Diane Rambaldini femme et cybersécurité

Diane Rambaldini, consultante en Sécurité des Systèmes d’Information depuis 7 ans, a accepté de répondre à nos questions pour nous donner sa vision du secteur de la cybersécurité, de la place des femmes en son sein. Une interview exclusive qui saura mettre en lumière que les profils influents en cybersécurité peuvent aussi être ceux des femmes !

 

Pouvez-vous nous en dire plus sur vous et votre parcours ?

Je commencerai bien par vous dire que j’adore le sport Auto ! Je ne peux le pratiquer comme je le voudrais mais je m’octroie au moins du temps pour du cardio pour rester en forme. Indispensable également pour les petites cellules grises…

Sinon, je suis entrepreneure dans le domaine de la cybersécurité. Ce n’était absolument pas prévu au programme puisque dès l’âge de raison, je n’avais qu’une obsession : devenir commissaire de Police. J’en étais d’ailleurs très fière car j’avais une vocation, contrairement à beaucoup de mes camarades qui ont longtemps cherché leur voie. J’ai donc embrassé des études de droit à Assas avec des spécialités en droit public, pénal et criminologie, pour conclure avec une préparation au concours à l’Institut d’études judiciaires, et un Master en droit et stratégies de la sécurité, master que suivaient les élèves officiers de la Gendarmerie Nationale. Mais j’ai vite appris que rien n’est écrit !

J’ai non seulement échoué au concours mais une vérité déprimante s’est imposée à moi : dans leur schéma de sélection, les concours de la fonction publique ne font pas grand place à la vocation ou à l’esprit d’entreprendre.

Il est néanmoins important de voir l’échec comme une porte qu’on ferme pour avoir l’opportunité d’en ouvrir une nouvelle avec une meilleure appréciation des obstacles qui s’y présentent.

Ce qui m’a permis de rebondir de cette désillusion, tient en 110 heures de cours d’intelligence économique que j’ai suivies à l’école militaire à l’IERSE, une option de mon Master. Une véritable révélation. J’ai donc décidé d’en intégrer pleinement l’année suivante la 10ème promotion. J’ai décroché mon diplôme d’ingénierie en sécurité et sûreté des entreprises que j’ai assorti d’un Master en gestion globale des risques et des crises à La Sorbonne. Je ne pouvais faire le deuil de ma vocation et me départir de cette envie de servir mon pays. Et, travailler pour la sécurité économique des entreprises m’ayant semblé très tôt un sujet essentiel à la vie de la Nation, cette nouvelle perspective me semblait bien coller à ma personnalité et à mes idéaux.

 

Comment vous êtes-vous spécialisée dans la Sécurité des Systèmes d’Information et de la Cybersécurité ?

Les hasards de la vie ! À l’issue de mon diplôme, j’ai été chargée de mission à l’IERSE, tremplin vers un stage dans la division Security Solutions & Services de chez Thales. En pleine réflexion sur la sacro-sainte « sécurité globale », le pôle que j’ai intégré était intéressé par mon profil, davantage tourné vers le Risk Management et l’intelligence économique, ceci afin de compléter leurs profils techniques en sécurité des systèmes d’information.

Le saut dans le bain de cet univers m’a fait l’effet d’un plongeon dans une mer de glace après un bon sauna !

D’abord saisie par la nécessité d’intégrer le risque de non sécurité informatique et numérique aux risques opérationnels et informationnels tels qu’appris jusqu’à maintenant, et par le besoin d’en faire mon prochain défi, j’ai vite compris que toute perspective d’avancement global sur cette question ne se ferait pas sans m’imprégner de la discipline de sécurité des SI et a fortiori de l’informatique tout simplement. ça aurait été comme faire une enquête à charge….

Cela a été permis au prix d’un travail personnel conséquent en choisissant des missions de SSI. J’ai notamment participé à des missions à l’étranger où j’ai pu suivre sur plusieurs années une démarche sécuritaire de bout-en-bout. Ce sont des missions extrêmement structurantes qui m’ont permis en quelques années d’avoir une vue d’ensemble d’une telle démarche, ce que peu de consultants ont la chance de voir un jour.

