Emily Wearmouth [00 :00 :01] Bonjour et bienvenue à une nouvelle édition du balado Security Visionaries, un endroit où nous accueillons des experts qui discutent d’un large éventail de sujets qui intéresseront toute personne travaillant dans le domaine des cyberdonnées ou des industries connexes. Je suis votre animatrice, Emily Wimmer. Cette semaine, c'est la Journée internationale de la femme, une journée qui, selon moi, devrait être consacrée au militantisme plutôt qu'à des platitudes. J'ai donc demandé à deux femmes qui ont excellé dans leur carrière dans le domaine de la technologie de me permettre de leur poser des questions et des défis assez épineux et embarrassants. Faisons quelques présentations. Tout d'abord, je suis très heureuse qu'Emily Heath soit venue nous rejoindre aujourd'hui. Deux Emily, c'est toujours mieux qu'une, et cette Emily a une carrière fascinante dans le cyberespace. Elle a commencé quand elle était détective au sein de la Fraud Squad de la police britannique. Elle a ensuite occupé les postes de vice-présidente et de directrice de la technologie pour des sociétés telles que United Airlines et DocuSign. Emily siège actuellement au conseil d'administration de nombreuses organisations publiques et privées. Merci de vous joindre à nous, Emily.
Emily Heath [00:00:55] C'est un plaisir d'être ici. Merci de m'avoir invitée.
Emily Wearmouth [00:00:58] Mon invitée a un CV tout aussi impressionnant pour parler américain. Shamla Naidoo a été directrice de la sécurité informatique pour des sociétés telles que Starwood Resorts et IBM, et elle est également professeure auxiliaire de droit à l'université de l'Illinois. Elle est membre du conseil d’administration ou administratrice indépendante de plusieurs conseils d’administration publics, et elle est également responsable de la stratégie et de l’innovation en matière de cloud chez Netskope. Et pour être honnête, je suis assez intimidée en ce moment. Bienvenue Shamla
Shamla Naidoo [00:01:21] Merci de m'avoir invitée, Emily.
Emily Wearmouth [00:01:24] Pour mettre les choses en contexte, de récents chiffres gouvernementaux montrent que le pourcentage de femmes occupant des postes dans le domaine de la cybersécurité au Royaume-Uni a chuté de près d'un quart au cours des deux dernières années, passant de 22 % à seulement 17 %. Et le Royaume-Uni n'est pas le seul à avoir vraiment du mal à avoir un impact, le secteur continuant à attirer et à fidéliser les hommes avec plus de succès que les femmes. Mais d'autres recherches nous ont également appris que la diversité des équipes permet d'obtenir de meilleurs résultats commerciaux. De nombreux programmes de recherche à long terme ont révélé des niveaux plus élevés de diversité entre les sexes. Sur des sujets tels que le FTSE 350, les conseils d'administration sont en corrélation positive avec la performance financière. Je voulais donc commencer par vous demander à tous les deux : quelle est votre première réaction générale face à des chiffres aussi alarmants publiés par le gouvernement britannique ?
Emily Heath [00:02:08] Eh bien, je suis heureuse de commencer. Je suis vraiment choquée. Je suis surprise que les chiffres aient diminué pour de nombreuses raisons. Tout d'abord, je pense que Shamla et moi participons beaucoup à la communauté avec d'autres RSSI, et les femmes sont toujours sous-représentées. Cela ne fait aucun doute. Il y a toujours une mer d'hommes. Mais je pensais que nous commencions à voir de plus en plus de femmes dans le domaine de la cybersécurité, en particulier aux postes de direction. Cela indique peut-être l'investissement et l'accent que nous avons mis sur l'intégration des femmes dans le cyberespace, il y a peut-être quelques années. Et maintenant, ces femmes accèdent à de plus en plus de postes de direction de haut niveau. Mais je suis surprise des chiffres parce que je vois plus de femmes, mais elles occupent probablement plus de postes de direction qu'elles ne le sont à certains niveaux de direction et à d'autres niveaux de sécurité. Cela m'inquiète donc beaucoup, car si nous ne passons pas notre temps à investir et à faire en sorte que les femmes soient représentées à tous les niveaux d'une organisation, nous risquons fort de ne pas avoir plus de femmes aux postes de direction à l'avenir. Ma première réaction a donc été : « Waouh, je suis vraiment choquée. Je pensais que nous allions quelque part.
