Certains professionnels de la cybersécurité entrent directement dans le secteur après leurs études. D’autres y accèdent par des fonctions dans des domaines voisins comme l’ingénierie logicielle et la conformité. Et d’autres encore, comme Tracy Z. Maleeff, alias InfoSecSherpa, trouvent leur voie dans le secteur de la cybersécurité après avoir passé des années dans des emplois généralement sans lien avec la cybersécurité – par exemple la bibliothéconomie.

En tant que chercheuse en sécurité au sein du Krebs Stamos Group, Maleeff a non seulement réussi sa transition vers une carrière en cybersécurité, mais elle est aussi devenue l’un des noms les plus reconnus en matière de conseils de carrière en cybersécurité et d’éclairage sur les sujets qui font débat.

Découvrez ci-dessous le parcours fascinant de Maleeff, de bibliothécaire en cabinet d’avocats à professionnelle de la cybersécurité et figure d’autorité.

Quitter un domaine qu’elle aimait pour passer à la technologie

Tracy Maleeff était encore profondément amoureuse de la bibliothéconomie lorsqu’elle a commencé à envisager un changement. Pourtant, après des années à travailler comme bibliothécaire dans un cabinet d’avocats, Maleeff a senti qu’il était temps pour elle de passer à autre chose et d’essayer de nouvelles choses.

Tracy a découvert très jeune le goût de la sécurité physique en apprenant à ouvrir une serrure à l’aide d’une carte de bibliothèque.[/caption]

« Mon parcours vers la cybersécurité commence en fait sur une note un peu triste », a déclaré Maleeff. « Je faisais la navette entre Center City, Philadelphie, et la banlieue où j’habitais, et j’avais simplement l’impression d’être très perdue dans ma carrière. J’avais travaillé si dur pour devenir bibliothécaire. J’ai un master en bibliothéconomie et sciences de l’information de l’Université de Pittsburgh, et je travaillais dans des bibliothèques depuis environ 15 ans, mais je ne voyais vraiment pas d’avenir pour moi dans ce domaine. Les échelons supérieurs menaient à des postes de direction où il s’agissait surtout de management des personnes et pas tant de gestion de la bibliothèque, et à cette époque, en 2014, il y avait beaucoup de fusions de cabinets d’avocats et de licenciements.

« J’étais donc vraiment inquiète pour mon avenir professionnel. Je ne voulais pas être l’une des nombreuses bibliothécaires de cabinets d’avocats à se battre pour les emplois restants à Philadelphie. Cela m’a rendue très triste. Pour passer le temps, j’ai lu afin de me changer les idées et je suis tombée sur cet article dans Entrepreneur Magazine intitulé “Comment rendre votre carrière pérenne en 2015”. Je l’ai lu, et ce qui m’a vraiment marquée, c’est qu’il disait que, pour déterminer ce que vous devriez faire comme carrière, il fallait repérer dans vos emplois passés les différents moments qui vous ont réellement enthousiasmée, dynamisée et mise au défi d’une manière qui vous donnait envie d’avancer. Il conseillait de trouver un fil conducteur. J’y ai réfléchi et j’ai réalisé que la technologie était ce fil conducteur pour moi. »

Tracy à DEF CON 2016 avec Tarah Wheeler et Keren Elazari.

Tracy tenant le stand de la Women’s Society of Cyberjutsu à la conférence BlackHat, en train de rencontrer Marina Krotofil.

Choisir la cybersécurité

Bien que Maleeff ait désormais une idée claire du nouveau domaine général qu’elle souhaitait rejoindre, elle n’était pas certaine du domaine technologique dans lequel elle voulait se plonger. Après avoir assisté à plusieurs rencontres et événements tech, les conseils d’un ami l’ont finalement aidée à se concentrer sur la cybersécurité.

« J’étais vraiment enthousiaste à l’idée de rejoindre le monde de la technologie, mais j’ai vite réalisé que, même si j’aimais la technologie, l’ambiance des événements tech me semblait peu accueillante », a déclaré Maleeff. « J’étais donc frustrée, et un ami a remarqué ma frustration. Il travaillait depuis longtemps dans la tech, côté back-end et sécurité, mais je ne le savais pas parce que ces termes m’étaient inconnus. »

« Après m’avoir vue tourner en rond, il m’a dit : “Écoute, laisse-moi te parler du back-end et de la cybersécurité. Je pense que ça te plairait, je pense que tu serais douée”, puis, comme le destin l’aurait voulu, il s’est retrouvé cette année-là à la conférence BlackHat et a vu un stand de la Women’s Society of Cyberjutsu. Il a commencé à leur parler, à leur parler de moi, et la suite, c’est que je suis de retour dans mon bureau à Philadelphie, recevant sur mon téléphone des textos avec des photos de leur brochure présentant les cours qu’ils proposaient aux femmes pour les mettre à niveau en cybersécurité, ainsi que des mots d’encouragement. Le mois suivant, j’ai suivi l’atelier en deux parties sur les fondamentaux de la cybersécurité de The Women's Society of Cyberjutsu et ils m’ont eue dès le port scanning. Je me suis dit : “Mais où était-ce caché toute ma vie ?” »

Tout en se familiarisant avec les aspects techniques de la cybersécurité, Maleeff a commencé à jouer un rôle actif dans la promotion des bonnes pratiques de cybersécurité, en dirigeant la programmation du Mois de Sensibilisation à la Cybersécurité dans son cabinet d’avocats.

