Parfois, on a l’impression que les professionnels du secteur de la cybersécurité « mangent, dorment et respirent » la cybersécurité et qu’ils font cela depuis le premier jour où ils ont su marcher.

Mais en réalité, des personnes aux centres d’intérêt variés trouvent leur place en tant que professionnels de la cybersécurité. Et c’est certainement vrai pour Prajakta « PJ » Jagdale, directrice de la sécurité offensive chez Palo Alto Networks.

Passionnée de technologie en général et de mathématiques, désireuse d’aider les gens et de résoudre des problèmes dans un environnement au rythme soutenu, PJ est devenue une figure de référence en cybersécurité grâce à un parcours diversifié, en s’attaquant à la fois aux menaces de cybersécurité traditionnelles et émergentes.

Voici un peu plus d’informations sur la façon dont PJ a transformé ses passions et ses intérêts généraux en une carrière cybernétique incroyablement réussie.

Être une « arrivée tardive » dans la cybersécurité et venir aux États-Unis

Alors que certains professionnels de la cybersécurité ont un parcours clairement tracé en termes de spécialisation universitaire et de domaines professionnels dans lesquels ils souhaitent entrer, d’autres arrivent dans le secteur avec très peu d’expérience pratique des ordinateurs, des logiciels ou de la science des données. Dans le cas de PJ, une rencontre avec un professeur de cryptographie l’a amenée à la cybersécurité. 

« Beaucoup de professionnels de la sécurité ont ce genre d’histoires en grandissant : surtout dans les pays occidentaux, ils étaient fascinés par les ordinateurs et passaient des heures à jouer à des jeux sur ordinateur ou à des jeux vidéo », a déclaré PJ. « Leur parcours a donc commencé en essayant de pirater ces jeux pour obtenir un score plus élevé que ce qui était possible, ou en cherchant des easter eggs et des choses comme ça. Mon histoire ne correspond pas à cela. J’ai découvert les ordinateurs assez tard, selon les standards habituels. J’ai même décidé de faire des études d’ingénierie informatique au niveau licence sans avoir jamais vraiment été en contact avec les ordinateurs, car malheureusement, en Inde, où j’ai grandi, nous avions un peu de retard sur les pays occidentaux en matière d’accès aux ordinateurs. Néanmoins, je savais que les mathématiques et la technologie m’intéressaient, mais je ne savais pas vraiment vers quoi je voulais aller dans ces domaines. » 

« J’ai été introduite à un professeur qui enseignait les mathématiques et la cryptographie à des officiers de l’armée. Il m’a expliqué ce qu’est la cryptographie, le rôle que jouent les mathématiques, ainsi que toute l’idée du chiffrement et de l’analyse cryptographique. Et tout cet univers m’a paru incroyablement fascinant. Il était tellement passionné et enthousiaste à ce sujet qu’il était facile de se laisser emporter. J’ai travaillé sur un projet d’un an avec lui, mais je voulais en apprendre davantage. 

À partir de là, PJ a décidé de se consacrer à la cybersécurité. Pour acquérir une expérience plus immersive, elle a estimé que le moment était venu de faire le grand saut, de l’Inde vers le sud-est des États-Unis. 

« À l’époque, je ne trouvais rien en Inde qui enseigne vraiment la cybersécurité de manière spécifique, et mon frère m’a donc suggéré de regarder les universités aux États-Unis. Il s’est avéré qu’il y avait alors quelques universités qui proposaient un programme dédié à la cybersécurité ou à l’infosec. J’ai donc fini par postuler à toutes, et heureusement, Georgia Tech a accepté ma candidature. » 

Jagdale a pris la parole à RSA Europe en 2008 à Londres. Le thème de la conférence était Alan Turing, connu pour avoir aidé à déchiffrer les codes allemands pendant la Seconde Guerre mondiale. RSA Europe présentait une exposition de toutes sortes de machines à chiffrer provenant de lieux et d’époques très différents. Jagdale débutait alors sa carrière et ces présentations l’ont émerveillée. Ce souvenir lui est resté.

Mettre un pied dans la porte

Malgré un master en poche, PJ s’est heurtée à un autre obstacle : obtenir une expérience professionnelle officielle et, au final, lancer sa carrière.  

