Anne Leslie, que s’il existe des passerelles et des
possibilités pour faire des transitions de carrières vers la cyber, celles-ci ne se font
pas toujours simplement et les opportunités ne sont pas toujours visibles à un grand
nombre. Pour cette ancienne ingénieure en logistique reconvertie, tout le travail du
CEFCYS est donc de faciliter ces démarches, tout en portant le message qu’une plus
grande diversité de profils dans la cyber est un facteur important pour augmenter
l’efficacité des équipes dans ce domaine. À une époque où les initiatives de ce type
restent rares, le travail du CEFCYS est d’autant plus important et d’autant plus
louable que l’association ne vit uniquement que par les cotisations directes de ses
membres, une situation qui lui empêche d’atteindre l’échelle d’actions du WiCyS aux
Etats-Unis.

Pourtant, l’association française, qui organise sessions de job dating, masterclasses
d’approfondissement des compétences et des connaissances, mais aussi
compétitions type Capture The Flag (CTF) ou test d’instrusion (aussi dit
pentest), n’a pas à rougir face aux collègues américaines.

L’année 2020, en particulier, a été riche en activités. L’association a ainsi pu
rapidement mobiliser son réseau pour organiser, en quelques jours, une série de
webinaires sur des thématiques liées au covid. Le CEFCYS a également publié un
ouvrage intitulé Je ne porte pas de sweat à capuche, pourtant je travaille dans
la cybersécurité: Guide des métiers, formations et opportunités dans la
cybersécurité, permettant de recenser un grand nombre de ressources sur la
cyber, tout en cassant les codes et préjugés communs sur ce milieu et en montrant
qu’il y a suffisamment de demande pour que chacun puisse trouver sa voie dans la
cyber.

Enfin, le mardi 27 octobre 2020, le CEFCYS a remis pour la première fois le
Trophée de la femme cyber et comptait des soutiens de premier plan, parmi
lesquels on trouvait notamment :

        Mariya Gabriel, Commissaire européenne à l’Innovation et à la Jeunesse,
        était marraine de cette édition,
        Christine Hennion, Députée de la troisième circonscription des Hauts-de-
Seine, était présidente du jury,
        Bénédicte Pilliet, Présidente du CyberCercle et Responsable du Séminaire
        Politiques publiques de cybersécurité et relations internationales pour
        l’Université Toulouse 1 Capitole, animait le jury.

[Retrouver la composition complète du jury pour l’édition 2020 du Trophée
de la femme cyber.]

Sur plus de 200 candidatures reçues, dont un grand nombre ont été recommandées
pour le trophée par leurs pairs, 7 femmes se sont distinguées dans les différentes
catégories :

        Solange GHERNAOUTI, Femme Cyber Dirigeante ou Entrepreneure,
        Tiphaine ROMAND-LATAPIE, Femme Cyber Professionnelle,
        Anne LAUBACHER, Femme Cyber Fonctions Support,
        Claire CHOPIN, Femme Cyber Etudiante,
        Sabrina FEDDAL et Alice LOUIS, Femmes Cyber Coup de Coeur du Jury,
        Anna DEROYAN, Femme Cyber Coup de Coeur du Cefcys.

[Retrouver le portrait des lauréates et le nom des autres femmes nominées.]

5. Redéfinir la cybersécurité : plusieurs axes
majeurs de réflexion et d’action pour accroître la
diversité dans ce domaine
Dans la troisième partie de l’événement, l’ensemble des différentes intervenantes a
participé à une discussion, modérée par Nacira Guerroudji-Salvan, présidente et
fondatrice du CEFCYS, et à laquelle s’est joint Michel Cukier, pour revenir sur les
différents défis qui se posent aujourd’hui lorsque l’on réfléchit à la place des femmes
dans la cyber.

a. L’interdisciplinarité de la cyber
Michel Cukier est professeur à l’université du Maryland et directeur du
programme ACES (Advanced Cybersecurity Experience for Students), premier
programme d’excellence (honors program) en cybersécurité aux Etats-Unis, financé
par Northrop Grumman (conglomérat américain et l’une des grandes entreprises
de la défense dans le monde). Ce programme bénéficie également d’un partenariat
unique avec la NSA, dont le siège est installé dans la région à Fort (George G.)
Meade, dans le Maryland, qui accueille également le US Cyber Command (créé en
2010) et la Defense Information Systems Agency (DISA, l’agence de défense
des systèmes d’information).