Emily Wearmouth [00:03:27] Et vous, Shamla ?
Shamla Naidoo [00:03:29] Donc, Emily, je dois dire que je ne suis pas du tout surprise par ces chiffres. Vous savez, je pense qu'Emily a raison. Ces dernières années, nous avons vu ces chiffres augmenter, et c'est une très bonne nouvelle. C'était vraiment un signe que le secteur était en train de changer et de devenir un peu plus favorable aux femmes. Nous avons donc obtenu de meilleurs chiffres. Cependant, n'oubliez pas que nous avons également obtenu ces meilleurs chiffres parce que nous avons commencé à compter différemment. Donc, plutôt que de rechercher des compétences pures en matière de cybersécurité et d'y ajouter que nous avons commencé à devenir un peu plus génériques. Ces chiffres incluaient donc des éléments tels que les leaders technologiques. Donc, vous savez, même si l'on peut se demander s'ils sont dedans ou non, je pense que ces chiffres étaient un peu artificiels simplement parce qu'une partie de cette augmentation était due au fait que nous comptons différemment. Mais la deuxième chose qui me semble la plus importante, c'est qu'au cours des deux dernières années, nous avons constaté une augmentation significative des tensions et du stress liés à la santé mentale dans l'ensemble du secteur. Mais pour les femmes en particulier, vous savez, nous réagissons plus rapidement et plus sérieusement à ce genre de défis et le travail est devenu de plus en plus stressant. Le poste est devenu presque impossible à maintenir. Je ne suis donc pas surprise que les femmes commencent à quitter ce domaine. Ces deux choses, étant donné que c'est ce qui se produisait, ne m'étonnent pas du tout que les chiffres soient en baisse, même si c'est une très triste nouvelle.
Emily Heath [00:05:02] L'autre point, l'autre chose que je me demande, c'est que nous savons tous que pour changer ces normes archaïques selon lesquelles le pourcentage de femmes est si faible au fil des ans, nous avons également besoin de nos alliés masculins, n'est-ce pas ? Nous avons besoin d'alliés masculins pour nous aider à modifier ces statistiques et ces normes. Et il faut beaucoup de concentration et de discipline pour y parvenir. Cela ne se fait pas tout seul. Et je me demande si, compte tenu de certains de ces impacts, de l'impact sur la santé mentale que nous aurions dû subir pendant la crise de la COVID, alors que la vie a changé et bouleversée ces dernières années, je me demande si l'attention et la discipline que nous avons mises en place pour faire en sorte que les cyberéquipes soient bien représentées dans toutes les formes de diversité ont, pour de mauvaises raisons, été reléguées au second plan. Je me demande si c'est également le cas. Et cela, encore une fois, cela m'inquiète. Il doit y avoir une véritable intention de modifier ces normes archaïques. Ce n'est pas simplement quelque chose que vous abordez à la fin d'une conversation. Et je me demande si certains de ces problèmes de santé mentale, que je trouve bien réels, tant pour les hommes que pour les femmes du monde des affaires. Mais je me demande si cela a quelque chose à voir là-dedans aussi. Mais oui, vous soulevez un point important.
Emily Wearmouth [00:06:17] Oui, j'ai lu certaines suggestions selon lesquelles les femmes ont été les plus touchées par les licenciements dans le secteur. Tout ça, quand les temps se sont un peu compliqués ces dernières années, l'accent mis sur les initiatives en faveur de la diversité a disparu, les gens se concentrant sur des sujets plus difficiles liés, vous savez, aux risques commerciaux et aux défis commerciaux. Ces initiatives qui ont peut-être été considérées comme un peu floues, agréables d'être passées par la fenêtre quand le temps presse. Je me demande donc comment, si c'est le cas, comment pouvons-nous remettre en question l'idée selon laquelle les femmes dans le domaine de la cybersécurité ne sont pas un projet secondaire essentiel et vraiment affirmer qu'il est essentiel pour les entreprises ?
