Interracial business team discussing project

Comment les CISO abordent la diversité du personnel avec les initiatives Dei sous pression

Lucas Morel

Malgré un changement sismique dans les attitudes du gouvernement à la diversité, aux actions et aux politiques d’inclusion, de nombreux dirigeants de cybersécurité soutiennent qu’une main-d’œuvre diversifiée s’accompagne de nombreux avantages.

Pendant de nombreuses années, les organisations se sont beaucoup concentrées sur les programmes et politiques de diversité, d’équité et d’inclusion (DEI), considérant ces efforts comme la bonne chose à faire ainsi qu’une stratégie commerciale intelligente. Cela est particulièrement vrai dans la cybersécurité, où les menaces complexes nécessitent des solutions créatives et diverses.

Mais alors que l’administration Trump recule les programmes fédéraux de Dei et les opinions politiques changent, certains secteurs réduisent le soutien de la DEI. Cela a laissé de nombreuses organisations – et leurs chefs de file de la cybersécurité – se demandant comment maintenir les efforts DEI ou si elles devraient du tout équilibrer la conformité et constituer des équipes de sécurité diverses et efficaces.

Les conversations avec les CISO et d’autres experts en cybersécurité montrent que Dei est toujours considéré comme important, mais les entreprises l’abordent de différentes manières.

Comment Dei et la cybersécurité peuvent être complémentaires

La cybersécurité dépend de repérer les menaces tôt, de remarquer une activité inhabituelle et de réagir rapidement. Les anciennes méthodes de sécurité ne sont plus suffisantes, d’autant plus que les attaquants viennent d’horizons différents, ont divers objectifs et utilisent diverses tactiques.

Comme le dit Matthew Sharp, CISO chez Xactly Corp, la cybersécurité est intrinsèquement complexe et une équipe diversifiée apporte une richesse de perspectives qui entraîne une résolution innovante de problèmes.

«Les antécédents variés de notre équipe ont considérablement amélioré notre capacité à prévenir et à répondre aux menaces», dit-il. «Différents points de vue nous aident à reconnaître les modèles que les autres pourraient négliger – par exemple, des tactiques d’ingénierie sociale conçues pour exploiter des normes culturelles ou comportementales spécifiques.»

Si les organisations ne hiérarchirent pas Dei dans leur embauche de cybersécurité, elles pourraient manquer des menaces importantes, dit Sharp. Les équipes qui pensent toutes de la même façon sont plus susceptibles d’avoir des angles morts et peuvent ne pas reconnaître les nouvelles cyberattaques qui profitent des différences culturelles ou comportementales. Dans un environnement de menace en évolution rapide, ce manque de perspective peut ralentir les réponses et affaiblir la sécurité.

«Si Dei et les structures d’équipe équilibrées sont dépréciées, les organisations risquent la pensée de groupement, les silos opérationnels et la résilience diminuée», dit-il. «Une équipe diversifiée et bien équilibrée n’est pas une question de représentation – il est essentiel de conduire des stratégies de cybersécurité durables et adaptatives.»

La diversité du personnel peut aider à éviter la pensée homogène

De même, Sam McMahon, directeur principal de l’informatique et de la sécurité chez Valimail, souligne la nécessité de représenter différents horizons et mentalités.

«D’après mon expérience, même les petites équipes de sécurité bénéficient grandement de la variété des perspectives fournies avec des antécédents et des compétences différents», dit-il. «Nous savons que la majorité des incidents ont un élément humain. Avoir une équipe diversifiée signifie que nous avons une variété d’expériences et d’horizons qui évitent la pensée homogène.»

McMahon pense que l’inclusion est à la fois la bonne chose à faire et une stratégie intelligente car lorsque les gens se sentent valorisés, ils sont plus susceptibles de partager leurs idées et de parler, ce qui conduit à une meilleure sécurité et à la résolution de problèmes.

Cet avantage inférieur fait partie de ce qui inspire également Gutierrez, directeur des sciences de la plate-forme de talent et de gestion des talents, pour défendre Dei.

Gutierrez fait valoir qu’une équipe de sécurité diversifiée est mieux équipée pour identifier les vulnérabilités, penser comme les attaquants et innover plus rapidement qu’à homogène.

