Les femmes dans la cybersécurité, la gestion des risques et l'importance de la communication : entretien avec Jane Frankland

Comment les menaces de cybersécurité affectent les entreprises

Tout au long de l’année 2017, nous avons eu l’impression qu’un nouveau désastre en matière de cybersécurité se produisait presque chaque jour. Mais quel événement a causé la plus grande perturbation de l’année dernière et en avons-nous appris quelque chose ?

« C'est une question difficile. Bien que l'agence américaine d'évaluation du crédit à la consommation Equifax ait subi l'une des pires attaques de ces dernières années, touchant près de 143 millions de citoyens américains, les plus grands désastres pour moi ont été WannaCry et NotPetya.

« WannaCry était différent de la plupart des autres attaques de ransomware. Avec l’aide d’EternalBlue, il a obtenu un accès à distance et le ransomware a pu se propager sur les réseaux à une vitesse fulgurante. WannaCry a infecté plus de 300,000 4 ordinateurs dans le monde et a utilisé deux manières différentes pour exploiter les faiblesses – toutes deux issues de la fuite de la NSA par Shadow Brokers. Son impact financier a également été énorme, avec un coût approximatif de XNUMX milliards de dollars de pertes.

« NotPetya a fait preuve d'une plus grande sophistication en termes de complexité de son attaque et de sa résolution. Il s’agissait également d’une forme de malware wiper. Il imitait l’apparence d’un ransomware, mais sa véritable intention était la destruction. »

Et je suppose que cela nous a montré que toute organisation, quelle que soit sa taille, peut être une cible de cybercriminalité. Pensez-vous qu'il existe suffisamment d'éducation disponible pour que les organisations puissent les aider à se protéger et à gérer leurs informations et leur cybersécurité?
"Je fais. Il y a une tonne d’informations disponibles. Des problèmes surviennent parce que SOLUTIONS pour atténuer les risques varient d’une entreprise à l’autre. De nombreuses organisations savent que la technologie les aidera, mais qu’elle n’est pas une solution miracle. Ils sont conscients qu'ils sont confrontés à des menaces de niveau supérieur et à multiples facettes, à la fois familières et inexplorées.

« Ils savent qu’à mesure que la technologie devient plus intelligente, le cloud et l’Internet des objets (IoT) deviendront de plus en plus interconnectés. Ils savent qu'ils sont également en train de rattraper leur retard, car leur avenir repose sur les technologies du passé – systèmes d'exploitation, langages informatiques, environnements logiciels, qui sont vulnérables et souvent non pris en charge.

« C'est pourquoi ils souhaitent réévaluer et redéfinir leur compréhension des menaces, des risques et des solutions dans un paysage en constante évolution. C'est pourquoi ils demandent : à quelles menaces devraient-ils se préparer ? Quels sont les risques impliqués ? Quels processus et procédures doivent-ils mettre en œuvre ? De quels types de personnes ont-ils besoin pour les aider à y parvenir ?

« C'est également la raison pour laquelle les professionnels de la cybersécurité doivent être capables de répondre à toutes ces questions et savoir comment détecter les attaques, y répondre et s'en remettre rapidement et avec un impact minimal sur l'entreprise.

« C'est pourquoi ils doivent être capables de former les principales parties prenantes de leur organisation et de les aider à comprendre comment la sécurité affecte les rôles de chacun, puis à mettre en œuvre les solutions – qu'il s'agisse des personnes, des processus et des technologies. Ils doivent être capables non seulement de protéger l’organisation, mais aussi de lui permettre de la servir pleinement.

Les défis de la confidentialité des données pour les organisations

Donc, dans votre rôle de conseiller RSSI, quels sont les plus grands défis dont vous entendez parler par l'organisation en ce qui concerne la gestion de la sécurité de ses informations et se conformer aux réglementations comme le RGPD?
« Les plus grands défis que j'entends actuellement concernent davantage les ressources, en particulier l'embauche des bonnes personnes pour sécuriser les environnements ou s'attaquer aux nouvelles réglementations comme la RGPD.

« La sécurité est une affaire de personnes et avec une pénurie de talents disponibles, les organisations doivent soit se lancer dans des guerres salariales pour faire partir les gens, soit accepter de devoir développer les talents en interne, ce qui prendra du temps et les exposera potentiellement à des risques. risque, même à court terme.
Pourquoi penses-tu qu'il y a tant confusion autour du RGPD?
« Le RGPD constitue le plus grand bouleversement des lois sur la protection des données depuis plus de 20 ans.