Shamla Naidoo [00:06:54] Vous savez, Emily, je crois que vous avez commencé par dire qu'il s'agissait d'une sorte de programme d'auto-assistance à bien des égards, n'est-ce pas ? Où vous offrez un livre aux femmes, vous dites : lisez ce livre ou lisez cet article, vous allez à ce cours ou, vous savez, vous apprenez cette matière. Eh bien, nous avions l'habitude de penser différemment à ce sujet. Nous devons réfléchir davantage à ce domaine en tant que programme de type apprentissage. Quelqu'un doit vous tenir la main tout au long de ce type d'apprentissage. Vous savez, si c'était aussi simple, nous lirions tous un livre et nous y apprendrions. Ce n'est pas si simple. Nous le savons, Emily, et je le sais pour y être allée et l'avoir fait. Donc, vous savez, je pense que nous devons envisager ces programmes différemment. Il ne peut pas s'agir d'un programme d'auto-assistance. Il faut que ce soit l'un de ceux qui me tiennent la main et qui m'guident à travers tout cela afin de m'apprendre à devenir plus importante, plus pertinente et plus précieuse. Et quand ces licenciements se produisent, je ne suis pas la première à licencier, surtout si vous y réfléchissez. Je veux dire, historiquement, les femmes ont fait leur entrée dans le domaine de la cybersécurité, mais en nombre disproportionné. Ils occupent des postes dans les domaines de la politique, de la gouvernance et des tests. Et, vous savez, une grande partie de l'aspect administratif du travail qui, dans les moments difficiles, peut souvent sembler le moins important ou le moins précieux. C'est pourquoi les femmes sont touchées de manière disproportionnée par ces licenciements. Donc, vous savez, même cela ne m'étonne pas du tout. Mais ce qui m'étonne, c'est l'idée que, vous savez, les femmes ne sont généralement pas assez techniques. Peut-être que nous n'apportons pas autant de valeur aux équipes parce que nous n'apportons pas ces compétences techniques inconditionnelles, et ce n'est pas certain.
Emily Heath [00:08:37] Je suis totalement d'accord avec vous, Sharma. Je veux dire, vous savez, juste sur une note personnelle, que des hommes, des hommes blancs, m'en ont parlé plus d'une fois dans les deux cas. Que j'ai obtenu les emplois que j'ai obtenus parce que j'étais une femme. Et, ce à quoi je réponds, très bien. C'est notre heure. Vous savez quoi ? Si ça ouvre une fenêtre à ce point ? Parce que je suis une femme. Je ne m'en excuse pas du tout. Et si cela signifie que j'ai la chance de trouver un emploi parce que je suis une femme. Personne ne m'offrira le poste si je ne suis pas qualifiée pour le poste. Donc, s'il y a une petite fissure dans la fenêtre, je dis de verrouiller cette fenêtre et d'enfoncer cette porte. Parce que vous savez quoi ? C'est notre heure. Et je n'ai jamais parlé à aucun de ces hommes blancs depuis cette conversation, comme vous pouvez l'imaginer. Mais j'ai bon espoir que nous sommes sortis de ce niveau de réflexion ces derniers temps. C'était il y a quelques années, mais c'est quand même choquant que quelqu'un dise ça à voix haute, que vous n'avez obtenu ce poste que parce que vous êtes une femme. Et en tant que femmes, c'est ce que beaucoup de femmes supportent lorsqu'elles occupent ces postes dans les entreprises. Mais à tous les niveaux d'une organisation, si c'est le cas à tous les niveaux de l'organisation, pouvez-vous imaginer ce que ressentent les femmes aux autres niveaux de l'organisation ? C'est pourquoi j'en parle publiquement, parce que je pense que c'est très important. Je pense qu'il est important que nous reconnaissions que, oui, c'est difficile parfois, et que nous devons surmonter certaines de ces situations très difficiles. Mais pour y remédier, vous savez, comme Shamla l'a dit tout à l'heure, il ne s'agit pas simplement d'embaucher des personnes pour leurs titres. Vous devez engager des personnes en fonction de leurs compétences. Et quand vous commencez à penser à recruter en fonction de vos compétences, vous vous ouvrez un tout nouveau monde. Et j'ai constaté que cela fonctionnait incroyablement bien dans différentes organisations au fil des ans, et c'est un changement d'avis que de penser à intégrer dans votre équipe des personnes qui n'ont pas nécessairement une expérience purement informatique, mais qui ont une sacrée expérience et les compétences dont vous avez besoin pour apporter à votre équipe. Au bout du compte, les personnes intelligentes peuvent apprendre des choses. Shamla et moi n'avons pas commencé nos voyages dans le monde de l'entreprise en pensant que nous allions devenir responsables de la sécurité. Ce travail n'existait pas à l'époque, mais les personnes intelligentes peuvent apprendre des choses. Nous apprenons tous des choses en cours de route, mais il faut nous en donner l'opportunité. Et si vous en avez l'opportunité, parce que vous êtes une femme, profitez-en et dites oui, merci. Je le prends à bras ouverts et je vais franchir cette porte, et je vais vous prouver pourquoi vous avez pris la bonne décision.
