Le blog de la Cybersécurité

by OpenSphere.

Revenir au blog

L’alarmante sous-représentation des femmes dans les métiers de la cybersécurité

L’expansion mondiale du numérique a entraîné l’augmentation des vulnérabilités et la diversification des menaces. Cela s’est d’autant plus vérifié lors de la crise de la Covid-19. Durant cette période inédite, 70 % des travailleurs se sont retrouvés en télétravail.

Les serveurs Internet ont d’autant plus été exposés afin d’assurer la continuité du service, et cela, les hackers l’ont bien compris ! Le nombre d’attaques s’est envolé, passant de moins de 5 000 par semaine en février à plus de 200 000 par semaine fin avril 2020.

Alors qu’historiquement les hackers étaient principalement des script kiddies (pirates informatiques débutants), on constate plus récemment une évolution et une diversification des profils d’attaquants : pirates, hacktivistes, cybermercenaires avec des motivations différentes.

0 % de chômage

Face à ces menaces plus nombreuses et sophistiquées, les entreprises deviennent conscientes des enjeux de la cybersécurité. D’après le baromètre des risques 2020 d’Allianz, les entreprises classent le risque cyber en première position, et ce pour la première fois. Il y a 7 ans, ce risque était à la 15e position. Pour se protéger, elles se dotent donc de plus en plus d’experts en sécurité.

Aujourd’hui, plus de 4,5 millions de professionnels de cybersécurité sont répartis sur la totalité du globe, soit le double d’il y a 10 ans. D’ailleurs, le taux de chômage dans le secteur était de 0 % l’année dernière, taux qui n’a pas changé depuis 2011. Malgré la pleine expansion du secteur et une rémunération attirante (autour de 116 000 dollars par an), le manque de candidatures globales est alarmant. À l’échelle mondiale, 4,07 millions d’emplois sont vacants et seulement 20 % sont pourvus en France.

Ce manque est d’autant plus prononcé lorsqu’il s’agit de la gent féminine. En effet, 78 % des jeunes femmes ne considèrent pas de carrière dans la cybersécurité. En France, seulement 5 % des experts cyber sont des femmes, comparé à 53 % tous secteurs confondus. La sous-représentation féminine en cyber recèle des enjeux éthiques pour les pratiques des ressources humaines, mais également des répercussions économiques conséquentes sur les finances des entreprises et sociales liées à la motivation au travail.

Quels sont les facteurs sous-jacents à cette sous-représentation alarmante ? En collaboration avec Clarisse Ferreira Paulino, consultante cyber chez Deloitte étant intervenue dans le cadre de l’initiative Women In Cyber, plusieurs témoignages d’experts ont été recueillis et ont permis d’identifier un ensemble de facteurs interdépendants.

Stéréotypes

Le premier facteur concerne le manque d’incitation des femmes à intégrer une formation académique en cybersécurité. En effet, « durant les cursus, il est rare de sensibiliser les étudiants aux métiers du secteur à travers des modèles féminins à qui les jeunes femmes peuvent s’identifier ». De plus, plusieurs écoles et universités stéréotypent inconsciemment les capacités en matière de cybersécurité, comme témoigne une interviewée :

« les femmes se voient offrir plus de places dans des domaines moins techniques. Les universités devraient annoncer toutes les possibilités, et laisser les étudiantes décider lesquelles elles préfèrent et soutenir leur évolution ».

Par ailleurs, la sensibilisation aux métiers de la cybersécurité devrait prendre une ampleur sociale au-delà du cercle scolaire. En effet, 40 % des femmes se tournent vers leurs parents pour obtenir des conseils en matière d’orientation professionnelle.

Ces orientations faussées sont incitées par un autre facteur associé aux stéréotypes de la cybersécurité. Avant d’intégrer ce secteur, la majorité des praticiens associaient le cyberattaquant à « un jeune homme en sweat à capuche cloîtré dans sa chambre en train de s’amuser à pirater une multinationale ». Beaucoup percevaient aussi le cyber comme un milieu « très technique et purement IT (technologies de l’information). J’ai toujours pensé qu’il fallait être un geek pour réussir dans ce domaine ».

Toutefois, durant leur évolution dans ce domaine, ils se sont rendu compte de la diversité des profils :

« J’ai déjà pu échanger avec une personne qui fait du droit, une autre qui fait des tests d’intrusion, etc. Cette diversité de profils me plaît énormément. Elle est d’ailleurs propre à la cybersécurité qui est très complexe ».

