La crise a donné lieu à une hausse de l’usage du digital au sens large. Comment percevez-vous l’évolution des cyberattaques depuis le printemps 2020?
Jelena Zelenovic Matone. – «Les impacts des attaques perpétrées depuis le début de la crise ne sont pas juste financiers, techniques ou opérationnels. Nous faisons face à des attaques qui se sont d’une part multipliées et d’autre part diversifiées, en se concentrant par exemple sur les sites internet publics dédiés à la gestion de la crise. Ces attaques, qui sont également plus sophistiquées, n’ont pas de limite puisqu’elles touchent aussi des institutions et des organismes sensibles pour la société dans son ensemble, comme les hôpitaux.
On parle donc potentiellement d’impacts sur des vies humaines. Cette tendance va se poursuivre à l’avenir, avec la connectivité de plus en plus grande et l’internet des objets. Ce contexte implique la mise en place de coalitions public-privé et de collaborations sur les plans national et international pour aboutir rapidement à des actions concrètes afin d’agir sur ces risques qui peuvent, dans certains cas, devenir vitaux.
Quels seront les principaux risques «cyber» dans les prochains mois, et donc en 2022?
«Ils sont nombreux et certains sont déjà en cours. Je pense notamment à la poursuite et à l’évolution des ransomware; aux attaques encore plus sophistiquées sur des chaînes d’approvisionnement qui toucheront un ensemble de parties prenantes; aux challenges liés au télétravail, dont les risques encourus par les e-mails échangés au sein même d’une entreprise et aux devices personnels. Autant de défis qui illustrent le besoin de sensibilisation du grand public, et plus particulièrement de formation de base pour tous les employés d’une entreprise ou d’une organisation. Ils représentent potentiellement, grâce à des comportements adaptés, la première ligne de défense face aux attaques.
Vous évoquez aussi le manque de ressources comme l’un des enjeux-clés de vos métiers…
«C’est en effet d’ores et déjà un problème quotidien avec lequel nous devons composer. L’écart entre nos besoins et les ressources disponibles sur le marché de l’emploi ne fait que croître. Nous devons réfléchir à une solution d’ensemble que je baptiserais ‘Industry 5.0’: nouer des partenariats avec des universités pour introduire des notions de cybersécurité dès le début des cursus ainsi que dans les écoles supérieures.
La notion de ‘cyberassurance’ devrait aussi gagner en importance dans les entreprises à court et moyen terme.
Le travail dans la cybersécurité est perçu par les non-professionnels comme celui de la police qui tente de rattraper les voleurs ou de colmater une brèche, à l’image du plombier. Les changements induits par la crise vont-ils modifier cette perception?
«Nous sommes entrés dans un nouveau monde avec la crise du Covid-19, un monde dans lequel internet est, plus que jamais, la voie principale utilisée par les humains pour communiquer, dans le cadre privé ou professionnel. En tirant les leçons et les bonnes pratiques de la crise, nous devons veiller à maintenir à jour notre ‘cyberhygiène’, qui s’étend des opérations de monitoring de base jusqu’aux évolutions législatives et au partage des bonnes pratiques, en particulier avec l’usage croissant du télétravail.
La reprise et la continuité des activités d’une entreprise qui seraient mises à mal par une cyberattaque seront aussi des préoccupations et des enjeux auxquels il faut répondre sur le long terme. Sur ce dernier point, le Covid-19 a certainement joué un effet d’accélérateur sur les innovations en matière de cybersécurité. La notion de ‘cyberassurance’ devrait aussi gagner en importance dans les entreprises à court et moyen terme.
Vous êtes de plus en plus sur le devant de la scène en tant que figure de proue des professionnels de la cybersécurité. Êtes-vous à l’aise avec ce nouveau rôle?
«Je crois sincèrement qu’il est de notre devoir – et donc de mon devoir –, en tant que professionnels, de sensibiliser le grand public à notre secteur. Que nous aimions ou non être sous les feux de la rampe, nous le devons à l’ensemble de la société et aux générations à venir. Nous devons sensibiliser le grand public aux menaces actuelles et à venir qui pèsent et pèseront sur notre monde de plus en plus connecté, de plus en plus digitalisé.