Shamla Naidoo [00:11:27] Emily, vous savez, ce que j'ajouterais à cela, c'est que peut-être que l'une d'elles obtient un poste parce que vous êtes une femme, mais que vous ne le gardez pas parce que vous êtes une femme. Oui, exactement. Parce que nous sommes compétents. Oui. Exactement. Exact.
Emily Wearmouth [00:11:44] Et il y avait une mention d'hommes blancs là-dedans. Et je sais que Shamla, vous avez également quelques idées sur le fait que le genre n'est pas le seul problème de diversité que nous devons prendre en compte dans ces conversations.
Shamla Naidoo [00:11:55] Vous savez, alors que je réfléchissais à cette conversation, l'une des choses qui me frappe, c'est que nous parlons de genre, nous parlons d'hommes et de femmes, et le genre est devenu plus fluide ces dernières années. C'est donc un défi que nous devons vraiment relever. Mais surtout, je pense qu'il y a un autre aspect de cette conversation qui doit être inclus. Si vous regardez les chiffres que vous avez cités, je ne suis pas sûre que nous soyons en train de calculer ou de donner de la visibilité au défi auquel sont confrontées les femmes de couleur et les femmes noires en particulier dans ce domaine. Donc, si je vous donne un exemple, aux États-Unis, au cours des 3 à 5 dernières années, je dirais que le nombre de femmes dans le domaine de la cybersécurité en particulier a augmenté. Comme je l'ai dit tout à l'heure, c'est en partie parce que nous avons compté différemment. Mais franchement, je pense, vous savez, qu'un certain nombre de femmes ont été recrutées à des postes de direction et sur le terrain. Ce chiffre est donc en train de s'améliorer. Mais si vous pensez qu'environ 27 % de femmes occupent ces postes aujourd'hui, alors environ 3 % de ces femmes sont des femmes noires. Ils traversent donc une période encore plus difficile. Vous pensez, vous savez, que nous avons le défi d'obtenir de meilleurs chiffres, d'accéder à des postes de plus haut niveau, etc. Nous, les femmes noires, avons beaucoup plus de mal à faire. Nous devons donc vraiment y faire face également, parce que si nous pensons à l'inclusion, il ne s'agit pas simplement d'inclure le genre, mais aussi d'intégrer le genre. Ce sont des catégories d'indicateurs et d'autres objectifs que nous devons nous fixer parce que ce sont, vous savez, d'autres facteurs qui nous rendent plus efficaces.
Emily Wearmouth [00:13:36 ] Absolument. Maintenant, je vais vous poser une question vraiment méchante à tous les deux. Et je ne pose pas souvent une question à laquelle je ne sais pas s'il existe une réponse, mais je vais juste le faire. Je me demande. J'ai dit au début à propos de cette étude sur le FTSE 350 qu'il s'agissait d'une étude longitudinale menée entre 2001 et 2019 environ. Au cours de cette période, les chiffres étaient généralement convaincus que cela contribue à améliorer les résultats commerciaux en augmentant la diversité. Où pouvons-nous trouver des chiffres similaires en matière de cybersécurité qui jouent peut-être sur des éléments tels que la corrélation entre la diversité et le profil de risque ? Vous savez, que devons-nous regarder sous le capot ? Que nous pouvons le lancer à la figure de nos détracteurs et leur dire : écoutez, ça vaut le coup.