« Ce n’était pas facile quand j’essayais de démarrer, et je ne pense pas que ce soit plus facile aujourd’hui », a déclaré PJ. « Dans mon propre parcours, alors que je suivais mon programme de master, comme tout le monde pendant l’été, je cherchais un stage, et ce n’était pas facile parce que je commençais tout juste mon parcours en cybersécurité. Tout le monde cherchait des personnes ayant de l’expérience, et le programme de master était la première fois où j’apprenais vraiment beaucoup de choses sur la cybersécurité. Il était donc un peu difficile de convaincre les personnes qui cherchaient à recruter des stagiaires que je connaissais suffisamment de choses pour faire le travail. » 

Cependant, alors que les camarades de PJ commençaient leurs propres stages, elle est tombée sur une entreprise qui allait non seulement permettre à sa volonté d’apprendre et à ses compétences en cybersécurité de briller, mais aussi lui permettre d’explorer l’un de ses aspects préférés de la cybersécurité : la sécurité des applications web. 

« Je suppose que mon “coup de chance” a eu lieu lorsque quelqu’un m’a présentée à cette entreprise, venue à Georgia Tech pour parler de la sécurité des applications web. J’étais vraiment fascinée par ce sujet, surtout parce qu’à l’époque les applications web étaient un domaine émergent. Heureusement, quelqu’un que je connaissais avait un contact dans cette entreprise et m’a recommandée. »  

« Quand je suis allée à l’entretien, j’étais nerveuse, parce que je devais leur dire que je ne connaissais vraiment rien à la sécurité des applications web ni aux applications web en général. Mais cela n’avait pas d’importance, car la personne qui m’a interviewée m’a demandé : « Que savez-vous ? » J’ai répondu : « J’ai appris un peu de sécurité réseau. » Il m’a alors posé toutes sortes de questions sur la sécurité réseau, et j’ai réussi à le convaincre que, s’il y avait un sujet qui m’intéressait, je savais comment apprendre à son sujet et le comprendre. Je pense donc que cela l’a convaincu que j’avais de la valeur pour le poste. Et c’est ainsi que cette aventure a commencé. »  

Jagdale et un collègue en infosec ont présenté sur la scène principale de la conférence Palo Alto Networks 2019. Dans les mots de Jagdale, « Nous avons décidé de faire ce sketch extrêmement kitsch sur le jeu de rôle attaquant-défenseur. J’incarnais le rôle de l’attaquant, et l’un de nos ingénieurs SOC jouait le défenseur. Nous avons rejoué une attaque démontrant pourquoi il est si difficile de prévenir, détecter ou répondre à ces attaques. »

« C’était la partie kitsch », plaisante Jagdale.

Avec un déficit de talents de plus de 3,5 millions de postes vacants en cybersécurité, PJ estime que le secteur doit s’attaquer aux idées reçues persistantes sur le travail dans ce domaine. 

« Il existe aujourd’hui beaucoup d’idées reçues sur la cybersécurité », a déclaré PJ. « L’une des plus répandues est qu’en tant que professionnels de la cybersécurité, nous sommes simplement isolés dans des recoins sombres, à essayer de pénétrer dans quelque chose ou à le garder sécurisé — alors que ce n’est absolument pas le cas. La cybersécurité repose sur des discussions ouvertes et des partenariats pour fonctionner, donc nous sommes constamment sur le terrain, en train de construire des partenariats avec le reste de l’entreprise. Nous devons mieux mettre en avant le fait que la cybersécurité est un espace collaboratif, et non solitaire. » 

PJ a également souligné l’importance de dissiper le mythe selon lequel les femmes et les candidats issus de la diversité ne sont pas les bienvenus dans l’espace de la cybersécurité. 

 « L’expérience de chacun est différente, mais d’après mon expérience dans ce domaine — et j’ai peut-être eu une chance extraordinaire — les gens mettent de côté le fait que vous soyez d’un certain genre ou que vous ayez tel ou tel parcours. Ils veulent accueillir toute personne qui s’intéresse sincèrement à la cybersécurité et qui est passionnée par ce domaine », a déclaré PJ. « La plupart de mes mentors étaient des hommes. Je dirais simplement aux femmes en particulier qui cherchent à entrer dans la cybersécurité que la majorité des hommes du secteur ne se soucieront pas du fait que vous soyez une femme, tant que vous êtes bonne dans ce que vous faites. Cela dit, si cela devient un problème, il faut agir rapidement — vous n’avez pas à subir quoi que ce soit. » 

Et ce schéma m’a suivie tout au long de ma carrière. À chaque changement de poste ou d’employeur que j’ai connu, j’ai postulé à un poste ou passé un entretien pour un poste qui sortait de ma zone de confort, quelque chose que je n’avais jamais fait auparavant. Et c’est l’une des choses dont nous parlions à propos des idées reçues, pourquoi cela peut sembler difficile et confus : « Eh bien, j’en sais si peu, comment vais-je leur montrer que je peux le faire ? »