"Bien que le RGPD ne devrait pas représenter un grand défi pour les organisations britanniques, car elles devraient toutes respecter la DPA et examiner et protéger soigneusement leurs données, nous savons que c'est le cas. Nous savons également que de nombreuses organisations prendront protection des données sérieusement pour la première fois. Comme cela s'applique à toutes les organisations, quel que soit leur chiffre d'affaires ou leur effectif, le plus grand défi pour elles sera de déterminer ce que leur organisation doit faire pour être conforme.

« Une fois de plus, cela dépendra de leur appétit pour le risque. Alors que le amendes pour violation du RGPD est à l'origine de nombreuses actions, il existe un risque sérieux que les principes clés de transparence et de responsabilité se perdent dans le bruit.»

Communiquer et gérer les risques

Nous avons donc parlé de risque et de communication. Le NCSC a publié des lignes directrices sur la gestion des risques pour la cybersécurité. Pensez-vous que cela va suffisamment loin pour aider les micro et petites organisations, compte tenu des préoccupations que vous entendez ?

"Non. Même si c'est un bon début, ils ont commis une erreur fondamentale de communication. Ils ne se sont pas mis à la place de ces organisations et n’ont pas vu les choses à travers leur lentille.

« Leur site contient trop d’informations à parcourir et de liens sur lesquels cliquer. Il est riche en jargon et n'a été présenté que dans un seul format, le texte.

"Comme beaucoup de gens apprennent différemment, il aurait été préférable qu'ils produisent des livres électroniques, des audios et des vidéos pour les PME et les micro-organisations."

Dans votre livre IN Security, vous soulignez que les femmes ont une capacité naturelle à Gérer le risque, notamment en matière de cybersécurité. Parlez-nous un peu plus de votre théorie derrière cela.

« Les femmes sont fondamentalement différentes des hommes. Ce sont des versions différentes de la même espèce. Alors que des recherches antérieures ont indiqué que les cerveaux des hommes et des femmes sont câblés différemment, de nouvelles recherches indiquent que presque tout le monde possède une gamme unique de structures masculines et féminines. [2]

« Cependant, en ce qui concerne les hormones, les femmes et les hommes diffèrent, car les deux sexes produisent les mêmes hormones, mais à des niveaux différents. Le principal moteur hormonal sexuel chez les femmes est l’œstrogène, ce qui encourage les liens, la coopération, la collaboration et les relations. Il soutient également la partie du cerveau qui implique les compétences sociales et les observations, et aide les femmes à déterminer comment elles perçoivent le risque et évitent les conflits.

« La sérotonine est l'hormone responsable de la stabilisation de l'humeur et de la régulation de l'anxiété. Selon des chercheurs, les femmes produisent 52 % moins de sérotonine que les hommes, ce qui pourrait expliquer pourquoi elles ont plus tendance à s’inquiéter que les hommes. Ensuite, il y a la testostérone, la principale hormone sexuelle chez les hommes, qui est associée à l'agressivité, à l'impulsivité, à la détermination, à l'indépendance, au manque de coopération, de pouvoir, de victoire et de prise de risque.

« Ce dernier point revêt évidemment une grande importance pour nous en matière de cybersécurité. De nombreuses études ont montré que les femmes et les hommes évaluent différemment le risque. Les femmes sont bien meilleures que les hommes pour évaluer les probabilités, ce qui se manifeste souvent par une évitement accru du risque. Comme les femmes sont généralement plus réticentes à prendre des risques, leur exploration naturelle et détaillée les rend plus sensibles aux changements de comportement – ​​une compétence nécessaire pour identifier correctement les acteurs de la menace et protéger les environnements.

« Lorsque l'entreprise norvégienne CLTRe et Gregor Petric, PhD, professeur agrégé d'informatique sociale et président du Centre de méthodologie et d'informatique de la Faculté des sciences sociales de l'Université de Ljubljana (Slovénie), ont étudié plus de 10,000 XNUMX employés dans cinq secteurs verticaux dans deux pays. dans les pays nordiques, ils ont constaté que les femmes respectaient les règles et adoptaient davantage les contrôles organisationnels et la technologie que les hommes. De plus, alors que les hommes évaluaient leurs connaissances et sensibilisation à la sécurité informatique, contrôles et comportements beaucoup plus élevés que les femmes, les hommes ont signalé des niveaux plus élevés de comportements à risque, tant de leur propre part que de celle de leurs collègues. [4]

« Ces résultats sont en corrélation avec d’autres rapports qui détaillent les différences entre les sexes en matière de conformité et de confiance en ligne. Lorsque HMA, un fournisseur de services de réseau privé virtuel, a commandé une étude auprès des utilisateurs d'Internet aux États-Unis, ils ont constaté que davantage de femmes que d'hommes considéraient ce qu'elles partageaient en ligne ; il était plus improbable qu'ils donnent Des renseignements personnels comme leur date de naissance, leur adresse réelle ou leur numéro de sécurité sociale sur un profil de réseau social que les hommes ; et étaient plus susceptibles que les hommes de proposer ces informations lors d'une conversation en ligne avec un ami.

