Les chiffres sont évocateurs. Selon la récente étude 'Cybersecurity workforce study' de l'association des experts en sécurité (ISC)2, le monde de la cybersécurité recense 24% de femmes à l'échelle mondiale. Sachant que celle-ci étend la notion de cyberexpert à " toute personne qui consacre au moins 25% de son temps de travail à la sécurité. "

Pourtant, les éditions précédentes du rapport apparaissaient comme plus pessimistes encore, avec 11% seulement de femmes (2017) parmi les spécialistes en cybersécurité. Et en Europe, ce pourcentage n'était que de 7%. Et même si elles disposent souvent d'un diplôme plus élevé que les hommes (51% ont une licence, contre 45% des hommes, les femmes accèdent 4 fois moins à une fonction de niveau C, et même 9 fois moins souvent à un emploi de cadre. En outre, 51% des femmes affirment subir une forme de discrimination, tout en gagnant 'évidemment' moins que leurs collègues masculins. Bref, la cybersécurité semble (encore) moins accueillante pour les femmes que le monde ICT en général.

Davantage de sécurité par davantage de femmes

Ce manque d'ouverture aux femmes du secteur de la cybersécurité fait réagir violemment Jane Frankland qui a profité de l'événement Next de Kaspersky Lab pour démontrer que le manque de femmes dans la cybersécurité rendait le monde moins sécurisé encore.

Le défi dans la cybersécurité est de faire du 'braconnier un bon chasseur'. Il faut en effet pouvoir réfléchir comme un pirate pour réussir à le combattre en mettant les moyens là où l'attaque peut être la plus efficace. D'où la nécessité de concevoir des cyberdéfenses sophistiquées, associées à des solutions technologiques permettant à la fois de prévenir les intrusions et le vol de données. Du coup, les spécialistes en cybersécurité doivent souvent adopter des pratiques proches de celles des gardiens de l'ordre ou des militaires.

Toutefois, la difficulté est que le facteur humain reste encore trop souvent sous-estimé par rapport à la technologie. Pour inciter les gens à adopter des comportements plus sécurisés (ou moins risqués), il faut disposer de personnes qui savent comment aborder cette problématique. A cet égard, les spécialistes classiques en cybersécurité ne sont pas forcément les mieux placés. Frankland insiste sur la nécessité de recruter des profils disposant d'autres compétences, souvent plus 'soft' ou 'holistiques'. Or ce sont précisément des domaines où les femmes sont souvent meilleures que les hommes, comme plusieurs études comparatives l'ont montré.

En effet, les femmes atteignent de meilleurs résultats au niveau de l'intelligence émotionnelle et sociale, tout en étant souvent plus calmes et maîtrisées lors d'incidents. En outre, le comportement des femmes tient en général davantage compte des règles et est moins risqué (que celui des hommes). En mettant en place des équipes de cybersécurité plus 'diversifiées', avec davantage de femmes, l'approche des entreprises s'en trouve enrichie et ne se limite pas à la défense pour s'ouvrir à la prévention des problèmes.

Par ailleurs, les femmes abordent souvent la cybersécurité au départ d'un plus large éventail de compétences. L'étude (ISC)2 constate ainsi que 31% des femmes avaient un diplôme en sciences informatiques, contre 16% un diplôme en sciences commerciales et 13% en ingénierie. En outre, de très nombreuses femmes venaient des sciences sociales et humaines, de la chimie, de la biologie, de la psychologie et de la pédagogie, de la communication, de la santé, etc.

Changement de culture

Reste qu'il faut que les entreprises, et en particulier les directions générales et les départements RH, adoptent un changement de culture. Ils doivent être ouverts de manière (pro-)active aux femmes - tant celles possédant un bagage spécifique en cybersécurité que d'autres diplômes. Que ce soit par le biais d'un support de carrière, d'un encadrement sous forme de mentorat ou de formations, comme ils le font déjà pour les hommes. Dès lors, cette diversité permettra aux entreprises non seulement de 'pêcher' dans un vivier plus grand, mais aussi de renforcer l'efficacité de leur politique de cybersécurité.

La pénurie d'experts en cybersÉcuritÉ ne cesse de grandir

L'étude annuelle 'Cybersecurity workforce study' de l'association des experts en sécurité (ISC)2 a dressé fin 2018 un tableau peu réjouissant de l'état du secteur. A l'échelle mondiale, la pénurie de cyber-experts a atteint quelque 2,93 millions de personnes, dont environ 142.000 en EMEA. Un chiffre certes inquiétant, mais pas aussi alarmiste qu'en Asie où la pénurie représente 2,14 ( ! ) millions de spécialistes.

A l'échelle mondiale, 63% des répondants affirment manquer de cyber-experts dans leur département ICT, avec les conséquences que l'on imagine. Pas moins de 60% estiment que leur organisation est ainsi moyennement à fortement vulnérable face aux cyberattaques. Environ 50% espèrent cependant pouvoir étoffer leurs équipes en cybersécurité durant l'année à venir. A noter que l'un des critères de recrutement les plus cités est l'expérience (un élément important pour 49% des répondants), alors que le diplôme est le moins évoqué (important pour 20% environ). Par ailleurs, les compétences techniques et les 'soft skills' ainsi que la connaissance des lois et réglementations est qualifiée d'importante (respectivement 39 et 37%).

Enfin, seuls 23% des cyberexperts dépendent d'un directeur spécifique de la sécurité, contre environ 65% à un niveau C ou ICT manager (sans responsabilité spécifique en cybersécurité).

Selon les observateurs, la priorité doit être donnée à l'analyse de la sécurité, à l'analyse et à la gestion des risques, à la 'threat intelligence analysis' (étude des menaces concrètes), tandis qu'une attention plus particulière doit être portée à la détection des 'intrusions' et à la réalisation de tests de pénétration.').