Dans son introduction, Michel Cukier a commencé par rappelé que le principal
objectif du programme qu’il dirige est de faire croître la diversité des profils qui
travaillent dans la cyber. Si le programme compte déjà aujourd’hui 38% d’étudiantes
(ce qui est supérieur aux autres statistiques mentionnées précédemment), il est
important pour aller plus loin de redéfinir ce qu’est la cybersécurité, pour que ce
champ de recherche et champ professionnel devienne plus qu’une sous-branche de
l’informatique mais bel et bien un sujet interdisciplinaire.

Dans la même veine, Anne Leslie évoque l’existence d’un certain archétype de ce
que doit être un professionnel de la cybersécurité, son rôle et ses responsabilités. En
termes de formation, par exemple, une impression persistante est qu’un passage
dans les meilleures écoles d’ingénieurs ou bien d’autres cursus spécifiques est un
prérequis. Cette vision de la cyber change petit à petit et on observe aujourd’hui de
plus en plus de femmes intégrer la cyber par l’angle de la gouvernance qui participe
à l’interdisciplinarité du milieu, même s’il serait dommage de laisser penser que les
femmes doivent se contenter d’entrer dans la cyber par des voies uniquement « non-
techniques ».

Parmi les différentes ressources documentaires permettant de voir la diversité des
connaissances et compétences :

        NIST NICE Cybersecurity Workforce Framework,
        Cartographie 2020 des métiers de la cybersécurité par l’Ecole de
        Guerre,
        Panorama des métiers de la cybersécurité (ANSSI, 2020),
        Les formations et les compétences en France sur la cybersécurité
        (OPIIEC, 2017).
        Nouveau diplôme universitaire délivré par GEODE sur la révolution
numérique

b. La cybersécurité, une affaire de défense autant que
d’attaque
Ambareen Siraj abonde en ce sens et rajoute qu’en plus de ne pas former
suffisamment de personnes à la cybersécurité au sens « traditionnel », l’image que
le grand public peut avoir du métier est également faussée par la couverture
médiatique trop souvent négative et anxiogène, ce qui peut expliquer en partie que
certaines personnes puissent se détourner de ces carrières. En effet, la
cybersécurité est souvent abordée dans l’actualité pour évoquer des cas d’attaques,
de dommages infligés, de défaillance et autres infiltrations pour nuire à des intérêts
particuliers ou collectifs. Un discours plus positif pourrait être construit pour
expliquer en quoi la cybersécurité est tout autant une question de défense et de
protection, aux conséquences positives qui dépassent le strict cadre de
l’informatique et qui ont un impact sur la société, sur l’économie (protection de la
vie privée des individus et organisations ou de l’intégrité des données, par exemple).
L’ensemble des participants à la discussion s’accordent pour exprimer le fait qu’il
existe une vraie communauté cyber caractérisée par la curiosité intellectuelle et qui
prône le partage et l’entraide. Travailler dans la cybersécurité peut-être
extrêmement plaisant et c’est un milieu dans lequel on ne s’ennuie jamais, confie
Aline Barthelemy.

6. Des changements à opérer dans les processus de
recrutement, dans les perspectives de carrière et
dans l’environnement de travail en général
a. Innover dans le recrutement et donner des perspectives de
carrière aux femmes
Faisant échos aux éléments cités précédemment, les intervenants sont revenus sur
la nécessité de rupture avec les pratiques de recrutement et d’embauche
traditionnelles. Cela se traduit notamment par des mesures très concrètes à adopter
au niveau de la direction : dans son rôle de CISO (cheffe de la sécurité
informatique), Aline Barthelemy a par exemple pu exiger très directement de ses
collaborateurs de recevoir autant de CVs et profils de femmes que d’hommes. De la
même façon, Noureen Njoroge indique qu’il est important de revoir le contenu des
fiches de poste et offres d’emploi, de les rédiger spécifiquement pour que celles-ci
soient plus attractives pour un ensemble plus diversifiés de profils et pour qu’elles
prennent mieux en compte les réalités actuelles. Dans un secteur en constante
évolution, il est absurde de voir certaines fiches demander un nombre élevé
d’années d’expérience alors que les technologies viennent juste d’être développées
et que certaines autres deviennent rapidement obsolètes. Plus qu’un ensemble bien
défini de compétences, les différents orateurs et oratrices se rejoignent pour parler
de l’importance de l’attitude et de l’état d’esprit des candidats avec comme mots-
clés authenticité, curiosité d’esprit, passion, aptitude pour la résolution de
problème, engagement ou bien encore souci des autres.

