Stratégie cyber

Un plan réaliste pour attirer plus de femmes vers la cybersécurité

Dire que le domaine de la cybersécurité manque de diversité relève du lieu commun. Est-il possible de remédier à cette situation, et dans un futur proche si possible ?
8 min

L’écosystème ne ménage pas ses efforts pour attirer une plus grande diversité de profils : bourses, programmes de mentorat, évènements non-mixtes, ateliers de sensibilisation, formations, ONGs... Pourtant, si on en croit la proportion de femmes dans le milieu (estimée entre 20 et 25%), la tâche reste entière. La majorité des initiatives citées ci-dessus se focalise sur l’idée de la représentation : c'est parce qu’il n’existe pas assez d’exemples à suivre que les femmes ne se projettent pas dans la cybersécurité, ou se disent peut-être que le milieu n’est pas suffisamment accueillant même quand elles aspireraient à le rejoindre. 

L’impact positif de la représentation n’est plus à démontrer, mais il faut cependant reconnaître qu’il s’agit d’une bataille sur le long terme. Les pionnières d’aujourd’hui inspireront les enfants de demain, qui recevront leur diplôme le jour suivant. En d’autres termes, même en faisant tout ce qu’il faut dès maintenant, les premiers résultats se manifesteront d'ici vingt ans. Il s’agirait bien sûr d’un progrès substantiel que nous appelons de nos vœux, mais quelle réponse apporter à la pénurie de 4 millions de professionnels de la cybersécurité à laquelle nous faisons face aujourd’hui ? 

On pourra rétorquer, à raison, que les divers programmes susmentionnés produisent des résultats immédiats, par exemple en guidant les femmes qui se lancent dans une reconversion professionnelle, en portant la bonne parole dans les universités, etc. Nous avons demandé l’avis d’Ivan Kwiatkowski, Lead Threat Researcher chez HarfangLab, et d’après lui, ces initiatives (qu’il affirme soutenir pleinement) ne suffiront jamais à combler les besoins en recrutement du tissu industriel. Et s’il existait un moyen de résoudre le problème en cinq ans au lieu de vingt ? 

Le manque de femmes dans les filières scientifiques est notoire. Qu’en est-il de la cybersécurité ? 

Ivan Kwiatkowski : En guise de propos liminaire, il faut souligner qu’en tant qu’homme blanc, je suis on ne peut mieux placé pour m’exprimer sur le sujet de la diversité, alors c’est parti. Une bonne approche du problème, à mes yeux, est d’étudier les goulots d’étranglements du système éducatif censé produire ces professionnels de la cybersécurité. Partout dans le monde, le cursus scolaire à suivre pour rejoindre le domaine ressemble peu ou prou à ceci : 

Cybsersécurité - Filières d'études

La taille décroissante de chaque boîte représente le nombre de plus en plus réduit d’individus qu’elles contiennent 

En ce qui me concerne, je suis passé par un Bac S, puis ai subi davantage de cours de mathématiques et physique intensifs pour pouvoir recevoir une formation de développeur généraliste dans une école d’ingénieur, et enfin acquérir des compétences en cybersécurité à côté.
L’objectif à long terme (20 ans) du monde scientifique est de déplacer plus de femmes de la boîte 1 vers la boîte 2, tandis que les initiatives présentées plus haut visent à faciliter la transition entre les boîtes 3 et 4. Le problème de cette approche est hélas qu’à ce niveau de la chaîne, les physiciens, mathématiciens et informaticiens, se battent pour des miettes. Le gros du filtrage scolaire a déjà opéré et le nombre de femmes que nous pourrions guider vers la lumière – quand bien même nous les capterions intégralement – est trop limité pour répondre à notre besoin. Il s’agit d’un problème structurel, et le seul moyen de le solutionner est littéralement de s’affranchir du cadre.
 

Il est pourtant difficile d’imaginer transformer le système éducatif en profondeur. Quelles seraient les alternatives ? 

Ivan Kwiatkowski : Une chose que j’ai omis de préciser au sujet de mes études est que malgré ce cursus très centré sur les mathématiques (matière dans laquelle je me montrai au mieux médiocre), mes réelles aptitudes se trouvaient dans le domaine littéraire. Vous imaginez donc ma frustration lorsqu'il est apparu que j’avais appris les lois de la thermodynamique, ou comment calculer des intégrales pour rien. En quinze ans de carrière, je peux affirmer de manière quasi-catégorique que mon éducation scientifique n’a jamais trouvé d’application pratique. 

