Republication du 06 août 2020 d’un article de The Conversation France 

L'expansion mondiale du numérique a entraîné l'augmentation des vulnérabilités et la diversification des menaces. Cela s'est d'autant plus vérifié lors de la crise de la Covid-19. Durant cette période inédite, 70 % des travailleurs se sont retrouvés en télétravail. Les serveurs Internet ont d'autant plus été exposés afin d'assurer la continuité du service, et cela, les hackers l'ont bien compris ! Le nombre d’attaques s'est envolé, passant de moins de 5 000 par semaine en février à plus de 200 000 par semaine fin avril 2020.

Alors qu'historiquement les hackers étaient principalement des script kiddies (pirates informatiques débutants), on constate plus récemment une évolution et une diversification des profils d’attaquants : pirates, hacktivistes, cybermercenaires avec des motivations différentes.

0 % de chômage

Face à ces menaces plus nombreuses et sophistiquées, les entreprises deviennent conscientes des enjeux de la cybersécurité. D'après le baromètre des risques 2020 d'Allianz, les entreprises classent le risque cyber en première position, et ce pour la première fois. Il y a 7 ans, ce risque était à la 15e position. Pour se protéger, elles se dotent donc de plus en plus d’experts en sécurité.

Aujourd’hui, plus de 4,5 millions de professionnels de cybersécurité sont répartis sur la totalité du globe, soit le double d'il y a 10 ans. D'ailleurs, le taux de chômage dans le secteur était de 0 % l'année dernière, taux qui n'a pas changé depuis 2011. Malgré la pleine expansion du secteur et une rémunération attirante (autour de 116 000 dollars par an), le manque de candidatures globales est alarmant. À l’échelle mondiale, 4,07 millions d’emplois sont vacants et seulement 20 % sont pourvus en France.

Ce manque est d'autant plus prononcé lorsqu'il s’agit de la gent féminine. En effet, 78 % des jeunes femmes ne considèrent pas de carrière dans la cybersécurité. En France, seulement 5 % des experts cyber sont des femmes, comparé à 53 % tous secteurs confondus. La sous-représentation féminine en cyber recèle des enjeux éthiques pour les pratiques des ressources humaines, mais également des répercussions économiques conséquentes sur les finances des entreprises et sociales liées à la motivation au travail.

Quels sont les facteurs sous-jacents à cette sous-représentation alarmante ? En collaboration avec Clarisse Ferreira Paulino, consultante cyber chez Deloitte étant intervenue dans le cadre de l’initiative Women In Cyber, plusieurs témoignages d'experts ont été recueillis et ont permis d'identifier un ensemble de facteurs interdépendants.

Stéréotypes

Le premier facteur concerne le manque d'incitation des femmes à intégrer une formation académique en cybersécurité. En effet, "durant les cursus, il est rare de sensibiliser les étudiants aux métiers du secteur à travers des modèles féminins à qui les jeunes femmes peuvent s’identifier" . De plus, plusieurs écoles et universités stéréotypent inconsciemment les capacités en matière de cybersécurité, comme témoigne une interviewée :

"Les femmes se voient offrir plus de places dans des domaines moins techniques. Les universités devraient annoncer toutes les possibilités, et laisser les étudiantes décider lesquelles elles préfèrent et soutenir leur évolution".

Par ailleurs, la sensibilisation aux métiers de la cybersécurité devrait prendre une ampleur sociale au-delà du cercle scolaire. En effet, 40 % des femmes se tournent vers leurs parents pour obtenir des conseils en matière d’orientation professionnelle.

Ces orientations faussées sont incitées par un autre facteur associé aux stéréotypes de la cybersécurité. Avant d’intégrer ce secteur, la majorité des praticiens associaient le cyberattaquant à "un jeune homme en sweat à capuche cloîtré dans sa chambre en train de s’amuser à pirater une multinationale". Beaucoup percevaient aussi le cyber comme un milieu "très technique et purement IT (technologies de l’information). J'ai toujours pensé qu'il fallait être un geek pour réussir dans ce domaine".