Un autre facteur se manifeste à travers le manque de confiance dans les compétences des femmes en matière de cybersécuritédont témoigne une experte :

« Je me suis retrouvée plusieurs fois dans des situations où mes interlocuteurs décident de m’expliquer des concepts techniques simples juste parce que je suis une femme. J’ai aussi constaté que certaines formations techniques sont naturellement proposées aux collaborateurs et non aux collaboratrices ».

Ces orientations forcées touchent également l’accès aux postes ouverts, comme l’explique une autre femme interrogée :

« J’ai été poussée vers des sujets de gouvernance/PMO malgré mon background technique. Je n’ai pas eu l’opportunité de prouver ce que je savais faire techniquement qu’au bout d’un an d’expérience ».

Une autre pratique discriminatoire est le rabaissement, parfois involontaire, des femmes :

« J’ai déjà été témoin lors de réunions de mansplaining où des hommes interrompent des femmes pour reformuler de manière condescendante ce qu’elles viennent de dire. On pourrait penser que ce n’est pas forcément sexiste ou que la personne fait ça avec tout le monde, mais j’ai vraiment eu le sentiment que c’était lié au sexe des personnes ».

Ces pratiques sont fortement corrélées à la prédominance masculine dans le secteur. En effet, beaucoup s’accordent sur le fait que cette supériorité numérique puisse décourager certaines femmes :

« Je comprends complètement que les femmes ne soient pas attirées par ce domaine d’activité car elles peuvent l’assimiler à un secteur réservé aux hommes ».

La prédominance des hommes est également perçue comme frein à l’évolution des carrières des femmes, bien que la grande majorité n’ait jamais constaté de différence de salaire entre une collaboratrice et un collaborateur :

« Supposons que demain il y ait un poste ouvert pour un responsable de la sécurité des systèmes d’information. À qui allons-nous penser ? Nous avons malheureusement des préjugés ancrés dans notre inconscient collectif qui nous pousseront à croire que l’homme est symbole d’assurance, de sécurité et d’expérience ».

Ce rejet des femmes est une conséquence normale de la prédominance masculine dans le secteur. En effet, ce que l’homme ne connaît pas, il le rejette et souhaite limiter son expansion. C’est une attitude courante dans les liens humains depuis la préhistoire (les albinos, les roux, Galilée, etc.).

Pirater les idées préconçues

Ainsi, de peur d’être mises à l’écart, certaines femmes refusent d’elles-mêmes d’intégrer le domaine de la cybersécurité. Le fait que les femmes se sous-estiment reste un facteur très récurrent dans ce secteur :

« Les femmes anticipent des difficultés qui ne sont pas toujours fondées. Certaines jeunes femmes, qui n’ont pas assez confiance en leurs compétences dans le domaine, se retirent volontairement de la cybersécurité. D’ailleurs, contrairement aux hommes, les femmes sont moins nombreuses à estimer qu’elles peuvent s’autopromouvoir et saisir les opportunités d’évolutions dans leurs carrières. Je fais partie de l’équipe de recrutement et je remarque que pour une offre publiée, nous recevons des réponses de candidats même s’ils ne répondent pas à 100 % des compétences énoncées dans l’offre. Les candidates sont plus réservées lorsqu’il s’agit d’offres plus explicites ».

L’ensemble des facteurs élicités permettrait de mieux guider le perfectionnement des méthodes managériales au niveau des personnes, des écoles, des entreprises et des gouvernements afin d’améliorer la situation des femmes en cybersécurité. Il est grand temps de pirater les idées préconçues…

Clarisse Ferreira Paulino, consultante cyber chez Deloitte, a co-rédigé cet article.