J’ai fini par avoir une épiphanie quelque peu contre-intuitive : l’informatique est une discipline linguistique. Voyez plutôt : on utilise des langages de programmation pour communiquer nos intentions à la machine. Mon activité quotidienne de rétro-ingénierie consiste à lire des instructions absconses afin d’en extraire des informations sémantiques – je mets quiconque au défi de me prouver qu’il ne s’agit pas du métier de traducteur le mieux payé de l’univers. (Je me sens infiniment plus proche de Jean-François Champollion que de Marie Curie.) Puis, effectuant le suivi de diverses campagnes de cyberattaques, j’endosse un rôle d’analyste et j'écris des rapports circonstanciés. Parfois, j’ai aussi le plaisir de monter sur scène et de présenter nos travaux grâce à des compétences de présentation pas vraiment apprises à l’école non plus. Enfin, quand j’écris du code C++, je sens dans ma chair que la partie de mon cerveau sollicitée est celle qui peut produire du français et non celle qui a jadis connu les tables de multiplication. 

J’admets volontiers que certains sous-domaines de l’informatique requièrent de solides bases scientifiques (recherche algorithmique fondamentale, travail sur les composants matériels et autres). Mais ils représentent une minorité, et après plusieurs années d’enseignement à l’université, je prétends qu’il serait plus aisé d’apprendre à des littéraires le fonctionnement du protocole DNS plutôt que l’art et la manière de rédiger des rapports à des scientifiques. S’ensuit mon humble proposition de cursus alternatif pour commencer une carrière en cybersécurité : 

Cybersécurité et études scientifiques


Les esprits scientifiques restent les bienvenus, bien sûr. Mais il existe ailleurs des filières débordantes de femmes : lettres modernes, langues appliquées,
etc. De manière intéressante, une experte en sciences politiques m’avait confié avoir assisté à un cours de Python obligatoire dans le cadre de son cursus. Supposant qu’il s’agissait de techno-prosélytisme éhonté, l’ensemble de la classe avait rejeté la matière. Mais elle admettait que si celle-ci avait été présentée sous l’angle d'une nouvelle compétence linguistique permettant à ses praticiens d’exprimer des idées dans la langue des robots (afin qu’ils se plient à notre bon vouloir), elle se serait montrée infiniment plus réceptive.
 

En définitive, quel coup de baguette magique permettrait de résoudre ce problème de gender gap que nous évoquions ? 

Ivan Kwiatkowski : Le monde de la cybersécurité est bien connu pour accueillir les profils les plus atypiques. Je peux citer un RSSI issu de Scences Po, une ex-boulangère devenue rétro-ingénieure, un chercheur de vulnérabilités avec un diplôme de musicologie.
Mon hypothèse est que ce n’est pas parce que nous sommes plus ouverts que nos confrères (même si c’est le cas), ou plus désespérés (ça aussi). Mais plutôt que le cursus standard pour rejoindre la cybersécurité échoue globalement à sélectionner les individus susceptibles d'exceller dans le domaine. Faute de mieux, les profils adaptés s’éparpillent mais parviennent quelques fois à nous retrouver. Quand on a de la chance.
 

Les filières littéraires constituent un énorme potentiel inexploité, et qui pourrait être développé en quelques années à peine. Il suffirait d’avoir le courage de révéler au monde que nous ne sommes pas vraiment des scientifiques, et que les autres pas-vraiment-scientifiques pourraient s’épanouir à nos côtés. Je crois que ces derniers ne demandent qu’à être convaincus. 

Outre la diversité de genre, cela permettrait d’accroître dans le même temps la diversité des parcours parmi les experts en cybersécurité. Il me semble que nous en avons tout autant besoin. 


Et tout comme nous devons nous débarrasser des idées reçues sur les études qui peuvent mener à une carrière dans la cybersécurité, nous devons aussi nous débarrasser d'un certain nombre d'idées reçues sur la cybersécurité elle-même. Lesquelles ?