Comme je le disais, nous manquons cruellement de ressources humaines dans nos métiers, c’est une autre bonne raison pour mettre la lumière sur la cybersécurité. Il me semble aussi primordial de défendre la diversité dans le secteur. Le fait d’avoir un enfant me pousse peut-être à réfléchir davantage aux générations suivantes, dans l’espoir qu’elles développeront une véritable culture de la cybersécurité.
Avec Women Cyber Force, comment voulez-vous convaincre davantage de femmes à s’intéresser au monde de la cybersécurité?
«Les femmes sont sous-représentées dans le secteur, et ce n’est rien de le dire. Notre association veut mener des actions au niveau européen pour promouvoir le sujet auprès de jeunes filles et de femmes qui veulent éventuellement réorienter leur carrière. Nous avons besoin non seulement d’une diversité des genres, mais aussi d’une diversité des profils. Parmi nos prochaines actions, nous ambitionnons d’intervenir dans des écoles secondaires pour présenter nos métiers. Nous voulons bien entendu aller plus loin en partageant notre expertise pour que les notions de cybersécurité soient abordées à l’école.
La cybersécurité a tellement évolué qu’elle couvre pléthore de compétences techniques et comportementales. Je crois vraiment que la nouvelle génération peut aussi faire la différence dans notre domaine grâce à sa vision, ses compétences et son expérience du monde.
Dans le même temps, nous allons développer tout un volet événementiel et de réseautage afin de permettre aux femmes actives dans le domaine de renforcer leurs connexions entre elles et de se former. Nous nous ouvrirons bien entendu à toutes celles et ceux qui sont intéressés par le sujet. En coulisses, nous ressentons d’ores et déjà un fort intérêt, ce qui nous incite à poursuivre le montage de nos actions.
Que recommanderiez-vous à une jeune fille pour entamer des études menant vers la cybersécurité?
«Je dirais déjà tout simplement que le manque de talents prévu d’ici aux cinq prochaines années par les CISO en place laisse présager de nombreux débouchés pour les jeunes qui arriveront sur le marché du travail. Les métiers de la cybersécurité apportent une découverte permanente à tous ceux qui sont curieux de découvrir de nouveaux horizons. Surtout, ils permettent de s’enrichir énormément sur le plan humain. J’ai eu la chance de rencontrer des managers inspirants et des collègues formidables tout au long de mon parcours.
Et je ne suis pas un cas isolé. Je conseillerais aux jeunes étudiantes qui veulent s’investir dans la cybersécurité de s’entourer d’un ou de plusieurs mentors pour découvrir un secteur qui n’est ni une ‘boîte noire’, ni un univers formé uniquement par des codeurs. La cybersécurité a tellement évolué qu’elle couvre pléthore de compétences techniques et comportementales. Je crois vraiment que la nouvelle génération peut aussi faire la différence dans notre domaine grâce à sa vision, ses compétences et son expérience du monde dont nous ne disposions pas à notre époque. Si vous croyez en vous-même, les possibilités sont infinies.
Pourquoi avez-vous décidé d’embrasser cette carrière?
«J’ai toujours aimé les mathématiques et les sciences, au grand dam de mes parents, qui voulaient que je fasse des études ‘plus concrètes’. Mais quoi de plus concret que les maths? En effectuant des études dans l’IT, j’ai suivi les pas de mon frère, de cinq ans mon aîné, qui était en quelque sorte mon role model. Ce cursus me permettait aussi de pratiquer les mathématiques. Je dois par ailleurs reconnaître que mes parents n’ont jamais fait de différence entre mon frère et moi et m’ont toujours soutenue dans mes choix. Les encouragements d’une famille sont cruciaux, peu importe le genre de l’enfant. J’ai eu aussi la chance de croiser les bonnes personnes au bon moment.