Emily Heath [00:14:23] Oui, c'est vraiment difficile parce que dans le cyberespace en particulier, les gens ne partagent pas très souvent les indicateurs de réussite comme ils le feraient dans d'autres secteurs d'activité. Nous sommes donc très limités en ce qui concerne les indicateurs que nous pouvons suivre et sur lesquels nous pouvons établir des rapports. Mais je pense, et je l'ai vu, que je l'ai essayé et testé à de nombreuses reprises dans mes organisations et que j'ai embauché des personnes créatives incroyablement diverses. Diversité, c'est-à-dire provenant de tous les horizons, diversité d'esprit, diversité de pensée, et oui, le sexe et la race aussi. Et lorsque vous avez une organisation qui fonctionne de manière à représenter le monde et pas seulement à représenter les entreprises historiques américaines, les choses changent. C'est vraiment difficile de mettre le doigt sur les changements exacts, mais je les ai vus en action. C'est comme par magie quand ça marche. Les gens ressentent presque cette liberté. Les gens pensent qu'il y a une égalité. Il y a une camaraderie et un esprit différents et les gens courent vers vous au lieu de s'éloigner de vous. J'ai donc été très chanceuse pour mes équipes précédentes de ne plus être une CSO opérationnelle. Mais quand j'étais la mienne, mes équipes précédentes avaient des taux d'attrition très, très faibles. Et j'attribue cela à la valeur que toute l'équipe a apportée. Cela n'a rien à voir avec moi. Cela ne me concerne pas personnellement. Cela est dû à l'esprit et à l'énergie que toute l'équipe a consacrés à la création d'une organisation qui a vraiment donné les résultats et qui souhaite vraiment représenter l'apparence du monde de manière significative et authentique. Et comme je l'ai dit au tout début, cela prend du temps. Il faut de la concentration et de la discipline. Mais les taux d'attrition sont exceptionnellement bas. Dans mes anciennes organisations, mon taux d'attrition était si faible par rapport à celui de certains autres groupes que les équipes des ressources humaines voulaient savoir ce qui ne va pas dans mon groupe. Il n'y a rien de mal. Les gens sont contents. Les gens sont contents parce qu'ils sont représentés et je n'ai jamais eu de problème à recruter du personnel parce que, vous savez, en tant que leader, c'est notre travail de faire connaître les raisons pour lesquelles c'est si important pour nous. Lorsque vous avez ces équipes vraiment dynamiques, engageantes et créatives parce qu'elles sont si diverses. Les taux d'attrition sont vraiment faibles. Mais le succès de la cybersécurité est vraiment difficile à mesurer, en soi, car la plupart des gens ne partagent pas vraiment ces informations. Vous pourriez probablement avoir une certaine mesure en interne. Mais c'est vraiment difficile en dehors des statistiques générales sur les ressources humaines.
Shamla Naidoo [00:17:09] Donc, vous savez, Emily, la façon dont vous posez la question suscite chez moi une réaction qui, vous savez, suppose que l'information existe quelque part, et nous pourrions simplement lever les couvertures et les sortir. Et ce n'est pas vrai. Hein ? Mais pourquoi n'est-ce pas vrai ? Nous ne collectons pas d'informations et ne publions pas d'informations qui, selon nous, ne nous concernent pas. Exact. La plupart des organisations ne vont pas sortir des données qui ne les mettent pas en valeur dans l’industrie. Il est donc difficile de dire qu’ils collectent les données parce qu’à un moment donné, s’ils les collectent, cela signifie qu’ils doivent admettre que c’est quelque chose qu’ils doivent faire. Quelque chose ne fonctionne pas. Donc, pour moi, je pense, vous savez, qu'une grande partie de ces informations n'est jamais collectée. Vous n'allez donc pas le trouver. Mais prenons juste quelques exemples. Exact. Donc, si je pense au revenu par employé, nous savons comment le calculer. Toutes les entreprises savent comment calculer cela. Pourquoi ? Parce que les recettes sont un chiffre accessible au public. Vous devez le signaler pour que tout le monde connaisse vos revenus. Et tout le monde connaît généralement le nombre d'employés. Le chiffre d'affaires par employé est donc un indicateur simple. C'est une question facile à calculer pour nous. De plus, si nous ne l'avons pas calculé, d'autres le peuvent. Nous devons donc réfléchir à la diversité. Et ce type de mesures, de la même manière, consiste à savoir comment rendre ces informations publiques. Comment créez-vous une divulgation équitable ? Ce n'est donc pas une seule entreprise qui le déclare parce qu'elle a de bons chiffres à communiquer. Ils vont donc sur place et prononcent leurs chiffres. Mais comment en faire une exigence générale pour que tout le monde regarde les choses sous le même angle et que le bien et le mal soient alors pris en compte dans l'œil de l'investisseur ou dans l'œil du destinataire de ces informations ? Je pense que nous devons y penser un peu différemment. Il ne s’agit pas de punir qui que ce soit, mais de créer une équité dans la façon dont nous pourrions considérer les données. Ensuite, en tant que consommateurs, nous prenons nos propres décisions.
