En cybersécurité, on parle beaucoup de risques, de leur évaluation, de leur priorisation et de leur atténuation. Nous mesurons la maturité des cadres, mettons en œuvre des contrôles précis et attendons de chaque partie prenante qu'elle comprenne ses responsabilités. Mais il existe un risque que la plupart des organisations considèrent encore comme facultatif. Il ne figure ni dans leurs registres, ni dans leurs feuilles de route, et encore moins dans leurs budgets. Ce risque ? L'exclusion. 

La sous-représentation des femmes et d’autres groupes marginalisés dans la cybersécurité a été bien documentéPourtant, la tendance n'a pas bougé de manière significative. En fait, certains indicateurs suggèrent une régression. Au Royaume-Uni, le pourcentage de femmes dans la cybersécurité est passé de 22 % à seulement 17 % Au cours de l’année écoulée, un déclin stupéfiant a été observé dans l’un des secteurs les plus essentiels et à la croissance la plus rapide au monde. 

Alors pourquoi la représentation n'a-t-elle pas résolu le problème ? Parce qu'elle ne suffit pas. L'inclusion, structurelle, mesurable et intégrée, favorise la résilience des entreprises. Et dans un secteur en constante évolution et complexité, l'inclusion n'est pas un simple atout. C'est un élément de contrôle essentiel pour l'entreprise. 

La pénurie de main-d'œuvre en cybersécurité n'est pas seulement un problème de pipeline 

Globalement, le La main-d'œuvre en cybersécurité fait face à une pénurie de près de 4 millions de professionnels, selon le rapport Global Cybersecurity Outlook 2025 du Forum économique mondial. Au Royaume-Uni, les emplois dans le cyberespace ont augmenté de 128 % au cours des trois dernières annéesLa demande monte en flèche, mais l’acquisition de talents reste un obstacle majeur pour les responsables de la sécurité. 

Traditionnellement, ce déficit a été présenté comme un « problème de filière ». Si seulement davantage de jeunes femmes poursuivaient des études en STEM. Si seulement davantage de filles s'intéressaient au codage. Si seulement nous avions davantage de modèles. 

Ces récits ignorent le véritable problème : les femmes et les professionnels issus de la diversité entrent dans le secteur, mais ne restent pas. Selon Microsoft, les femmes sont 45 % plus susceptibles de quitter les postes technologiques que leurs homologues masculinsLa rétention et la progression sont les domaines où l’industrie perd le plus de talents. 

Ce n'est pas un problème de pipeline, c'est un problème de lieu de travail. Et en cybersécurité, ce problème de lieu de travail devient un risque pour la résilience. 

L'inclusion n'est pas une distraction du risque, elle renforce la gestion du risque 

La sécurité est, par nature, multidisciplinaire. Elle requiert des apports juridiques, techniques, comportementaux, stratégiques et opérationnels. Ainsi, les meilleurs résultats découlent d'une réflexion diversifiée et d'une culture collaborative. Les équipes homogènes, qu'elles soient identitaires ou disciplinaires, sont plus sujettes aux angles morts, aux biais de confirmation et à la pensée de groupe. 

Considère ceci: 

  • Un rapport de McKinsey a révélé que les équipes de direction diversifiées en termes de genre avaient 25 % plus de chances d’atteindre une rentabilité supérieure à la moyenne. 
  • Une étude de la Bayes Business School a révélé qu’une représentation accrue des femmes au sein des conseils d’administration des institutions financières était corrélée à une réduction significative des amendes réglementaires, équivalant dans certains cas à une économie annuelle de 6 milliards de livres sterling. 
  • En cybersécurité, les équipes diversifiées sont plus performantes en matière de planification de scénarios et de modélisation des menaces. Elles sont plus à même d'anticiper les vecteurs d'attaque non conventionnels et de remettre en question les hypothèses qui fragilisent la posture de sécurité. 

La logique est simple : des équipes diverses voient des risques différents et conçoivent donc de meilleures défenses. 

Où l'industrie a fait fausse route 

Malgré d'innombrables campagnes de sensibilisation, des événements organisés lors de la Journée internationale des femmes et des initiatives scolaires en matière de STEM, le problème de représentation persiste. Pourquoi ? 

Parce que la plupart des approches en matière de diversité dans le cyberespace sont performatives, fragmentaires et sous-financées. Elles reposent sur la passion, et non sur la politique. Et elles font souvent peser le fardeau du changement sur les personnes les plus exclues. 

Décomposons les failles systémiques : 

  1. Programmes DEI superficiels

Les efforts en matière de diversité, d'équité et d'inclusion (DEI) sont souvent vagues et non mesurables. La « sensibilisation » n'est pas une stratégie. Si vous pouvez mesurer votre cadence de mise à jour, vous pouvez mesurer l'équité de vos promotions. 