À mon arrivée en Europe, j’ai pu partager mon expérience avec mes collègues, ce qui m’a évidemment poussée à relever de nouveaux challenges. Je dois aussi noter que le soutien de mes supérieurs à la Banque européenne d’investissement s’est avéré essentiel depuis mon arrivée.
Quelle est votre philosophie dans la vie professionnelle… et dans la vie de tous les jours?
«Les succès et les échecs ne sont jamais loin les uns des autres, qu’il s’agisse de vie personnelle ou professionnelle. Je crois avant tout à l’importance de la prise de conscience de nos propres capacités et à la reconnaissance de nos propres forces pour mieux aborder les opportunités, mais aussi les menaces, qui se présentent à nous et transformer l’ensemble en succès.
On se pose parfois la question du «management au féminin». Le management est-il lié à une question de genre?
«Certaines études mettent en lumière le fait que les femmes managers auraient de meilleures compétences relationnelles et seraient plus impliquées auprès de leurs équipes que leurs équivalents masculins. Au-delà de ces aspects auxquels je crois, c’est la qualité d’une équipe qui peut vraiment faire la différence sur votre capacité à être un ‘bon’ leader. Or, l’élément déterminant pour la performance d’une équipe est la diversité des genres dans tous ses aspects, puisque cette même diversité élargit le champ des compétences, des influences et des réflexions pour aboutir aux résultats escomptés.
La clé de voûte est l’information. Notre équipe doit en effet s’assurer d’anticiper et de gérer les risques qui pourraient empêcher nos collègues d’utiliser et de tirer profit de l’information.
Être une femme entraîne-t-il une différence dans l’approche de la cybersécurité?
«Outre ce que je viens d’évoquer, les femmes sont probablement plus enclines à gérer des situations de crise ou des événements majeurs. Je crois que nous disposons d’une capacité à encaisser les coups tout en restant crédibles et intègres.
Comment votre style de management vous permet-il d’affronter des incidents critiques?
«Je dirais tout d’abord que je ne suis pas une adepte du micromanagement. Je fais plutôt confiance aux personnes que je recrute pour leurs compétences. Le manager doit, selon moi, partager une vision, emmener son équipe autour de celle-ci et se préoccuper d’éléments stratégiques comme la réglementation, les nouvelles menaces et, bien entendu, les projets qui permettront à l’équipe de grandir. Cette configuration permet que chacun soit à sa place dans le travail quotidien et sache répondre présent en cas d’incident critique.
On parle de compétences soft alors que vos métiers sont d’abord associés à des compétences techniques…
«En effet, les métiers IT, et de la cybersécurité en particulier, sont souvent associés à des considérations techniques. Or 50% des compétences dont nous avons besoin sont techniques, l’autre moitié concerne les relations interpersonnelles et des aspects du business. Notre rôle est en réalité très transversal. Nous avons donc besoin de faire preuve d’empathie pour comprendre les besoins de chacun en interne, tout en assurant des relations optimales avec des fonctions et métiers-clés comme les DPO (délégués à la protection des données, ndlr), la sécurité informatique, les CFO, le CEO et le senior management en général.
Nos recommandations et nos plans d’action peuvent parfois paraître rudes et nécessitent beaucoup de pédagogie dans certains cas, ce qui nous amène à communiquer considérablement pour expliquer les raisons de nos choix. Ma priorité quotidienne n’est pas purement technologique, même si elle fait partie de notre travail et, plus largement, de la transformation digitale de notre organisation. La clé de voûte est l’information. Notre équipe doit en effet s’assurer d’anticiper et de gérer les risques qui pourraient empêcher nos collègues d’utiliser et de tirer profit de l’information.
L’importance de la cybersécurité est-elle suffisamment prise en compte par la direction et les organes de gouvernance des entreprises et des institutions?
«Je pense que la prise de conscience est maintenant un fait. La cybersécurité est désormais en haut des agendas des dirigeants et des conseils d’administration. Elle est perçue parmi les principaux risques pour les entreprises. À l’inverse, pour ceux qui tarderaient ou seraient dubitatifs, je poserais cette question: quel serait le coût engendré par un manque d’investissement dans la cybersécurité? Ce coût serait bien plus élevé que celui consenti par un investissement planifié et maîtrisé dans les personnes et les outils.