J’ai décidé ensuite de passer l’examen du Lead Auditor ISO 27001 histoire de me tester un peu…

Pour autant, je me reconnais davantage comme évoluant dans le Conseil et la formation en matière de gestion des risques informationnels plus que comme une spécialiste dans le dur de la SSI, qui pour moi reste un « qualificatif » beaucoup plus emprunte du « comment » que du « pourquoi ».

Pouvez-vous nous parler de Crossing Skills, la plateforme Web que vous avez créée ?

crossing skills agora cybersécurité Crossing Skills est le nom de la structure que j’ai créée il y a 3 ans dont les activités répondent à une démarche de gestion du risque que j’ai conçue sur la base de méthodologies existantes agrémentées de mon empreinte et de ma vision. C’est un peu mon fil rouge.

Les activités couvrent des prestations de conseil et d’expertise et en effet la gestion d’une plateforme appelée l’Agora de la cybersécurité. Celle-ci a pour ambition de devenir la place de marché de la cybersécurité. Elle est pensée pour faciliter la rencontre d’offreurs en cybersécurité et des acheteurs de ces produits et services. Au-delà de l’annuaire qu’elle propose, sa valeur ajoutée réside en l’apport pour les futurs acheteurs et surtout les dirigeants des PME d’un certain nombre d’indicateurs d’aide à la décision pour effectuer le meilleur choix. La plateforme Web est aujourd’hui un produit minimum viable. Ce qui nous importe pour le moment tient en un référencement le plus exhaustif possible des offreurs, ce à quoi nous nous attelons. Faciliter l’accès à la cybersécurité des PME passe aussi par la création d’offres spécifiques qu’il faut inciter et d’un marketing qui permet d’en faciliter la lisibilité. Nous proposons donc à destination du segment de clientèle que composent les offreurs, des prestations d’assistance marketing. C’est par exemple ce que nous avons fait pour Hexatrust.

Avez-vous rencontré des difficultés en tant que femme pour travailler et évoluer dans le secteur de la Sécurité des Systèmes d’Information et de la Cybersécurité ?

Si vous me permettez, je vois deux volets dans votre question. Ai-je été pénalisée en tant que femme pour évoluer ? Et, les femmes le sont-elles particulièrement dans ce secteur ?

Pour ma part, non. Je n’ai à ce jour pas rencontré des difficultés spécifiques en tant que femme dans mon travail et du moins connues. Ce qui a pu se tramer dans mon dos en termes de salaire, d’augmentation, de staffing et autres, je n’en sais rien. Il faut dire aussi que j’ai monté ma structure assez vite. C’est donc un peu différent. La question que je dois me poser est si un homme aurait rencontré sur ce même parcours les obstacles qui ont été les miens. Je le pense. La vraie rupture, je l’ai plutôt constatée quand j’étais salariée, entre les profils à dominante technique et les autres. Par ailleurs pour compléter mon propos, il est vrai que même si cela n’a pas entravé mon évolution, j’ai en effet connu en milieu professionnel des situations désagréables en tant que femme mais sans rapport direct avec la cybersécurité.

Quant au fait que les femmes rencontrent plus de difficultés dans ce secteur précis, c’est une bonne question. Posons la question à un échantillon significatif de femmes.

Comment expliquez-vous que les hommes continuent à dominer le secteur de la cybersécurité ?

J’ai de sérieuses réserves quant à la formulation. Par les temps qui courent, il faut être prudent avec le sens des mots. Les hommes sont-ils en croisade dans la SSI avec la ferme intention de barrer la route aux femmes ? Franchement, je ne le crois pas. Mais j’ai bien compris que vous posiez la question de la représentation par le nombre.

Si cela semble être incontestable, il serait intéressant de faire un focus sur les métiers précisément que cela touche.