« Une fois que j’ai commencé à suivre des cours, la cybersécurité a vraiment commencé à me parler », a déclaré Maleeff, « c’est devenu mon passe-temps un peu original. » « À tel point qu’en septembre 2015, j’ai envoyé un e-mail au DSI du cabinet d’avocats où je travaillais encore comme bibliothécaire et lui ai demandé : “Que prévoit le cabinet pour le Mois de Sensibilisation à la Cybersécurité en octobre, et puis-je y participer ?” Et quand sa réponse a été “c’est quoi, le Mois de Sensibilisation à la Cybersécurité ?”, j’étais prête. J’avais préparé un plan en cinq points, j’avais des diapositives, j’avais toute une explication. Je le lui ai présenté et il a trouvé ça formidable, et il m’a confié la responsabilité d’un programme de sensibilisation à la sécurité sur cinq semaines. Ce fut une expérience formidable, et cela m’a donné envie d’aller encore plus loin dans la cybersécurité. »

Passer à la cybersécurité

Malgré une idée claire de l’orientation qu’elle souhaitait prendre, Maleeff devait trouver un moyen de passer concrètement du métier de bibliothécaire juridique à la cybersécurité.

« Une fois que j’ai goûté à la cybersécurité, j’ai su que c’était là que je voulais aller », a déclaré Maleeff. Cependant,  je savais que je ne pouvais pas simplement faire un transfert latéral du monde des bibliothèques vers l’InfoSec et que j’avais besoin d’une période de transition pour étudier, me mettre à niveau, réseauter avec des gens et comprendre le secteur. Sans parler du fait que j’avais encore besoin d’un revenu. J’ai mis à profit mes compétences de bibliothécaire en tant que freelance et j’ai mené des projets de recherche et de gestion des réseaux sociaux pour toute entreprise tech ou cybersécurité qui m’embauchait. Avance rapide jusqu’en février 2016 : j’ai quitté le cabinet d’avocats et j’ai commencé à obtenir des missions freelance. »

« Quelques semaines seulement après avoir démissionné du cabinet d’avocats, j’étais dans un avion à destination de San Francisco pour assister à RSA parce qu’une entreprise m’avait embauchée pour faire du travail sur place dans le domaine de la recherche et de la gestion des réseaux sociaux, et cela a lancé en gros une période d’un an et demi pendant laquelle j’ai participé à de nombreuses conférences, rencontré beaucoup de gens, suivi des cours, et simplement appris et absorbé le secteur, tout en essayant de comprendre mon rôle dedans. J’ai utilisé mes compétences en bibliothéconomie comme moyen de me présenter au monde de la sécurité de l’information et de voir ce que je pouvais apporter. »

À partir de là, Maleeff a utilisé ses compétences pour aider à créer du contenu et à mener des recherches qui ont aidé ses clients à mieux formuler leur proposition de valeur, tout en continuant à développer ses compétences en cybersécurité et son réseau. Grâce à ces efforts, elle a pu obtenir son premier poste.

« Grâce au réseautage, j’ai pu attirer l’attention d’une entreprise pharmaceutique qui cherchait à recruter un analyste SOC débutant, et ce qu’on m’a dit pendant l’entretien, c’est que nous pouvons vous apprendre la technique. Ce sont toutes les autres compétences que vous apportez que nous ne pouvons pas enseigner à quelqu’un. Il est vraiment important que les gens sachent que les compétences transférables sont elles aussi extrêmement importantes dans la cybersécurité. »

Tracy est une grande fan des événements Security BSides. Cette photo provient de l’événement BSides Northern Virginia.[/caption]

La vie d’influenceuse sur les réseaux sociaux

Avec un nombre moyen d’abonnés sur Twitter d’environ 700, dépasser les 1 000 est une raison de célébrer pour de nombreux utilisateurs de Twitter. Mais avec près de 50 000 abonnés, Maleeff – aka, InfoSecSherpa – profite depuis longtemps des sommets exaltants des réseaux sociaux dédiés à la cybersécurité, en offrant des conseils à ceux qui travaillent déjà dans le domaine comme à ceux qui cherchent à y entrer.