Emily Heath [00:19:12] Oui, je trouve que c'est une bonne remarque en fait, parce que je pense que nous commençons à le voir un peu avec certaines initiatives ESG. Aujourd'hui, de plus en plus d'entreprises sont beaucoup plus susceptibles de publier leurs statistiques sur la diversité, par exemple, qu'elles ne l'étaient jamais auparavant. Beaucoup d'entre eux sont désormais publiés sur des sites publics en raison de la pression exercée par la communauté des investisseurs et de Wall Street, pour s'assurer que les initiatives ESG ne sont pas de l'écoblanchiment ou du bout des lèvres, que quelqu'un est vraiment sincère. Encore une fois, je dis qu'il doit y avoir une véritable intention de changement. Vous ne pouvez pas, vous ne pouvez pas blanchir tout cela comme de l'eau verte. Vous ne pouvez tout simplement pas. Il faut que ce soit une véritable intention. Mais vous avez raison. Certaines de ces statistiques, certaines de ces statistiques externes, n'étaient donc pas disponibles par le passé. J'espère que cela se produira un peu plus au fur et à mesure que ces initiatives prendront de l'ampleur.
Emily Wearmouth [00:20:10] Peut-être avons-nous besoin d'un groupe de travail sectoriel.
Shamla Naidoo [00:20:13] Eh bien, vous pourriez créer un groupe de travail sectoriel ou vous pourriez savoir ce qui se passe naturellement, selon moi, en tant que membre du conseil d'administration de plusieurs sociétés ouvertes, vous savez, Emily et moi le savons toutes les deux, lorsque le conseil d'administration commence à prêter attention au sujet. Et aux États-Unis en particulier, ils ont commencé à prêter attention, vous savez, aux initiatives de type ESG. Lorsqu’ils s’impliquent, les gens se présentent comme par magie avec les données parce qu’ils supervisent maintenant, et ils peuvent s’attendre à ce que quelqu’un vienne faire un rapport. Et pour que le PDG puisse communiquer ces informations, il ferait mieux de les collecter. Et surtout, ils feraient mieux de montrer qu'ils ont tendance à améliorer leurs chiffres au fil du temps. Je pense donc que cela crée une petite pression organique. Bien sûr, vous savez, ce n'est en aucun cas un mandat, mais il est certain que lorsque votre conseil d'administration commence à en parler, le PDG y prête attention. Et lorsqu'ils font attention, cela a généralement un impact sur la culture. Et puis, dans l'ensemble, vous vous retrouvez avec ce genre de changement culturel qui consiste à y réfléchir davantage. Et il ne devrait pas s'agir simplement d'un exercice sur papier ou simplement de mots écrits sur une feuille de papier. Cela devrait être, vous savez, complété par des actions, des investissements et ensuite des résultats.
Emily Wearmouth [00:21:24] C'est lié à l'une des dernières questions que je voulais vous poser. Et je connais Shamla, vous venez de publier un livre sur le cybersavvy board. Et nous avons des conversations qui se rejoignent en quelque sorte à ce moment-là. Nous savons que l'ESG prend de plus en plus d'importance pour les conseils d'administration. Nous savons que les conversations en ligne et les discussions sur les risques prennent de plus en plus d'importance pour les conseils d'administration. Comment réunir tous ces sujets ? Et une sorte de deuxième partie de cette question concerne le niveau du conseil d'administration où nous devons avoir ces conversations, ou est-ce que cela doit avoir lieu au niveau de la direction, du manager ou des trois ?