«Une idée fausse commune sur Dei est qu’elle est en conflit avec la méritocratie, comme si la priorisation de Dei sape l’excellence», dit-elle. «En réalité, Dei permet la méritocratie en veillant à ce que le talent soit reconnu et récompensé en fonction de la capacité, exempt de biais ou de barrières systémiques. Cela est particulièrement critique dans la cybersécurité, où diverses perspectives sont essentielles à la défense contre un paysage de menace en constante évolution.»

Pour Paolo Gaudiano, co-fondatrice d’Aleria, une entreprise technologique axée sur la mesure de l’inclusion, le lien entre DEI et la cybersécurité est limpide.

«Récemment, nous avons collaboré avec des femmes dans la cybersécurité pour déterminer si et comment l’inclusion peut également influencer le risque d’incidents de cybersécurité», dit-il. « L’idée est basée sur le fait qu’une grande majorité des incidents de cybersécurité résultent d’une erreur humaine, qui comprend dans certains cas une intention malveillante. Il semble raisonnable que les employés qui sont moins satisfaits soient plus susceptibles de faire des erreurs – ou de jouer contre leurs employeurs. »

Gaudiano affirme que la recherche montre qu’un niveau d’inclusion inférieur augmente les attaques de phishing, les tours de sécurité intérieure et même les menaces d’initiés malveillants.

Sands changeants: le climat politique et le soutien fédéral

Malgré ces avantages, le paysage politique plus large est devenu plus compliqué. Sous l’administration Trump, les discussions sur Dei sont devenues plus intenses et divisées.

Certaines personnes et groupes poussent plus fort pour les efforts DEI, croyant qu’ils sont importants pour rendre les lieux de travail et les institutions plus équitables. D’autres, cependant, repoussent les efforts de Dei, les appelant trop «politiquement corrects» ou disant qu’ils ont forcé certains points de vue sur la société.

En conséquence, la conversation autour de Dei est devenue plus polarisée, ce qui rend plus difficile pour les décideurs, les entreprises et les institutions de travailler ensemble sur les moyens d’améliorer l’inclusion.

«Les climats politiques peuvent changer, mais notre approche pour assembler les talents de cybersécurité de classe mondiale reste stable», explique Sharp. «Nous continuerons de nous concentrer sur l’embauche des meilleurs talents et la création d’un environnement où chaque membre de l’équipe peut exceller. Notre philosophie est simple: diverses équipes construisent de meilleures défenses, et notre mission de cybersécurité dépend d’un large éventail de perspectives à anticiper, identifier et atténuer les menaces évolutives.»

Attirer et conserver divers talents de cybersécurité dans le climat polarisé d’aujourd’hui nécessite un engagement envers les principes de Dei et les objectifs commerciaux de son entreprise, dit Sharp.

«Nous soulignons que la diversité n’est pas seulement une déclaration de valeur – c’est un avantage stratégique dans la lutte contre les cyber-menaces dynamiques», dit-il. «Une gamme de perspectives nous aide à anticiper les tactiques des attaques, à concevoir des systèmes résilients et à réagir efficacement lorsque des incidents se produisent.»

Une équipe diversifiée offre un avantage concurrentiel en offrant un éventail plus large de perspectives, qui est essentielle dans le paysage de cybersécurité en constante évolution, selon Sharp.

La diversité peut être un atout pour garder le paysage des menaces

«En fin de compte, une équipe de cybersécurité diversifiée et engagée n’est pas seulement la bonne chose à construire – il est essentiel de rester en avance dans un paysage de menace en évolution rapide», dit-il. «Aux camarades de cisos, je dirais: rester le cap. Le paysage adversaire est mondial, et notre point de vue devrait donc être également. Un engagement envers Dei améliore la résilience, favorise l’innovation et renforce finalement nos défenses contre les menaces qui ne connaissent aucune limite.»

Nate Lee, fondateur et CISO de Cloudsec.ai, dit que même si Dei n’est pas un avantage concurrentiel spécifique – bien qu’il pense que la diversité dans de nombreuses formes est – c’est la bonne chose à faire, et «l’armement comme l’administration est honteuse».

