Mettre la diversité au cœur de votre équipe de cybersécurité vous permet de repérer des questions et des problèmes qui ne vous seraient peut-être pas venus à l’esprit.
Les menaces que les canaux en ligne font peser sur les gouvernements et les entreprises augmentent, tout comme la demande de personnes talentueuses pour travailler dans le domaine de la cybersécurité. C’est l’un des principaux domaines dans lesquels il y a une pénurie de compétences ; le Consortium international de certification en sécurité des systèmes d’information estime qu’il y a 3,4 millions de postes ouverts pour les professionnels de la cybersécurité, tandis que le Global Cybersecurity Outlook 2022 du Forum économique mondial a constaté que 59 % des organisations auraient du mal à répondre à un incident de cybersécurité en raison de la pénurie de compétences au sein de leur équipe.
Le manque de diversité dans le secteur de la cybersécurité n’arrange pas la situation. Seuls 12 % des personnes ayant répondu à l’enquête annuelle du Chartered Institute of Information Security (CIISec) sur la profession étaient des femmes, tandis qu’un quart (26 %) des professionnels de la cybersécurité ne pouvaient pas dire que leur organisation offrait l’égalité des chances.
Seulement 26% des personnes travaillant dans l’intelligence artificielle sont des femmes ».
Ce n’est pas le seul domaine où la diversité fait défaut. Le site Décrypter la diversité Le rapport du Centre national de cybersécurité du Royaume-Uni et de KPMG a révélé que 10 % seulement des réponses provenaient de personnes issues de la communauté LGBTQ et que 5 % seulement des personnes interrogées étaient âgées de 18 à 24 ans. Le secteur reste également très majoritairement blanc en termes de composition ethnique.
Pourquoi la diversité est-elle importante dans le domaine de la cybersécurité ?
Outre le fait qu’elle contribue à atténuer la pénurie de compétences, il existe d’autres raisons impérieuses pour lesquelles ce problème se pose aux organisations.
« En général, la diversité est importante parce qu’elle crée en fin de compte des produits et des solutions finaux plus forts, plus persistants et plus sophistiqués », explique Lucie Kadlecova, associée principale chez CybExer Technologies. « Une équipe composée d’un groupe diversifié d’employés rassemble des expériences, des façons de penser et des antécédents différents.
« Nous ne parlons pas seulement de la diversité des sexes, mais aussi des différents groupes d’âge et des différents antécédents », ajoute-t-elle. « Par exemple, une personne qui a un diplôme en sciences sociales mais qui a ensuite suivi un cours de requalification pensera à une tâche de cybersécurité d’une manière légèrement différente qu’une personne ayant une formation purement technique. Cette variabilité apporte des modes de pensée et des perspectives différents, qui permettent au final d’élaborer une solution plus résiliente. »
Diversité x cybersécurité
Paul Baird, responsable de la sécurité technique au Royaume-Uni chez Qualys, est d’accord, soulignant qu’une plus grande diversité peut aider à garantir que les produits n’ont pas d’effets involontaires. « Une plus grande diversité dans nos équipes, qu’il s’agisse du sexe, de l’origine ethnique ou de la neurodiversité, signifie que nous sommes plus à même de repérer les problèmes, de proposer des approches pour les résoudre et de répondre aux attentes de nos organisations », explique-t-il.
« Prenez le service ‘trouver mon téléphone’. C’est une aubaine pour certains, mais il peut devenir un outil de harcèlement entre de mauvaises mains. Alors que beaucoup d’entre nous n’auraient jamais à penser à ce problème, notre travail en tant que professionnels de la sécurité est de nous demander comment les choses pourraient être cassées ou mal utilisées, puis d’appliquer des contrôles pour empêcher cela autant que possible. Ce type d’analyse est plus que jamais nécessaire pour maintenir la sécurité en place et efficace. »
Il existe un certain nombre de mesures que les organisations peuvent prendre pour contribuer à améliorer la diversité de leurs équipes de cybersécurité. Amanda Finch, directrice générale du Chartered Institute of Information Security (CIISec), estime que le fait de mettre l’accent sur les aspects les plus faciles des emplois peut aider à surmonter les idées fausses.