Shamla Naidoo [00:21:58] Alors laissez-moi commencer par dire, vous savez, que les forums doivent avoir une compréhension de base de ce qui se passe réellement, n'est-ce pas ? L'une des choses dont vous avez entendu parler ces dix dernières années, c'est que nous n'avons pas assez de compétences dans le domaine de la cybersécurité pour faire ce que nous devons faire. Et c'est vraiment frustrant pour moi parce que vous avez toute une expertise. Vous avez, vous savez, des gens qui sont intéressés. Vous avez des personnes qui peuvent y apprendre, des personnes qui le souhaitent, des carrières dans ce domaine. Nous avons donc ce groupe de personnes, y compris des femmes et des personnes de couleur, etc. Et d'un autre côté, les entreprises disent que je n'ai pas assez de compétences, que je n'ai pas assez de personnes pour faire le travail en matière de cybersécurité. Eh bien, pourquoi ne pas réunir ces deux éléments et trouver des modèles qui résoudront réellement le problème, au lieu de dire : « Eh bien, nous n'avons pas assez de compétences, nous allons les développer ». Ne vous attendez pas à simplement l'acheter, à trouver des moyens de construire. Et c'est ainsi que vous devenez plus inclusive. Vous savez, vous avez demandé tout à l'heure, Emily, comment, vous savez, comment mesurons-nous cela ? Exact. Et comment le démontrer ? Le fait de disposer d'un personnel diversifié, en particulier dans le domaine de la cybersécurité, apporte de la valeur ajoutée ? Des recherches scientifiques nous ont appris que lorsque des groupes d'équipes et des équipes de personnes incluent des hommes et des femmes, toute autre identification sexuelle prend naturellement plus de risques. Les entreprises gagnent de l'argent parce qu'elles prennent plus de risques. Et ça. Cela s'inscrit donc naturellement dans cette équation. Donc, même si vous n'arrivez pas à le calculer aujourd'hui, si vous croyez aux signes et si vous savez que le fait d'avoir des équipes diversifiées vous aidera à prendre plus de risques, à gagner plus d'argent ou à échouer plus rapidement, davantage de personnes en seront conscientes et vous nuiront à votre stabilité. Nous devons donc y réfléchir du point de vue des effectifs. Il ne s'agit pas simplement d'un exercice à cocher. Faites participer plus de femmes ou plus de personnes de couleur. Mais c'est comme résoudre un vrai problème commercial, développer des compétences. Et ces personnes sont-elles disponibles, pourquoi ne pas les y emmener ? Il en va de même pour les opportunités et l'ouverture que l'on trouve dans les entreprises.
Emily Wearmouth [00:24:10] Emily, avez-vous une idée alors ?
Emily Heath [00:24:12] Oui, je suis tout à fait d'accord. Et en matière de cybersécurité, bien entendu, nous sommes déjà dans une situation de manque de diversité dans le domaine de la cybersécurité en tant que sous-ensemble de l'environnement d'entreprise. Lorsque vous commencez à parler de l'endroit où le changement se produit, il se produit toujours en haut de la page et à une couche sur deux. À mon avis, tous les niveaux d'une organisation doivent être nécessaires pour vraiment changer les choses. Mais vous avez besoin de personnes au sommet de l'organisation qui incarnent ce changement, car dans le reste de l'organisation, s'ils voient un tableau entièrement blanc ou un tableau blanc pour hommes, et que des personnes parlent d'initiatives en matière de diversité, ce n'est pas une question de marche à suivre, ce n'est pas crédible. Cela n'a pas l'air authentique. Et elle doit être représentée à tous les niveaux de l'entreprise. Le défi qui se pose à nous est de savoir comment y parvenir. Et je parle spécifiquement de la cybersécurité. Comment intégrer les femmes et les personnes de couleur dans les salles de conférence publiques du cyberespace ? Parce que de très nombreux responsables de la sécurité souhaitent faire partie des conseils d'administration publics, mais ils n'ont pas nécessairement toute l'expérience dont ils ont besoin pour le faire. La première chose à faire, c'est que les entreprises doivent donner aux directeurs de la sécurité la capacité de contribuer à tous les niveaux de l'organisation, ce qui signifie qu'ils doivent vraiment occuper des postes de direction. Nous devons arrêter de nous embêter avec les structures hiérarchiques, les bureaux de sécurité, les chefs d'entreprise d'abord et les responsables de la sécurité ensuite. C'est de la technologie. Et la sécurité a un impact bien trop important sur la plupart des organisations maintenant que nous devons leur donner l'expérience nécessaire pour exercer leurs fonctions au sein de la haute direction afin qu'elles aient de l'expérience au-delà de la sécurité sur le mode de fonctionnement réel d'une organisation, sur les sources de revenus, et les faire contribuer à ce niveau. Elles seront alors mieux placées pour accéder aux conseils d'administration publics. Parce que si vous y réfléchissez bien, les conseils publics comptent entre 9 et 12 sièges. Et en ce qui concerne la cybersécurité, les agents de sécurité ne disposent généralement que de 20 à 30 minutes devant un comité d'audit ou parfois l'ensemble du conseil d'administration pour parler de cybersécurité. Mais les conseils d'administration peuvent durer un jour et demi ou deux jours. De quoi d'autre parle le forum alors ? Alors, comment donner à nos agents de sécurité la capacité de contribuer au-delà de la simple conversation sur la sécurité dans une salle de conférence publique ? Et je pense que cette conversation doit commencer par le fait que nous devons améliorer cette position. Sinon, nous allons avoir un gros problème d'offre et de demande. Nous allons avoir une forte demande d'expertise en matière de sécurité, au sein des conseils d'administration publics, y compris pour les femmes et les personnes de couleur. Mais l'approvisionnement va être bien trop limité. Nous devons donc résoudre ce problème dès maintenant en donnant aux agents de sécurité la possibilité d'apprendre et de participer à la conversation de la haute direction.