Source : TheConversation.com

Sur le même thème

Zerologon : Microsoft signale des attaques

Sécurité : Microsoft annonce avoir détecté des attaques exploitant la faille Zerologon. Plusieurs exploits ont été publiés en ligne au cours des derniers jours. Le patch corrigeant cette importante vulnérabilité dans NetLogon est disponible depuis le mois d'août. Des pirates informatiques exploitent activement la vulnérabilité de Zerologon dans des attaques réelles, annonçait ce matin l'équipe de renseignement sur la sécurité de Microsoft. « Microsoft suit activement les activités d'acteurs malveillants utilisant des exploits pour la vulnérabilité EoP CVE-2020-1472 Netlogon, surnommée "Zerologon". Nous avons observé des attaques où des exploits publics ont été incorporés dans les outils des attaquants », a écrit la société dans une série de tweets. Selon les experts de l'industrie de la sécurité, ces attaques étaient attendues. Une vulnérabilité facilement exploitable Plusieurs versions de l'exploit de cette vulnérabilité ont été publiées en ligne sous une forme librement téléchargeable depuis que des détails sur la vulnérabilité de Zerologon ont été révélés le 14 septembre par la société de sécurité néerlandaise Secura BV. Le premier exploit a été publié quelques heures après la publication du post, confirmant l'analyse de Secura selon laquelle le bug Zerologon est facile à exploiter, même par des acteurs peu qualifiés. Le CERT-FR signalait la semaine dernière que des exploits étaient déjà publiquement disponibles, et a remis à jour son bulletin d'information sur Zerologon lundi pour y ajouter des informations d'aide à la détection. Une explication plus approfondie du bug Zerologon est disponible dans notre couverture initiale de la vulnérabilité. Le bug Zerologon est une vulnérabilité de Netlogon, le protocole utilisé par les systèmes Windows pour s'authentifier sur un serveur Windows fonctionnant comme contrôleur de domaine. L'exploitation du bug Zerologon peut permettre à des pirates de prendre le contrôle du contrôleur de domaine et, par essence, du réseau interne d'une organisation. Mises à jour nécessaires Zerologon a été décrit par beaucoup comme la plus dangereuse des failles de sécurité révélées cette année. Au cours du week-end, le DHS a donné trois jours aux agences fédérales pour corriger le bug sur les contrôleurs de domaine, ou les déconnecter des réseaux fédéraux. Dans une alerte publiée lundi, la CISA explique que le bug Zerologon affecte également le logiciel de partage de fichiers Samba, qui doit aussi être mis à jour. Le CERT-FR a également publié un bulletin d'information concernant l'impact de Zerologon sur Samba : l'utilisation de cette vulnérabilité permet ici une élévation de privilèges lorsque le serveur Samba est utilisé comme contrôleur de domaine. Bien que Microsoft n'ait pas donné de détails sur les attaques, il a publié des hashs de fichiers pour les exploits utilisés dans les attaques. Comme plusieurs experts en sécurité l'ont recommandé depuis que Microsoft a révélé ces attaques, les entreprises dont le contrôleur de domaine est exposé sur internet doivent mettre leurs systèmes hors ligne pour les réparer. Les serveurs accessibles par internet sont particulièrement vulnérables, car les attaques peuvent être mises en œuvre directement, sans que le pirate ait besoin de s'introduire dans les systèmes internes. Source :ZDNet.com        

Assises de la cybersécurité 2020 : positivons !

Les Assises de la cybersécurité viennent de s’ouvrir au Grimaldi Forum de Monaco. L’événement fête ses vingt ans et a débuté avec une session plénière de Guillaume Poupard, en charge de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). En substance il a salué le travail effectué et a voulu porter un message positif pour l’avenir. La session plénière a débuté avec un message d’accueil du ministre de l’Intérieur de la Principauté de Monaco qui a tenu à démontrer comment son pays était engagé dans une vaste transformation autour du numérique et donc de la cybersécurité pour créer un espace de confiance exemplaire afin d'attirer les entreprises et les parties prenantes autour des nouvelles technologies. Il a pris pour exemple le projet autour d’Extended Monaco qui met en avant chaîne de blocs, Cloud et 5G. Un message positif  Guillaume Poupard a pris un peu l’assistance a contre-pied avec un discours mettant en avant les points positifs qu’il a distingué durant la période récente. Tout le monde s’attendait à un énième message d’alerte vers les entreprises pour les sensibiliser sur une « menace toujours croissante ». Il s’est expliqué de ce contre-pied en indiquant qu’il « avait le sentiment que la phase d’évangélisation était enfin terminée. Aucun dirigeant d’entreprise ne « peut pas dire qu’il n’était pas au courant » et qu’il était fautif dans le cas contraire. Il a continué : « c’est un message d’espoir car nous pouvons maintenant nous concentrer sur les solutions » pas seulement techniques mais humaines et de gouvernance. Il a rappelé le dernier opus de son agence pour préparer et aider les entreprises par un guide de la gestion de crise. Ancien militaire il ne peut croire qu’en la vertu de l’entraînement ! Il a ensuite mis en exergue le travail autour des certifications réalisées par son agence et en particulier autour de prestataires de confiance et d’un référentiel nouveau PAMS pour aider les entreprises à reconstruire leur réseau au lendemain d’une attaque ou encadrer un prestataire autour de l’assistance à la conception.  Il a aussi évoqué des projets pour aller plus loin dans l’éducation à la cybersécurité avec des programmes qui existent déjà à destination des élèves de première et de seconde. Il a ajouté : « les outils pour le faire arrivent ainsi que la formation des enseignants ». Éviter angélisme et naïveté Il a pris en point d’orgue les différents projets et efforts dans la coopération européenne autour de la cybersécurité et nous a assuré que l’entraide à ce niveau était nécessaire à défaut de ne pouvoir lutter du fait du morcellement européen. Il souhaite que cette coopération apporte de l’objectivité dans les débats car « le caricatural est mauvais mais il faut aussi éviter l’angélisme et la naïveté ». Cette collaboration peut faire notre force indique le directeur de l’ANSSI.  La keynote s’est conclue par un point de Michel Van Den Berghe concernant le campus de cyberdéfense dont L’Informaticien a largement parlé au cours des dernières semaines. Guillaume Poupard apprécie cette initiative : « il nous fallait un lieu à l'image de ce qui s’est fait en Bretagne ». Il conclut par le besoin de continuer l’ensemble de ces efforts. Source : Linformaticien.com