«Ils ont également constaté que les hommes signalaient plus souvent que les femmes que leurs comptes avaient été compromis ou piratés, ou qu'ils avaient installé accidentellement des logiciels espions, des logiciels malveillants ou un virus. Pourtant, ils ont constaté qu’après avoir rencontré un problème de sécurité, les femmes étaient plus susceptibles que les hommes d’apporter des changements durables à leur comportement en ligne afin de se protéger des problèmes futurs. Les hommes, en revanche, ont eu tendance à recourir à des moyens techniques de protection.[5]

« En plus de ces traits, les femmes sont également reconnues pour être très intuitives. Les hommes, en revanche, ont tendance à être plus pragmatiques dans leur réflexion. Que vous croyiez ou non que c'est parce que les femmes n'ont pas reçu d'informations au fil des siècles et ont dû développer des compétences intuitives n'a pas d'importance. Ce qui compte, c'est leur capacité à penser différemment, car lorsque deux groupes de personnes s'attaquent à un problème, elles sont capables de le résoudre de manière unique et beaucoup plus rapidement. Comme tous les risques ne sont pas identiques, le dialogue sur la manière de les aborder est également plus riche.

« Les femmes obtiennent de très bons résultats en matière d'intelligence émotionnelle et sociale, ce qui apporte de nombreux avantages, notamment la capacité à rester calme en période de turbulences – une caractéristique requise lorsque des violations et des incidents majeurs se produisent.[6]

« De plus, dans un monde qui valorise la vitesse et l'agilité, la capacité d'utiliser la pensée intuitive et de prendre rapidement de bonnes décisions sans disposer de toutes les informations devient de plus en plus une nécessité.[7] »

Les femmes dans la cybersécurité

Dans votre livre, vous proposez également de nombreux conseils pratiques aux femmes souhaitant se lancer dans le secteur de la cybersécurité. S’il n’y avait qu’un seul conseil à donner, lequel serait-il ?
« Il s’agirait de construire leur réseau en cybersécurité. Il offre de nombreux avantages en matière d’obtention d’un emploi et de soutien pour apprendre de nouvelles façons de penser. Il est bien connu que les femmes ont des liens plus faibles que les hommes avec leurs collègues et leurs cohortes, tant au travail qu'à l'extérieur. En fait, selon une étude de Lean.in org et McKinsey & Co., 10 % des femmes cadres supérieurs admettent avoir quatre cadres ou plus qui les soutiennent dans l'avancement de leur carrière, contre 17 % des hommes. De plus, plus de 50 % de ces femmes seniors ont déclaré qu'elles estimaient qu'un parrainage de niveau supérieur était essentiel au développement de carrière.

« Les liens faibles qui naissent du réseautage sont généralement associés à la recherche d’emploi. Jusqu’à ce que le sociologue Mark Granovetter publie ses recherches, la plupart des gens pensaient que l’on trouvait un emploi grâce à des liens forts – des liens personnels avec des amis, la famille ou des pairs au travail. Ce que Granovetter a découvert, c'est que la principale source de pistes d'emploi provenait de liens faibles : des connaissances éloignées ou les amis d'un ami.

« Il s'avère que les gens recommandent rarement un emploi à leurs proches parce qu'ils craignent que cela ait une mauvaise image d'eux si cela ne fonctionne pas, ou parce qu'ils sont plus susceptibles de connaître les défauts et les défauts de leurs proches. faiblesses qui, selon eux, pourraient nuire au fait d'être un bon employé.