Parlons-nous surtout des métiers à dominance technique, ou de tous les métiers touchant à la cybersécurité ?
Les hommes sont-ils plus nombreux du fait d’un effet de caste masculine dans ce secteur, ou le sont-ils par défaut, parce que les femmes, elles, sont absentes de ces filières ?
Les hommes sont-ils plus nombreux dans les écoles d’ingénieurs ou filières informatiques universitaires  ? Et si oui, est-ce à dire que les hommes sont plus nombreux dans les filières de sciences et ce, peut-être dès le collège ?
Cette appétence aux mathématiques, à la physique, à la chimie, à l’informatique est-elle plus marquée chez les garçons ou l’appétence est la même chez les filles ?
Les métiers n’ont-ils pas une représentation sexuée depuis la nuit des temps ? Les comportements sociaux ne façonnent-ils pas ce que les filles d’un côté et les garçons de l’autre doivent aimer ou ne pas aimer ?
Il y a, à mon avis, des stéréotypes ancestraux à déconstruire et des déconditionnements à faire, bien plus que des blâmes à distribuer. Qu’il y ait une véritable problématique sur la place de la femme aujourd’hui au sens sociologique, des remises en question de ce qu’on pensait acté, oui c’est certain car l’actualité nous en donne des démonstrations chaque jour, mais ce déséquilibre n’est-il pas natif dans notre secteur ?

 

Comment encourager davantage de femmes à s’engager dans une carrière de la sécurisation des systèmes d’information et de la cybersécurité ?

Le véritable enjeu c’est d’assurer la liberté de choix, c’est-à-dire la liberté de faire ou de ne pas faire.

C’est un avis tout à fait personnel, mais je ne sais pas si le traitement de ce sujet par le prisme de l’égalité et de la parité n’a pas parfois un effet pervers… J’ai beaucoup de mal à me familiariser avec cette quête de l’uniformisation à outrance, à l’effacement des aspérités pour que chacun rentre bien dans une ligne Excel du grand échiquier sociétal qu’on nous impose, à ce lissage de la pensée.

Les femmes doivent pouvoir construire le parcours qui les mènera à des postes en SSI, ou à bénéficier de reconversion dans ce domaine. Les femmes doivent pouvoir suivre des chemins de carrière qui les propulsent au sommet, et aux sommets les plus hauts, si elles en font le choix. … de la même façon qu’elle devrait être libre d’être mère au foyer sans forcément être montrée du doigt.

Ce travail sur la liberté de choix doit se faire à plusieurs niveaux et ça commence naturellement à l’école et dans les mentalités.

On parle beaucoup des enseignants mais parlons de toutes les équipes pédagogiques qui encadrent les enfants. Donne t-on les armes nécessaires aux centres d’information et d’orientation et aux personnels d’orientation-psychologues dans les établissements scolaires à la présentation fidèle de nos métiers ? Dans une institution aussi lourde, car imposante, centrale, riche en ressources humaines qu’est l’éducation nationale, la filière cybersécurité et à fortiori la filière numérique sont-elles suffisamment représentées pour informer des débouchés de l’informatique, de la sécurité informatique, des nouveaux métiers autour de la data ? S’assure t-on que cette information se fasse sans représentation sexuée de ces métiers ?

Que la machine pédagogique ne soit pas toujours à la page, cela s’explique et se comprend mais les personnels dont le rôle est d’assurer la projection que les enfants peuvent se faire de leur vie doivent, eux, être à la page et largement anticipateurs des changements. Sinon, nous continuerons de nous plaindre de la pénurie d’experts en SSI encore dans 20 ans. Il faut plus que jamais être vigilant dans un monde dont les cycles s’accélèrent et qui évolue technologiquement aussi vite. Nous avons besoin de toutes les forces.

À côté de ça, ouvrir la voie de la cybersécurité aux femmes nécessite déjà d’en parler aux principales intéressées. Le tissu associatif peut y contribuer fortement. Par exemple, l’ISSA International a ouvert des groupes spéciaux de travail dont «  Women in security » dont la vocation est de développer un leadership au féminin à l’échelle mondiale. Il est évident qu’une mobilisation des femmes du métier pour en attirer d’autres est une bonne action. À une précision près. Je suis complètement en phase avec Emmanuelle Duez, fondatrice de The Boson Project quand elle soutient que c’est en impliquant aussi les hommes qu’on peut parvenir à un résultat.

La place de la femme en cybersécurité doit être un projet militant partagé autant par les femmes que les hommes.