Emily Wearmouth [00:27:08] Merci. Eh bien, avant de terminer, avez-vous une dernière idée ou quelque chose à retenir de la part de l'un de vous ?
Emily Heath [00:27:13] La dernière chose à retenir de cette conversation, vous savez, c'est que nous devons vraiment faire une petite introspection et réfléchir à la question de savoir si, en tant que secteur de la cybersécurité, sommes-nous devenus trop élitistes ? Sommes-nous devenus trop élitistes pour autoriser les femmes et les personnes de couleur à accéder à notre domaine d'expertise et à celui-ci ? Vous savez, y a-t-il une certaine arrogance dans ce domaine qui dit que les femmes et les personnes de couleur n'ont pas leur place, que nous n'en savons pas assez ou que nous ne sommes pas assez compétentes pour être dans ce domaine ? Je pense que c'est une conversation que nous devons avoir, et c'est quelque chose que nous devons vraiment approfondir et inspecter dans notre propre prise de décisions, que faisons-nous pour être inclusive et comment nous nous trouvons réellement dans ce genre de situation où nous avons l'impression d'être meilleures que les autres.
Emily Heath [00:28:04] Oui, je suis pour moi, je vais faire simple. Mais pour moi, je l'ai dit à de nombreuses reprises, il faut avoir une réelle envie de modifier des normes archaïques. Cela ne se fait pas du jour au lendemain et cela ne se fait pas sans concentration, sans discipline et sans un cœur authentique. Pouvoir vouloir changer ce secteur pour le mieux. Et si vous avez de bonnes intentions et si vous avez cette authenticité, les gens courront vers vous. Les gens veulent faire partie d'une équipe, qu'il s'agisse d'un conseil d'administration, d'une équipe dirigeante ou d'une cyberéquipe. Les gens veulent faire partie d'équipes profondément attachées à la diversité, à la créativité et à l'inclusion. Les dirigeants doivent avoir à cœur de faire avancer ce sujet, sinon nous n'allons jamais nous débarrasser de ces normes archaïques.
Shamla Naidoo [00:28:54] Et en plus de cela, vous dites que vous manquez de compétences. Il est de notre responsabilité de remédier à la pénurie de compétences. C'est une réponse simple et facile.
Emily Wearmouth [00:29:04] Comme je m'en doutais, cette conversation est absolument fascinante et j'adorerais qu'elle se poursuive indéfiniment. Je voulais vraiment vous remercier tous les deux de vous être joints à nous aujourd'hui pour parler de ce sujet. Je pense que c'est extrêmement important, et j'espère que la conversation se poursuivra au-delà de ce court laps de temps. J'espère que d'autres l'ont trouvé intéressant à écouter comme moi. Vous avez écouté le podcast Security Visionaries et j'ai été votre animatrice, Emily Wimmer. Si vous avez aimé cet épisode, partagez-le. Mais assurez-vous également de nous suivre sur votre plateforme de podcast préférée. Si vous découvrez le podcast pour la première fois, il existe un excellent catalogue que vous pouvez consulter. Depuis septembre, nous publions un nouvel épisode toutes les deux semaines sur Hosted by me et certains épisodes du merveilleux Max Havey. Si vous vous abonnez, vous n'en manquerez jamais un nouveau. Je vous verrai la prochaine fois.
Pourquoi Netskope 
){kind=icon}