  1. L'angle mort du leadership

Trop de RSSI et de dirigeants considèrent l'inclusion comme distincte du risque « réel », un risque que les RH peuvent gérer. Or, l'inclusion est directement liée à : 

  • Stabilité de la main-d'œuvre 
  • Adoption culturelle des pratiques de sécurité 
  • Prise de décision éthique en temps de crise 

Si cela ne fait pas partie de votre stratégie de gouvernance, il vous manque un élément clé de votre cadre de sécurité. 

  1. Hostilité cachée

Les préjugés n'ont pas disparu, ils sont simplement devenus plus difficiles à déceler. Les femmes dans le cyberespace font encore état d'exclusion des parcours de leadership, d'une surveillance disproportionnée et d'une culture d'entreprise où la réussite suscite résistance plutôt que soutien. Sans changement structurel, ces conditions érodent silencieusement la diversité. 

  1. Alliés désengagés

Les hommes occupent encore la grande majorité des postes de direction dans le secteur du cyberespace. Pourtant, beaucoup ne savent pas comment apporter leur aide ou craignent de dire des choses inadéquates. D'autres perçoivent à tort l'inclusion comme un jeu à somme nulle. Cette stagnation fait que trop peu d'entre eux prennent des mesures concrètes. 

L'inclusion comme moyen de contrôle des entreprises 

Alors, à quoi ressemble concrètement une inclusion efficace et résiliente en cybersécurité ? Elle ressemble beaucoup à d'autres contrôles matures : stratégique, vérifiable et liée aux résultats opérationnels. 

Prise de décision basée sur les données 

Suivez les indicateurs qui comptent : 

  • Qui postule ? 
  • Qui est promu ? 
  • Qui part et pourquoi ? 

Utilisez ces données comme vous utilisez la détection des violations : pour faire apparaître des modèles qui nécessitent une enquête et une réponse. 

Leadership responsable 

L'inclusion doit faire partie des indicateurs clés de performance (KPI) du leadership, au même titre que le risque opérationnel ou la conformité réglementaire. Il ne s'agit pas d'une initiative facultative ; c'est une responsabilité de gouvernance. 

Changement structurel plutôt que symbolisme 

Les panels et le mentorat sont utiles, mais ils ne réparent pas les systèmes défaillants. L'inclusion implique de repenser les processus de recrutement, d'offrir des parcours professionnels flexibles et de garantir la sécurité psychologique à tous les postes. 

L'intersectionnalité en pratique 

Le genre n'est qu'un prisme. Une véritable inclusion implique d'examiner comment l'identité, l'origine, les capacités, la neurodivergence, le statut d'aidant, etc., se recoupent pour influencer les opportunités. L'objectif n'est pas la représentation pour l'apparence, mais l'équité des résultats. 

Pourquoi cela est plus important que jamais 

La cybersécurité n'a jamais été aussi cruciale. Face à la multiplication des attaques de rançongiciels, aux menaces générées par l'IA et à la complexité croissante des réglementations, comme NIS 2 et DORA, nous avons besoin de personnes capables de penser différemment, d'agir rapidement et de collaborer de manière interdisciplinaire. 

L'inclusion n'est pas une campagne sociale. C'est une stratégie de résilience. 

Si nous voulons bâtir des cultures de sécurité efficaces, où les employés signalent les incidents, respectent les politiques et se soucient de leur protection, nous avons besoin d'environnements inclusifs où chacun a envie de s'intégrer. Des environnements où les voix sont entendues, les contributions reconnues et où le leadership est diversifié en termes de pensée et d'expérience. 

Car voici la vérité : l’inclusion est une infrastructure. Sans elle, tout ce que nous construisons repose sur des fondations fragiles. 

Réparez le système, pas les gens 

Nous avons demandé aux femmes et à d'autres professionnels marginalisés de s'adapter à la cybersécurité, de s'intégrer à des systèmes qui n'avaient jamais été conçus pour eux. Cela n'a pas fonctionné. Les chiffres le prouvent. Les témoignages le confirment. Et le fossé des talents se creuse à cause de cela. 

Il est temps d'inverser la tendance. Les organisations doivent s'adapter aux talents qu'elles souhaitent fidéliser. Cela signifie : 

  • Intégrer l'inclusion à chaque étape du cycle de vie des employés 
  • Tenir les dirigeants responsables de résultats équitables 
  • Investir dans un véritable changement structurel, pas seulement dans des campagnes de sensibilisation 

Si l'inclusion ne fait pas partie de votre stratégie de gestion des risques, celle-ci est incomplète. Et dans un secteur où les menaces évoluent à chaque instant, ce n'est pas seulement une mauvaise image : c'est une mauvaise sécurité. 

Vous voulez en savoir plus ? 

  • Découvrez comment les clauses de la norme ISO 27001 6.3 ou 5.2 peut soutenir des pratiques inclusives dans votre SMSI. 
  • Découvrez les prochaines orientations sur la création d'équipes sécurisées et inclusives pour NIS 2 ou DORA conformité.