Comme dans n’importe quel projet, il y a une analyse socio-dynamique à mener sur les synergies et les antagonismes en présence. Commençons par les alliés à ce projet, promouvons les hommes qui s’engagent dans ce combat. Profitons de leurs expériences, en cadre associatif par exemple, pour tenter de comprendre voire débloquer des situations qui peuvent l’être.

 

Quelles stratégies les entreprises peuvent-elles mettre en place pour la conquête, l’intégration et la rétention des femmes dans le secteur ?

Une entreprise dont l’équipe dirigeante a décidé d’intégrer, de maintenir et de retenir des femmes dans son organigramme, parce qu’elle l’a décidée et parce qu’elle estime que ça fait partie de ses valeurs, trouvera toujours les moyens de rendre effective sa décision. Elle y parviendra en sponsorisant ce projet et en injectant dans ces processus les alertes qui vont bien, et certainement pas en imposant des quotas. À l’ISSA France que j’ai co-fondé, c’est un sujet qui nous préoccupe. À titre d’exemple, pour les Security Tuesday (afertworks mensuels), nous ne cherchons pas la parité du nombre, mais nous veillons toujours à ce que toutes les femmes de notre réseau aient bien eu connaissance de l’évènement. Cela doit devenir un réflexe comme un autre.

 

Quels conseils donneriez-vous aux femmes qui aspirent à travailler dans le secteur de la Cybersécurité ?

Répondre à cette question me permet de boucler mon propos antérieur. Nous sommes au XXIème siècle et subsistent voire se re-développent des antagonismes sur la place de la femme, de la part d’hommes et de certaines femmes aussi. À titre d’exemple et sans chercher bien loin, le 1er mars dernier, un eurodéputé polonais a déclaré en plein hémicycle que je cite « les femmes devaient être moins bien payées car elles sont plus faibles, plus petites et moins intelligentes ». Et oui ! Parce que je suis outrée, vais-je perdre mon temps à essayer de le convaincre du contraire ? Non. À ce point c’est irrécupérable. N’y passons pas une seconde supplémentaire.

Par contre, rallier autour de moi les hommes et les femmes convaincus et militants pour défendre la place des femmes, ça m’intéresse beaucoup plus. M’occuper des indécis qui ont des questions légitimes ou qui se sentent tributaires d’un environnement peu ouvert, qui ont évolué dans des stéréotypes mais qui se posent des questions, ça m’intéresse également car je peux tenter de les convaincre. Le premier conseil est donc de s’entourer de ses alliés : amis, réseau, associations. Cela permettra de faire pencher la balance, d’éviter la mise sous conditionnement que nous inflige l’actualité et ses retours en arrière.

Ensuite, quoi qu’on en dise, il y a des verrous à débloquer du côté des femmes.

Un nombre substantiel d’études font état que beaucoup de femmes ont tendance à s’autocensurer. Personnellement, je le ressens également. Néanmoins, et sans faire de la psychologie de comptoir je pense que cette autocensure n’est pas forcément de la dévalorisation de soi. Peut-être parce qu’elles sont encore majoritaires à s’occuper des enfants, à faire les courses, à gérer leur foyer, j’ai l’impression que les femmes sont ancrées davantage dans le réel et l’immédiateté. Et, je me demande jusqu’à quel point ça n’influe pas sur la projection qu’elles ont d’elles-mêmes et par voie de conséquence sur leur ambition et leur motivation. Mon deuxième conseil est donc assez simple : rêver ! Ne pas avoir peur de se projeter sans penser au reste.

Mon troisième conseil serait celui de capitaliser sur leurs forces, et d’écouter aussi les compliments que les hommes formulent à leur encontre.

« Plus consciencieuses, plus respectueuses des engagements, plus bosseuses, nettement plus à l’écoute, dénuées d’orgueil mal placé, plus enclines à se remettre en question » sont des compliments que j’ai souvent entendus sur les femmes.

Ce sont des qualités à travailler et à mettre en avant, car entre nous soit dit, s’il y avait un peu plus de toutes ces qualités, dans les affaires notamment, le monde ne s’en trouverait pas plus mal. Non ?