  I can teach experience but I can’t teach passion. -Noureen Njoroge

Outre le processus de recrutement, la rétention des femmes dans le secteur et la
garantie de leur épanouissement dans leur profession passent également par l’offre
de perspectives de carrières ambitieuses. Il ne s’agit pas simplement de recruter des
femmes pour augmenter ses statistiques mais il s’agit de s’assurer qu’elles puissent
réellement participer à part égale par rapport aux hommes dans tous types de
projets cyber et à tous niveaux (de l’opérationnel à la stratégie) et que leurs opinions
soient prises en compte et respectées. Dans trop de cas, l’ambition des femmes
évoluant dans la cyber est freinée par le manque de postes à responsabilité qui leur
sont disponibles, ce qui explique pourquoi certaines décident de quitter la
profession, déplore Aline Barthelemy.

b. Le rôle des modèles
Malgré toutes les bonnes volontés exprimées, le panel a bien conscience que les
changements envisagés n’arriveront pas du jour au lendemain et nécessiteront un
travail de tous. Au niveau des postes de direction et des ressources humaines, ces
changements sont autant de prises de risque qui peuvent mettre en jeu les carrières
professionnelles ou réputations personnelles d’individus et ainsi les décourager de
faire les choses différemment, comme le rappelle Anne Leslie. Dans ce cadre,
comme plus largement dans la cyber, il est important que des exemples et modèles
de femmes mais aussi d’hommes puissent émerger et que l’on puisse célébrer ces
personnes qui osent et qui prennent le risque d’agir autrement pour plus de
diversité. Sans présence de modèle, il est difficile pour les jeunes femmes de se
projeter dans ces carrières et sans l’intervention de collègues plus hautement placés
dans la hiérarchie, parfois même pour des simples remarques, il est facile de laisser
s’installer une atmosphère de travail délétère qui finit par démotiver celles et ceux
qui avaient décidé de rejoindre ce milieu.

c. Animer des communautés d’entraide et quelques conseils
pratiques
Pour Ambareen Siraj, comme pour Michel Cukier, plus que tout, la notion de
communauté est primordiale pour continuer à faire avancer plus de femmes vers
ce secteur et les aider à s’y épanouir et à y atteindre des postes à responsabilité. La
possibilité de contacter à tout moment un important réseau d’acteurs (personnes
dans la même situation, mentors ou modèles) pour un simple conseil ou bien à les
mobiliser pour organiser une action est un levier important pour la communauté des
femmes dans la cyber et pour toutes celles et tous ceux qui s’intéressent au sujet.

Dans le programme ACES, ce sont chaque année près de 80 étudiants qui vivent
ensemble au sein du campus, dans le même bâtiment, ce qui contribue à former un
premier niveau de communauté entre élèves actuels et anciens du programme. Les
partenaires du programme, Northrup Grumman et la NSA, participent également
dans ce processus en identifiant au sein de leurs équipes des personnes clés
acceptant d’endosser le rôle de mentor ou modèle et que les étudiants peuvent
solliciter pour commencer à constituer leur réseau personnel et professionnel.

Dans la suite de la discussion, les panelistes ont pu réagir aux différentes
commentaires et questions posées par le public :