Toutefois, durant leur évolution dans ce domaine, ils se sont rendu compte de la diversité des profils :

"J’ai déjà pu échanger avec une personne qui fait du droit, une autre qui fait des tests d’intrusion, etc. Cette diversité de profils me plaît énormément. Elle est d’ailleurs propre à la cybersécurité qui est très complexe".

Un autre facteur se manifeste à travers le manque de confiance dans les compétences des femmes en matière de cybersécurité dont témoigne une experte :

"Je me suis retrouvée plusieurs fois dans des situations où mes interlocuteurs décident de m'expliquer des concepts techniques simples juste parce que je suis une femme. J'ai aussi constaté que certaines formations techniques sont naturellement proposées aux collaborateurs et non aux collaboratrices".

Ces orientations forcées touchent également l'accès aux postes ouverts, comme l'explique une autre femme interrogée :

"J'ai été poussée vers des sujets de gouvernance/PMO malgré mon background technique. Je n’ai pas eu l'opportunité de prouver ce que je savais faire techniquement qu’au bout d’un an d’expérience".

Une autre pratique discriminatoire est le rabaissement, parfois involontaire, des femmes :

"J'ai déjà été témoin lors de réunions de mansplaining où des hommes interrompent des femmes pour reformuler de manière condescendante ce qu'elles viennent de dire. On pourrait penser que ce n’est pas forcément sexiste ou que la personne fait ça avec tout le monde, mais j’ai vraiment eu le sentiment que c’était lié au sexe des personnes".

Ces pratiques sont fortement corrélées à la prédominance masculine dans le secteur. En effet, beaucoup s'accordent sur le fait que cette supériorité numérique puisse décourager certaines femmes :

"Je comprends complètement que les femmes ne soient pas attirées par ce domaine d'activité car elles peuvent l'assimiler à un secteur réservé aux hommes".

La prédominance des hommes est également perçue comme frein à l'évolution des carrières des femmes, bien que la grande majorité n'ait jamais constaté de différence de salaire entre une collaboratrice et un collaborateur :

"Supposons que demain il y ait un poste ouvert pour un responsable de la sécurité des systèmes d’information. À qui allons-nous penser ? Nous avons malheureusement des préjugés ancrés dans notre inconscient collectif qui nous pousseront à croire que l'homme est symbole d’assurance, de sécurité et d'expérience ".

Ce rejet des femmes est une conséquence normale de la prédominance masculine dans le secteur. En effet, ce que l'homme ne connaît pas, il le rejette et souhaite limiter son expansion. C'est une attitude courante dans les liens humains depuis la préhistoire (les albinos, les roux, Galilée, etc.).

Pirater les idées préconçues

Ainsi, de peur d’être mises à l’écart, certaines femmes refusent d'elles-mêmes d'intégrer le domaine de la cybersécurité. Le fait que les femmes se sous-estiment reste un facteur très récurrent dans ce secteur :

"Les femmes anticipent des difficultés qui ne sont pas toujours fondées. Certaines jeunes femmes, qui n’ont pas assez confiance en leurs compétences dans le domaine, se retirent volontairement de la cybersécurité. D’ailleurs, contrairement aux hommes, les femmes sont moins nombreuses à estimer qu’elles peuvent s'autopromouvoir et saisir les opportunités d’évolutions dans leurs carrières. Je fais partie de l'équipe de recrutement et je remarque que pour une offre publiée, nous recevons des réponses de candidats même s’ils ne répondent pas à 100 % des compétences énoncées dans l’offre. Les candidates sont plus réservées lorsqu’il s'agit d’offres plus explicites".

L’ensemble des facteurs élicités permettrait de mieux guider le perfectionnement des méthodes managériales au niveau des personnes, des écoles, des entreprises et des gouvernements afin d’améliorer la situation des femmes en cybersécurité. Il est grand temps de pirater les idées préconçues…

Lamiae Benhayoun, Professeure Associée à l'Institut Mines Telecom Business School (IMT BS), Institut Mines-Télécom Business School. Clarisse Ferreira Paulino, consultante cyber chez Deloitte, a co-rédigé cet article.