Femme de la Tech — Interview de La Steminista, ingénieure cybersécurité et dév Python Django
#1— C’est quoi Steminista ? Qui se cache derrière ? Pourquoi avoir lancé un blog et un compte Instagram ?
La Steminista, c’est simplement la fusion des termes « steminist » et « pythonista ». Deux adjectifs qui me décrivent assez bien en tant qu’ingénieure informatique.
Pythonista, parce que, depuis quelques années déjà, j’utilise principalement Python dans mon travail et mes projets perso.
Et Steminist, parce que je suis convaincu que la contribution des femmes est primordiale dans les sciences dures ou les disciplines dites STEM (Sciences, Technologies, Engineering, Maths).
En tant qu’ingénieure, j’ai eu l’occasion de collaborer sur des projets dans différents métiers et il est vrai que les femmes sont sous-représentées dans le milieu de la tech. Je pense que c’est un vrai gâchis et c’est l’une des principales raisons qui m’ont motivée à lancer mon blog.
Par ailleurs, la documentation et les contenus de formation sont principalement en anglais. Je me disais qu’un blog en français ne ferait pas de mal pour les francophones pour qui l’anglais pouvait être une barrière dans leur processus d’apprentissage. En bref, le blog et le compte instagram sont une façon comme une autre de transmettre, mais aussi d’apprendre de la communauté d’informaticiens présente sur les réseaux.
#2—Tu es ingénieure en cyber avec une spécialisation Python. Quel a été ton parcours ?
J’ai appris les fondamentaux et les bases de l’informatique en école d’ingénieurs. C’était une formation assez vaste et généraliste mais tout à fait bénéfique.
En travaillant, je me suis retrouvée dans des projets qui ont nécessité de mettre en place des solutions pour répondre à des besoins divers. Il fallait avoir plusieurs casquettes et c’est comme ça que je me suis tournée vers Python.
Je pouvais faire de l’automatisation pour les tâches quotidiennes, mettre en place des solutions web avec Django notamment (un Framework puissant basé sur Python) et je profitais des nombreuses librairies qu'offrait Python pour réaliser entre autres des statistiques et de la visualisation de données. Pour faire court, il fallait être polyvalent, rapide et efficace, et Python était un peu mon couteau-suisse.
Après quelques années, j’ai décidé de me spécialiser. Je me suis alors orientée en sécurité informatique. La formation que j’ai suivie a consolidé mes acquis d’informaticienne généraliste, dans le domaine de la sécurité des systèmes d’information. J’y ai appris à concevoir des systèmes et des solutions robustes et sécurisés, en prenant en compte les aspects techniques, organisationnels et juridiques.
#3—Qu’est-ce qui t’a attiré vers cette profession ?
Les premiers cours d’algorithmique ont été un tournant. J’ai adoré résoudre des problèmes concrets en utilisant des logiques de programmation. Et c’est comme ça que je me suis orientée vers les sciences informatiques.
J’ai eu l’occasion de faire des stages dans différents secteurs et c’est l’une des choses que j’aime le plus en informatique. On apprend continuellement en collaborant avec différents corps de métiers. Ces expériences professionnelles m’ont conforté dans l’idée que c’était ce que je voulais faire.
#4—Qu’est-ce que tu fais concrètement ? À quel moment fait-on appel à toi ?
En tant qu’ingénieure en cybersécurité, cela veut dire que je contribue à la sécurisation et la protection des systèmes d’informations contre les incidents et les attaques malveillantes.
Je travaille actuellement au sein d’une équipe chargée de la conception et de la sécurisation des systèmes d’information.
Il est aussi important de sensibiliser les utilisateurs de façon continue, pour qu’ils apprennent à avoir les bons réflexes face aux dangers qui peuvent menacer l’entreprise.
Mon boulot est de protéger les données et le patrimoine informationnel de l’organisation. Pour cela, il faut réfléchir à une stratégie et la mettre en place à l’aide des moyens techniques et organisationnels mis à notre disposition.
Pour faire simple, construire une stratégie sécurité revient à analyser les risques auxquels l’entreprise est exposée, pour ensuite définir et implémenter des politiques de sécurité.
Il est aussi important de sensibiliser les utilisateurs de façon continue, pour qu’ils apprennent à avoir les bons réflexes face aux dangers qui peuvent menacer l’entreprise.
#5—La sécurité est un sujet qui devient de plus en plus central dans l’actualité informatique, mais reste pourtant assez impopulaire en France, pourquoi selon toi ?
A mon avis, il y a plusieurs facteurs.
- Notre imaginaire ou l’idée qu’on se fait de la sécurité informatique : Dès qu’on parle de cybersécurité, on pense à un jeune homme en hoodie mi-fou mi-génie, planqué dans une salle sombre prêt à répandre le chaos.
- L’apparente complexité du sujet : La sécurité est liée à l’insécurité que l’on ressent face à un sujet vaste qui paraît de prime abord trop compliqué à appréhender. Et ce n’est pas la faute de monsieur et madame tout le monde. Les experts en cybersécurité s’adressent principalement à leur communauté. Pour beaucoup, c’est un univers qui semble réservé à des initiés qui parlent leur propre langage.
- Le sentiment de ne pas être responsable : On se dit que la sécurité est l’affaire exclusive du constructeur du produit ou du fournisseur de service.
- La tendance à sacrifier la sécurité au profit d’une expérience utilisateur plus fluide et plus rapide.