«Mais ce n'est pas tout ce que Mark a découvert. En matière d’information, disposer d’un réseau de connaissances lâche et diversifié permettait aux gens d’accéder à des sources d’information beaucoup plus larges et d’élargir leur réflexion. En disposant d’un réseau de contacts partageant les mêmes idées et opérant dans les mêmes cercles que vous, vous apprenez rarement quelque chose de nouveau. Cependant, lorsque vous pouvez accéder à une communauté plus large, vous pouvez accéder à différents types de réflexion et relever les défis en toute confiance. "
Que pouvons-nous tous faire pour contribuer à une main-d’œuvre plus diversifiée dans le domaine de la cybersécurité et de la sécurité de l’information ?
« C'est une question énorme et comme pour la plupart des choses, il n'y a pas de solution miracle. Les environnements sont divers et complexes. Les solutions diffèrent donc. Ce qui convient à une organisation ne conviendra pas à une autre. La culture joue grand rôle et organisations doivent examiner ce qu'ils font pour attirer, embaucher et retenir une main-d'œuvre de sécurité de l'information plus diversifiée. Ils doivent mesurer l’efficacité des actions qu’ils entreprennent et accepter qu’ils ne réussiront pas toujours. Il sera essentiel d’aborder cette question avec un esprit entrepreneurial.

« Chaque fois que j’en parle lors de conférences, je le décompose généralement en cinq domaines. Le premier est l’éducation. Selon Raytheon et la National Cybersecurity Alliance, lorsqu'ils ont interrogé les intérêts professionnels et la préparation à l'éducation des Millennials dans 12 pays, ils ont constaté que 62 % des hommes et 75 % des femmes ont déclaré qu'aucun cours d'informatique au secondaire ou au lycée n'offrait les compétences nécessaires pour les aider à poursuivre une carrière. en cybersécurité. Nous devons changer cela et améliorer la manière dont nous éduquons les enfants et les jeunes adultes à la cybersécurité.

« Dans presque toutes les universités du monde, les étudiants de premier cycle n'apprennent pas qu'en matière de cybersécurité, il faut comprendre les personnes, les entreprises, les principes et les concepts, ainsi que la technologie, ou qu'on leur donne des méthodes pour y parvenir. De plus, ils ne sont pas préparés au travail en équipe. Cependant, ils devront assurer la liaison et collaborer avec des experts dans de nombreux domaines, comme la sécurité physique, les affaires, la réglementation, le marketing, la finance, etc. Et, étonnamment, nombreux sont ceux qui ignorent qu'ils devront se tenir au courant des avancées tant sur le plan offensif que défensif, car ils devront fournir des conseils sur les technologies de cybersécurité qui répondront à une exigence commerciale particulière, ainsi que comprendre comment ils s'intègrent dans la posture globale de cybersécurité d'une organisation.

« Les diplômés en cybersécurité sortent de l'université instruits mais pas prêts à travailler, et de nombreux responsables du recrutement font part de leur mécontentement à l'égard du système éducatif actuel et de ses implications en termes de susceptibilité accrue aux cyberattaques. La cybersécurité étant un domaine dynamique, avec de nouvelles menaces et défenses apparaissant quotidiennement, ils ont raison de se plaindre, car il existe un réel besoin d'une compétent une main-d’œuvre possédant une solide connaissance de la manière de mettre en œuvre, associée à de l’expérience et des compétences pratiques.

« Lorsqu'il s'agit de changements de carrière et d'accès à la cybersécurité à partir d'autres carrières, nous devons y répondre car il existe un réel besoin. Cependant, il n’existe pratiquement aucune information sur la manière exacte de procéder.

« Le deuxième domaine est le marketing. Aujourd’hui, il existe encore une idée fausse selon laquelle la cybersécurité est un domaine purement technique. Cependant, la vérité est que la cybersécurité n’a jamais été une discipline autonome. Il est né de l’informatique, est une spécialité de l’informatique, et le traiter autrement peut s’avérer une erreur coûteuse pour la cybersécurité.

« Cela m'amène au troisième domaine, le professionnalisme, car de nombreux acteurs du secteur souhaitent le professionnaliser, comme la comptabilité, le droit, la médecine et l'ingénierie, avec des chartes, des organismes de réglementation et des programmes d'éducation formelle. D'autres souhaitent que cela reste professionnel. Ceux qui préfèrent une voie plus professionnelle soulignent plusieurs choses. La première est que les militaires et les policiers, qui représentent une grande partie de nos effectifs, ne sont pas issus du milieu informatique. Cependant, ils ont pris les principes de base de la physique la sécurité ou le renseignement et les a appliqués au cyber avec succès. La seconde est que la cybersécurité doit être considérée comme une carrière à laquelle aspirent les informaticiens, et non comme une profession avec des postes de débutant. Ils soutiennent que tous les postes en cybersécurité doivent être acquis avec une expérience significative en informatique et qu'un diplôme spécifique à la cybersécurité n'est pas requis. Les responsables du recrutement doivent plutôt devenir d’excellents dénicheurs de talents, recherchant d’abord au sein de leur organisation des professionnels qualifiés qui, bien qu’ils n’aient aucune expérience déclarée en matière de cybersécurité, peuvent s’adapter rapidement aux rôles en matière de cybersécurité. Les professionnels peuvent donc travailler dans l'informatique ou en dehors, comme les ressources humaines, les services juridiques, le service client, les assistants personnels, ou même les ventes, les relations publiques ou le marketing.