« Trop souvent, on pense encore que la sécurité est une discipline purement technique, ce qui signifie que seules les personnes ayant une aptitude pour la technologie ou les bonnes qualifications techniques devraient postuler », dit-elle. « Mais la sécurité est beaucoup plus large : elle exige des compétences sociales, managériales, d’investigation et même financières. En faisant connaître les possibilités d’utiliser différentes compétences, le secteur peut commencer à élargir l’attrait de la cybersécurité. »
Cela implique en partie de rendre les offres d’emploi faciles à comprendre pour tout le monde. « Le jargon souvent utilisé dans la cybernétique peut devenir un obstacle pour ceux dont les compétences dans le domaine peuvent, par exemple, se situer davantage dans la communication et le développement de la formation plutôt que dans les aspects techniques », souligne le professeur Simon Hepburn, PDG du UK Cyber Security Council. « Ces compétences non techniques sont tout aussi essentielles que le codage pour protéger une entreprise sous tous les angles ».
Tia Hopkins, directeur technique sur le terrain et stratège en chef en matière de cyberrisque chez eSentire, pense que les organisations doivent élargir leur esprit lorsqu’il s’agit des critères d’entrée pour les rôles.
« Atteindre la diversité commence par encourager les divers talents à poursuivre la cybersécurité comme une véritable option de carrière », dit-elle. « Ils doivent croire que la poursuite d’une carrière dans ce domaine peut mener au succès, quels que soient l’âge, le sexe, l’origine ethnique, la neurodiversité ou le handicap. Pour ce faire, les recruteurs doivent regarder au-delà du CV. Devons-nous préciser les années d’expérience pour les postes de niveau débutant ? Nous devons chercher au-delà du vivier de talents en sécurité informatique pour trouver ceux qui sont prêts à se former, et nous associer aux universités en proposant des stages dans l’industrie. »
La tendance post-pandémique au travail à distance peut également aider les organisations, estime Jim Tiller, responsable de la sécurité informatique chez Nash Squared, en leur permettant d’accéder à des talents qui auraient auparavant été écartés. « N’ayez pas peur d’embaucher des personnes du monde entier », dit-il. « Puiser dans des régions, des cultures et des cadres sociaux différents enrichit profondément votre équipe de sécurité et peut avoir des impacts mesurables sur votre posture de sécurité. »
Les préjugés inconscients dans la cybersécurité
De meilleures techniques de recrutement peuvent également contribuer à éviter les préjugés inconscients ou la discrimination involontaire à l’encontre des individus. Le UK Cyber Security Council, par exemple, encourage le recrutement en aveugle, où les antécédents des individus sont supprimés. « En retirant tout identifiant des candidatures, le recrutement peut se faire sans préjugés, ce qui permet d’avoir des équipes plus diversifiées et des candidats qui sont évalués uniquement sur leurs capacités », explique M. Hepburn.
Rob Demain, PDG de e2e-assure, préconise de s’éloigner des entretiens traditionnels et formels, qui, selon lui, peuvent conduire certains candidats solides à ne pas donner la meilleure image d’eux-mêmes. « Nous avons obtenu les meilleurs résultats en nous rendant sur place et en participant à des événements, où nous pouvons rencontrer les gens dans un cadre qui leur est plus confortable », dit-il.
Cependant, attirer les gens dans l’entreprise n’est que la moitié de la bataille, et doit être accompagné d’une culture inclusive qui les gardera dans l’entreprise et dans le secteur dans son ensemble.
« Cela devrait impliquer de montrer les opportunités, l’enthousiasme et les parcours professionnels disponibles à toute personne, quel que soit son milieu et son niveau – de l’école à l’université, aux différentes étapes de la carrière », estime Mme Finch.
Le fait de pouvoir montrer des exemples de personnes issues de milieux différents qui font des carrières réussies dans le secteur devrait, à terme, contribuer à briser l’image traditionnelle de la cybersécurité. « Construire une équipe diversifiée aidera considérablement à attirer davantage de personnes de différents horizons et à renforcer les bases pour assurer la durabilité d’une équipe diversifiée », déclare Tiller. « Nous devons nous assurer que nous fournissons des modèles. Pas simplement des exemples de diversité, mais des personnes très performantes qui ont surmonté des obstacles et ont ouvert de nouvelles voies. »
En savoir plus sur la diversité et l’inclusion
Utilisation de l’intelligence artificielle pour promouvoir la diversité et l’inclusion. L’intelligence artificielle peut contribuer à éliminer les préjugés inconscients lors du recrutement pour pourvoir des postes technologiques. Mais peut-elle être une arme à double tranchant pour les dirigeants du secteur des technologies lorsqu’il s’agit de promouvoir la diversité et l’inclusion ?