Beaucoup d’entreprises ne mesurent pas l’importance de ces « peut-être » et ne veulent pas investir en fonction de ces prédictions. C’est humain mais ça peut coûter cher. On constate parfois que, tant qu’elle n’a pas été attaquée, une entreprise ne mettra pas tous les moyens pour se protéger.
#5—On constate une importante recrudescence de pannes et de cyberattaques à travers le monde, avec des impacts importants, comment se fait-il que les entreprises soient aussi vulnérables ?
Tout d’abord, la sécurité est un investissement basé sur des prédictions. En d’autres termes, on construit une stratégie de sécurité sur des scénarios décrivant la probabilité que la société soit « un jour », « peut-être » attaquée.
Beaucoup d’entreprises ne mesurent pas l’importance de ces « peut-être » et ne veulent pas investir en fonction de ces prédictions. C’est humain mais ça peut coûter cher. On constate parfois que, tant qu’elle n’a pas été attaquée, une entreprise ne mettra pas tous les moyens pour se protéger.
Mais fort heureusement, les choses changent avec les lois et les nouvelles réglementations en vigueur qui font en sorte que les entreprises prennent la question plus au sérieux.
Par ailleurs, on sait que le facteur humain est la principale source des incidents cybers. La sensibilisation et la formation des collaborateurs, à tous les niveaux, est centrale et ne doit pas être prise à la légère.
On pense aussi que la sécurité est une action ponctuelle, alors que c’est un processus en permanente évolution. Les risques doivent être réévalués, les réponses aux menaces et les politiques doivent être constamment mises à jour.
Enfin, le risque zéro n’existe pas. Les experts sécurité veillent principalement à réduire les risques d’incidents autant que possible et c’est un processus continuel. En d’autres termes, c’est une guerre perpétuelle entre les experts chargés de protéger l’entreprise et les hackers malveillants.
#6—Selon toi, qu’est-ce qu’il faudrait mettre en place pour mieux sensibiliser à la sécurité ?
L’humain est au centre de toute stratégie de sécurité. L’objectif de la sensibilisation à la sécurité est d’instaurer une culture de la cybersécurité. Il est important de mettre en place des formations et des techniques de sensibilisation à la cybersécurité efficaces en entreprise. Il faudrait par exemple :
- Produire une charte informatique de qualité, qui fixe les droits et les devoirs de chacun, est indispensable. Celle-ci doit être claire et facile à comprendre pour les profils non-techniques.
2. Sensibiliser tout le personnel en continu. Les technologies et les techniques d’attaques évoluent rapidement et les collaborateurs doivent être au fait des différents types de risques qui peuvent menacer l’entreprise.
3. Améliorer les modes de communication et vulgariser les concepts techniques au maximum. Les utilisateurs ont besoin de les connaître, pour mieux se protéger, et protéger leurs données. Il faut expliquer aux utilisateurs qu’ils peuvent choisir entre être le problème ou la solution.
4. Rendre la formation ludique et interactive. Au-delà des présentations classiques, on peut se montrer créatif, impliquer les utilisateurs et mettre en place des exercices de simulation ou des ateliers incluant des jeux, des mises en situation et des quizz, et s’assurer que les informations ont été correctement assimilées.
5. Être bienveillant en tant que formateur :
- Eviter le sarcasme ;
- Savoir adapter son discours en fonction du profil et du niveau de responsabilité de chacun ;
- Se montrer ouvert et disponible et instaurer un climat de confiance pour que les collaborateurs posent toutes leurs questions.
#7—Qu’est-ce qui selon toi fait un-e bon-ne ingénieur-e ?
Pour moi, les qualités principales d’un-e bon-ne ingénieur-e sont la curiosité, la créativité, l’envie d’apprendre et la capacité de s’adapter. Un-e ingénieur-e est une personne qui aime relever des défis et résoudre des problèmes. Iel est capable d’avoir une vision claire de ce qu’il veut faire et de comment y parvenir.
C’est aussi quelqu’un qui peut collaborer et travailler en équipe. Concernant les ingénieur-e-s spécialisé-e-s en cybersécurité, avoir un sens moral sans faille est capital, en particulier chez les hackeurs éthiques ou les pentesters.
#8—Qu’est-ce qui est un bon environnement de travail pour toi ?
Selon moi, un environnement de travail sain, c’est avant tout de la flexibilité et de l’agilité pour les employés en leur donnant plus de liberté concernant leur façon d’organiser leur travail. C’est aussi pouvoir communiquer facilement autant entre collaborateurs qu’avec la hiérarchie.
#9—Quels conseils donnerais-tu aux recruteurs et aux entreprises pour mieux recruter/engager des profils techniques ?
J’aurais deux conseils :
- Donnez leurs chances aux passionnés, même s’ils n’ont pas le nombre « parfois irréel » d’années d’expérience requises.
- N’oubliez pas les softs skills. Évidemment avoir des capacités techniques est important, mais une bonne recrue est une personne capable de se former, de s’adapter à de nouvelles technologies, de communiquer et de collaborer au sein d’une équipe.
#10—Quelque chose à rajouter ?
L’informatique n’est pas réservée exclusivement à des élus cracks en mathématiques. L’informatique offre un éventail de possibilités et d’opportunités quasi-infini. On peut apprendre un langage de programmation, écrire des programmes, coder des applications avec un niveau basique en maths. Si ça vous intéresse, lancez-vous ! Les ressources pour apprendre sont illimitées, il suffit de le vouloir.
Pour suivre La Steminista
Le blog : https://lasteminista.com/
Le compte Instagram : https://www.instagram.com/lasteminista/