« Le quatrième domaine est l'embauche et le recrutement. Cela peut être considérablement amélioré grâce à des processus et à la technologie formalisés. Grâce aux progrès réalisés dans ce dernier domaine, les données peuvent également contribuer à informer et à réduire les biais. Des outils, comme Textio, peuvent analyser le langage utilisé dans les descriptions de poste et garantir sa neutralité. Certes, lorsqu’il s’agit des femmes, le langage est souvent involontairement codé selon le genre et joue sur une série de stéréotypes, d’idéologies et de systèmes de croyance qui tentent subrepticement de justifier le statu quo. Lorsque les descriptions de poste ne sont pas vérifiées pour détecter les préjugés sexistes, de nombreuses femmes talentueuses peuvent ne pas postuler.

« Enfin, le cinquième domaine est l’environnement. D'après les dialogues que j'ai eus avec des femmes sur le terrain, je sais que les raisons qu'elles citent pour changer d'emploi sont le désalignement avec la culture de leur organisation, l'épuisement professionnel, un traitement injuste, le sentiment d'être exclues pour une promotion ou à cause de la famille. Les cultures d'entreprise peuvent constituer des environnements hostiles pour les femmes en matière de cybersécurité, car certaines sont encore construites autour de liens masculins et facilitées par l'objectivation sexuelle des femmes.

« Les améliorations culturelles peuvent faire une énorme différence dans la manière dont chaque professionnel de la cybersécurité opère sur le lieu de travail, et pas seulement les femmes. Il faut s’attaquer de manière proactive à la culture du travail acharné et du jeu acharné – cette compétition impitoyable et machiste pour arriver tôt, rester tard, travailler plus dur et faire la fête, qui reste répandue parmi de nombreuses organisations et cabinets de conseil en cybersécurité, mais qui s’est avérée augmenter les taux de rotation. et l'absentéisme, et étouffent les performances et les profits.

« La règle tacite à l'ancienne pour les managers, ou pour toute personne aspirant à le devenir, est que si vous partez avant une certaine heure, vous n'êtes pas engagé dans votre travail et une promotion sera peu probable. La pression est particulièrement visible pour les femmes, surtout si elles sont mères ou soignantes. Dans des environnements comme celui-ci, de nombreuses femmes acceptent la réalité selon laquelle si elles ne se conforment pas aux normes attendues, leur carrière sera étouffée, ou bien seront trop rémunérées en travaillant plus dur, en restant plus tard et en adoptant une personnalité davantage masculine. Ils essaieront de s'intégrer, ou sinon, ils cacheront leurs arrangements familiaux.

« Si quelqu'un souhaite en savoir plus, je l'encourage à lire mon livre IN Security. Il est disponible sur Amazon au format livre de poche et Kindle. Ils peuvent également me contacter pour des entretiens, des formations, du coaching et des conseils.
Pour découvrir Jane et le travail qu'elle accomplit auprès des entrepreneurs, visitez son site Web. Jane travaille également avec des dirigeants et des praticiens et vous pouvez en savoir plus à ce sujet sur Capitale de la cybersécurité.

Les informations contenues dans ce blog sont fournies à titre indicatif et ne constituent pas des conseils juridiques.

Les références de Jane :

[1]. https://www.livescience.com/41619-male-female-brains-wired-iferly.html

[2]. https://www.webmd.com/brain/features/how-male-female-brains-differ#1

[3]. https://www.sciencemag.org/news/2017/04/study-finds-significant-differences-brains-men-and-women

[4]. https://get.clt.re/report/

[5]. https://www.forbes.com/sites/kevinmurnane/2016/04/11/how-men-and-women-differ-in-their-approach-to-online-privacy-and-security/#4f65099c7d88

[6]. https://www.kornferry.com/press/new-research-shows-women-are-better-at-using-soft-skills-crucial-for-effective-leadership/

[7]. https://www.cpni.gov.uk/system/files/documents/63/29/insider-data-collection-study-report-of-main-findings.pdf
[/ Et_pb_text] [/ et_pb_column] [/ et_pb_row] [/ et_pb_section]