«Les gens veulent travailler là où ils sont appréciés en tant qu’individus, et non où la diversité est réduite à la coche des boîtes, mais où le leadership se soucie vraiment de favoriser un environnement inclusif», dit-il. «Le récit actuel essaie de peindre des efforts pour stimuler les gens comme erronés et nocifs, ce qui est pour moi un argument très malhonnête.»

Navigation de quarts de politique et de réponse de l’industrie

McMahon reconnaît l’impact potentiel sur les clients fédéraux qui peuvent s’aligner sur les nouvelles politiques mais insiste sur le fait que l’approche interne de son entreprise à Valimail reste inchangée.

«Bien que Valimail ne compose pas directement sur le financement fédéral, nous avons un produit autorisé par Fedramp, Valigov, et nous voyons l’impact sur nos clients fédéraux», dit-il. «Cela ne changera pas la stratégie des personnes et de la sécurité de Valimail. Le maintien d’une approche équitable, inclusive et d’abord des gens est un outil puissant pour construire une culture résiliente.»

La sécurité est un sport d’équipe dans n’importe quelle organisation, et c’est aussi un effort mondial – les infractions à une entreprise qui se frappent dans le monde et ont des impacts sur des millions de données personnelles, dit McMahon.

«La pression fédérale pour changer les tactiques et ne pas construire un effectif de sécurité avec une diversité d’expériences change le modèle de confiance dans un monde connecté», dit-il. «Nous comptons sur les fournisseurs pour avoir des postures de sécurité similaires aux nôtres afin de nous associer efficacement et de livrer en toute sécurité des produits à nos clients. Une grande partie de cette chaîne de confiance est le facteur humain, donc si certaines organisations choisissent d’inverser la direction, ils limitent leur compatibilité avec le marché mondial et affaiblissent leurs postures de sécurité dans le processus.»

Matthew Rosenquist, Virtual Ciso à Mercury Risk, n’est également pas découragé par les changements dans le soutien du gouvernement, affirmant que son message sur l’importance de Dei dans la cybersécurité n’a pas changé.

Même sans mandats officiels, Rosenquist soutient que la construction d’une main-d’œuvre plus diversifiée est une stratégie claire. «Si vous manquez de créativité de votre côté, vous ne serez pas très efficace pour comprendre votre adversaire», dit-il.

Les adversaires du cyber bénéficient d’une réflexion diversifiée

Rosenquist souligne que les femmes en cybersécurité sont passées d’une maigre représentation (environ 11%) il y a dix ans à une santé plus saine – bien que toujours limitée – 20% environ aujourd’hui.

«Suis-je un défenseur de la diversité et de l’inclusion? Heck, oui. Depuis près de 30 ans», dit-il. « Vous ne trouverez pas un avocat plus fort. Mais je suis également réaliste. Et je ne vais pas faire peur que nous ayons réellement des preuves pour soutenir cela. Donc, je pense qu’il y aura des impacts négatifs. Il peut y avoir des impacts positifs. Je ne suis pas assez intelligent pour savoir, pour regarder dans la boule de cristal. Et je détesterais les craintes de fan si ce n’est pas réaliste. »

Son message à d’autres cisos: «Les effectifs diversifiés vous rendent plus fort et que vous êtes un imbécile si vous n’établiez pas (n’établiez pas) une main-d’œuvre diversifiée en cybersécurité. Vous êtes désavantagé par vos adversaires qui bénéficient d’une pensée, de la créativité et des motivations diverses.»

Monica Landen, CISO chez Diligent, dit qu’elle ne s’est jamais appuyée sur des influences externes ou un soutien fédéral pour hiérarchiser Dei avec ses équipes de cybersécurité.

«J’ai toujours cru avoir des perspectives diverses est essentielle pour éviter la pensée de groupe», dit-elle. «Dans la cybersécurité, il est crucial que les personnes issues d’une grande variété de horizons (carrières, sexe, groupes sous-représentés, éducation, etc.) soient représentés comme leurs perspectives uniques apportent de nouvelles idées, des hypothèses de défi et aideront à résoudre des problèmes de travail.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?