« Mon histoire sur les réseaux sociaux remonte en fait aussi à mes années de bibliothèque », a déclaré Maleeff. « Beaucoup de gens me demandaient des conseils et des éclairages sur la bibliothéconomie, alors j’ai trouvé le nom de Library Sherpa parce que j’essayais de penser à quelque chose pour aider les gens. C’est ainsi que je vois mon rôle, comme un guide.

« J’ai ensuite créé un autre compte pour rôder sur Twitter InfoSec, InfoSecSherpa. Lorsque des questions surgissaient dans mon domaine de compétence, je venais aider et cela s’est en quelque sorte développé à partir de là. C’était fou parce que j’ai décidé de mettre ma photo sur le profil, puis j’allais à des événements et les gens me reconnaissaient et disaient : “Attendez, vous n’êtes pas InfoSecSherpa ?”, et cela lançait mon réseautage. Je m’asseyais, je discutais avec eux et j’apprenais à connaître les gens. Je savais que je voulais pouvoir créer une entité dans cette communauté et dans ce secteur. Je savais qu’il n’existait pas de parcours tout tracé pour moi, alors je savais que je devais tracer ma propre voie et simplement en créer une. »

Tracy encourage son équipe préférée de Premier League anglaise, Everton, aux côtés de son mari à Goodison Park à Liverpool, au Royaume-Uni.

Perspectives sur le secteur de la cybersécurité

Maleeff est certainement convaincue que le secteur de la cybersécurité a un avenir prometteur. Toutefois, il y a quelques points que, selon elle, le secteur doit traiter et qu’elle souhaite mettre en lumière.

« Il existe toute une série d’idées reçues sur la cybersécurité, mais l’une des plus grandes est que les humains ne sont pas au centre de toute sécurité. Certaines personnes du secteur préfèrent voir la sécurité comme des uns et des zéros, des réseaux et ce genre de choses. Oui, il existe des composantes très techniques dans la cybersécurité. Je ne le conteste pas, mais au cœur de la sécurité, qu’elle soit physique ou numérique, il y a toujours des êtres humains. Les acteurs malveillants sont des humains, les victimes du phishing sont des humains, nous sommes des humains. Quand j’étais dans l’entreprise pharmaceutique, j’ai répondu à un e-mail d’une utilisatrice et elle a été surprise que je sois humaine. Elle ne pensait pas qu’il y avait des personnes dans le service sécurité. Elle pensait que tout était informatique et automatisé. »

« Je pense que l’idée reçue dans le secteur est que nous ne sommes pas vraiment centrés sur l’humain, mais c’est faux. Et pour les personnes qui veulent entrer dans le secteur, je pense que trop de gens supposent que tout est technique, mais ce n’est pas vrai », a déclaré Maleeff. « Il existe tellement de postes non techniques ou peu techniques qui ne nécessitent pas de certifications techniques avancées et qui peuvent être vos postes GRC (gouvernance, gestion des risques et conformité) ou la sensibilisation à la sécurité / la formation au risque humain. Il y a vraiment quelque chose pour presque tout le monde dans le secteur de la sécurité de l’information. »

Pour aider à dissiper ce mythe, Maleeff a noté qu’il est extrêmement important que le secteur collabore davantage afin d’attirer des talents ayant les bonnes compétences et la bonne passion, et pas seulement de chercher un être rare.

« Il y a un énorme potentiel de développement professionnel dans le secteur de la cybersécurité », a déclaré Maleeff. « Mais pour le réaliser, nous devons, en tant que secteur, collaborer avec le personnel, les ressources humaines et les directeurs des talents afin de corriger les descriptions de poste. Certaines sont totalement à côté de la plaque, exigeant un CISSP pour un poste débutant, ainsi que des choses irréalistes de ce genre. Certes, (ISC)² a publié plus récemment des déclarations reconnaissant que cette certification n’est pas destinée à quelqu’un qui débute complètement dans le secteur, et c’est assurément un bon début. Pour vraiment combler le déficit de talents, les entreprises doivent être prêtes à recruter des personnes comme moi, des personnes en reconversion qui apportent une forte valeur ajoutée, et les embaucher parce que nous pouvons aider avec différents points de vue, en comprenant différents modèles de menaces. Il y a tellement d’ensembles de compétences différents dont nous avons besoin dans le secteur de la sécurité de l’information. La diversité des points de vue permet de résoudre les problèmes et les modèles de menaces varient énormément, alors pourquoi ne pas être plus sûrs avec davantage de représentation de tous les modèles de menaces ? Les entreprises doivent aussi être plus proactives dans leurs initiatives DEI ainsi que dans la formation afin d’aider le monde à améliorer sa posture de sécurité. »

Tracy et sa tasse National Cybersecurity Alliance !

En savoir plus sur Tracy Z. Maleeff ici : https://linktr.ee/infosecsherpa