        Conseil pratique 1 : Parmi les questions du public, une personne
        s’interrogeait sur la meilleure façon de procéder pour faire sa transition vers
        le cyber. La réponse du panel a été unanime : prenez contact avec un
        mentor, suivez ses conseils pour identifier quel type de poste, quel type de
        rôle est le plus adapté pour vous, les mentors sauront mieux que quiconque
        vous aiguillez et vous mettre en contact avec les bonnes personnes ou
formations en lien avec vos aspirations professionnelles.
        Conseil pratique 2 : Sur la question des candidatures, là encore, tous et
        toutes, sont unanimes. Il ne faut surtout pas hésiter à postuler même si l’on
        ne correspond pas à 100% à tous les critères énoncés par la fiche de poste.
        Comme indique Noureen Njoroge, dans beaucoup de cas, il est possible que
        vous soyez la seule personne à candidater pour le poste car d’autres comme
        vous se disent que celui-ci n’est pas fait pour eux. En effet, il est important
        de se laisser de la marge pour progresser et, pour les critères que vous ne
        remplisseriez pas, Ambareen Siraj suggère d’évoquer de quelle façon vous
        vous y prendriez pour y remédier.
        Conseil pratique 3 : Dans le cadre d’un entretien, il est important de
        toujours préparer au moins deux questions à poser en conclusion de
        l’échange. Par défaut, vous pouvez par exemple terminer l’entretien en
        mentionnant au recruteur le fait que vous pensez être le candidat idéal ou la
        candidate idéale pour le poste mais que le recruteur vous donne une raison,
        si jamais il ou elle n’était pas d’accord. Cela vous permet de recevoir un
        retour et de ne pas répéter les mêmes erreurs lors d’entretiens futurs.
        Conseil pratique 4 : Mutlipliez le nombre de mentors avec lequel vous
        discutez pour confronter différentes perspectives et recevoir différents types
        de conseil.

7. Vers une collaboration franco-américaine pour
la cyber et pour les femmes dans la cyber?
En conclusion de ce riche événement, Cara LaPointe, directrice du programme
cybersécurité à la French-American Foundation – United States, est intervenue
pour rendre une synthèse des discussions. Elle en a profité pour rappeler la longue
amitié, l’engagement et les différentes initiatives déjà entreprises entre la France et
les Etats-Unis pour coopérer ensemble sur divers sujets complexes et sensibles tels
que la cyber et proposer des solutions conjointement.

La French-American-Foundation (FAF) est ainsi composée de deux organisations à
but non lucratif, jumelées (FAF France et FAF United States), créées il y a près de
45 ans. Son programme phare, Young Leaders, permet de mettre en relation des
jeunes talents de chaque côté de l’Atlantique pour échanger sur divers enjeux
politiques programs et créer des ponts entre futurs dirigeants.

Sur la question particulière de la cybersécurité, un programme spécifique a été créé
et réunit chaque année depuis 2012 un ensemble de personnalités de haut niveau
issus du monde de l’industrie, du public ou de l’académique, pour se confronter aux
défis contemporains liés au cyber tels que la criminalité, les risques ou le terrorisme
dans le cyberespace mais aussi des sujets tels que le développement de la 5G, la
gouvernance des plateformes de réseau social ou la résilience et la protection des
infrastructures critiques.

Parmi les invités triés sur le volet, un nombre important de femmes brillantes dans
des domaines liés à la cyber ont pris part aux discussions :

        Anne Neuberger, Conseillère adjointe à la sécurité nationale (Deputy
        National Security Advisor for Cyber and Emerging Technology) nommée
        sous l’administration Biden,
        Aurélie Beaumel, Co-fondatrice de la société Blue Sphinx,
        Camille François, Cheffe de l’innovation chez Graphika
        Stephanie Handler, Avocate général conseiller sur la cybersécurité chez
        McKinsey.

Cara LaPointe a insisté sur l’importance de créer des espaces de dialogue
transatlantique, de continuer d’offrir des opportunités pour que collègues français et
américains puissent interagir et former des partenariats par la FAF ou au-delà.

Sur le sujet spécifiquement des femmes dans la cyber, elle a enfin tenu à rappeler
trois points importants :

     1. Créer un déclic, insuffler une passion pour le sujet à travers des
        témoignages inspirants comme ceux des intervenantes et intervenants de ce
        jour,
     2. Avoir les structures éducatives et les formations adaptées pour que les
        femmes soient représentées dans tous les domaines de la cyber (autant dans
        la technique que dans les aspects plus de société) et encourager filles et
        femmes à postuler dans les différentes filières qui existent,
3. Créer des opportunités pour interagir : il est notamment de la responsabilité
       des dirigeants en place, hommes ou femmes, d’aller à la rencontre de la
       nouvelle génération pour les encourager vers ce secteur dynamique et
       stimulant. (« Reach down, reach out and lift up »)

Rédacteur :

Kévin KOK HEANG, Attaché adjoint pour la Science et la Technologie, deputy-
ntics@ambascience-usa.org
Vous pouvez aussi lire