Quels sont les bonnes pratiques et les pièges à éviter en matière de stratégie de cybersécurité?
«Parmi les bonnes pratiques, je dirais: avoir une stratégie soutenue par des sponsors et qui repose sur un budget réaliste; être prêt à faire face à l’imprévu; répartir le travail au sein de l’équipe tout en supervisant l’avancement de la stratégie; se concentrer sur ce que la stratégie peut apporter à l’organisation et… mettre son ego de côté. Parmi les pièges à éviter, je dirais: un manque de coordination entre collègues; éviter les plannings trop détaillés, lorsque cela est possible; éviter les actions redondantes avec d’autres et veiller à ne pas agir trop tard sur certains éléments.
Quel est le profil parfait pour un manager dans la cybersécurité?
«Le manager ‘parfait’ dans la cybersécurité est curieux, proactif, il a soif d’apprendre en permanence et dispose bien entendu d’une vaste expérience des systèmes IT et de la gestion des risques liés aux systèmes informatiques. La personne en question doit avoir plusieurs années d’expérience dans des entreprises ouvertes sur l’international et des structures hiérarchiques. Le tout avec des certifications, une orientation ‘business’ et ‘people’.
Le Luxembourg figure parmi les économies attractives pour les talents. Partagez-vous ce constat? Que faudrait-il faire pour assurer l’attraction de nouveaux talents?
«Mon expérience personnelle me permet de confirmer que le Luxembourg propose un environnement teinté par la diversité et l’inclusion. Je me sens ici comme à la maison. Nous disposons, en tant qu’experts de la cybersécurité, d’un environnement propice à l’innovation, au développement et au partage de bonnes pratiques soutenues, avec le soutien direct ou indirect du gouvernement.
Une attention pourrait toutefois être portée sur le coût de la vie, notamment sur le logement, pour s’assurer que les nouveaux diplômés en provenance de l’étranger puissent venir s’installer pleinement ici.
Cette atmosphère et l’écosystème d’acteurs en place rendent en effet le pays attractif pour les talents qui sont aussi attirés par la présence, au Luxembourg, d’entreprises et d’institutions importantes, actives tant au niveau local que sur le plan international. Une attention pourrait toutefois être portée sur le coût de la vie, notamment sur le logement, pour s’assurer que les nouveaux diplômés en provenance de l’étranger puissent venir s’installer pleinement ici. Car nous avons besoin de nouveaux talents, pas uniquement pour nos besoins opérationnels, mais aussi pour qu’ils nous inspirent avec leurs points de vue divers et neufs.
Dans 50 ans, vivrons-nous dans un brave new world ou dans un monde où les humains seront «augmentés» grâce à l’intelligence artificielle?
«Nous vivrons certainement dans un monde qui sera totalement différent de celui que nous connaissons actuellement! Un monde que nous pouvons difficilement imaginer aujourd’hui. Si vous pensez que Google a été fondé il y a à peine 23 ans, on peut s’imaginer que le travail de certaines entreprises actives dans l’intelligence artificielle rapprochera le monde de demain des vues futuristes que l’on pouvait voir dans les livres de prédictions édités dans les années 60. Je pense que l’impact de l’intelligence artificielle sera considérable dans les prochaines années dans le domaine du travail, dans la science… dans la vie en général! C’est pour toutes ces raisons et celles que j’ai évoquées dans l’entretien que je crois profondément que les professionnels de la cybersécurité ne sont qu’au début de leur chemin, qui sera encore jalonné de nombreuses nouvelles demandes.»
Cet article a été rédigé pour l’ parue le 25 novembre 2021.
Le contenu du magazine est produit en exclusivité pour le magazine, il est publié sur le site pour contribuer aux archives complètes de Paperjam.
Votre entreprise est membre du Paperjam Club? Vous pouvez demander un abonnement à votre nom. Dites-le-nous via