Google révèle la plus grande attaque DDoS de l'histoire

Technologie : Tenue secrète jusqu'à vendredi dernier, l'attaque DDoS a eu lieue en septembre 2017 et serait le fait d'un cyberattaquant parrainé par un Etat. Image : Google Cloud. L'équipe Google Cloud a révélé vendredi dernier une attaque DDoS non divulguée qui a ciblé le service Google en septembre 2017. Elle avait atteint 2,54 Tb/s, faisant d'elle la plus grande attaque DDoS enregistrée à ce jour. Une attaque venue de Chine Dans un article séparé publié au même moment, le Google Threat Threat Analysis Group (TAG), l'équipe de sécurité de Google qui analyse les groupes de menaces haut de gamme, précise que l'attaque a été menée par un acteur de la menace parrainé par un Etat. Les chercheurs du TAG affirment que l'attaque est venue de Chine, car elle avait pour origine le réseau de quatre fournisseurs chinois de services internet (ASN 4134, 4837, 58453 et 9394). Damian Menscher, un ingénieur en fiabilité et sécurité pour Google Cloud, raconte que le pic de 2,54 Tb/s correspond à « l'aboutissement d'une campagne de six mois » qui a utilisé de multiples méthodes d'attaques pour marteler l'infrastructure des serveurs de Google. Il n'a cependant pas révélé quels services étaient visés. L'attaque DDoS la plus importante jamais enregistrée « L'attaquant a utilisé plusieurs réseaux pour usurper 167 Mp/s (des millions de paquets par seconde) à 180 000 serveurs CLDAP, DNS et SMTP exposés, qui nous envoyaient ensuite des réponses importantes », explique Damian Menscher. Ces informations « démontrent les volumes qu'un attaquant bien équipé peut atteindre : c'est quatre fois plus que l'attaque record de 623 Gb/s du botnet Mirai un an plus tôt [en 2016] ». En outre, cette attaque est également plus importante que l'attaque DDoS de 2,3 Tb/s qui a ciblé l'infrastructure AWS d'Amazon en février de cette année. Les attaques DDoS vont augmenter avec la bande passante Bien que l'attaque ait été gardée secrète pendant trois ans, Google a révélé l'incident la semaine dernière pour différentes raisons. Tout d'abord, l'équipe TAG de Google veut sensibiliser à la tendance croissante des groupes de cyberattaquants parrainés par des Etats, qui utilisent des attaques DDoS pour perturber leurs cibles. L'équipe de Google Cloud voulait également mettre en avant le fait que les attaques DDoS vont s'intensifier dans les années à venir, à mesure que la bande passante disponible pour internet va augmenter. Dans un rapport publié mercredi dernier, la société de datacenters Equinix prévoit une augmentation d'environ 45 % (~16 300+ Tb/s) de la bande passante d'interconnexion mondiale d'ici 2023. Pour tout savoir sur les attaques de DDOS Qu'est-ce qu'une attaque DDoS ? Tout savoir pour les reconnaître et s'en protéger Source : ZDNet.com