Des Eagle Scouts aux réfugiés de Wall Street, le domaine de la cybersécurité regorge de personnes issues d’horizons très différents. Même des professionnels de la foresterie comme Sunil Mallik ont trouvé leur voie dans ce secteur.

Responsable de la sécurité des données, des applications et des plateformes chez Discover, le parcours de Sunil vers la cybersécurité a traversé le monde, des forêts accidentées d’Afrique de l’Ouest aux couloirs de Deloitte. Mais comment exactement un diplômé en chimie et ancien spécialiste du bois est-il entré dans la cybersécurité ? Et comment sa vision du secteur a-t-elle changé depuis qu’il a rejoint la cybersécurité ? 

Découvrez ci-dessous notre conversation avec Sunil.

De la forêt à un premier emploi dans la cyber

Bien que certains professionnels de la cybersécurité suivent une trajectoire directe, de la formation en cybersécurité à une carrière dans la cybersécurité, une grande partie des effectifs de la cybersécurité est arrivée dans ce domaine depuis d’autres secteurs. Certains, comme Sunil, ont même trouvé leur voie dans la cyber presque par inadvertance.

Sunil avec ses enfants dans son alma mater, la Pamplin School of Business de Virginia Tech.

« J’ai toujours aimé les choses liées à la cybersécurité — comme la technologie et les jeux vidéo — mais au début, la cyber n’était pas la voie initiale que j’avais choisie », a déclaré Sunil. « J’ai d’abord obtenu une licence en chimie, puis un master en foresterie. Ensuite, j’ai passé un an au Liberia et j’ai travaillé pour une entreprise d’exploitation forestière en Afrique de l’Ouest, mais je savais que je voulais finalement changer de carrière. Alors, pour poursuivre mes études, je suis venu aux États-Unis et j’ai étudié à Virginia Tech, où j’ai obtenu mon MBA ainsi que mon master en comptabilité et systèmes d’information. Grâce à ce parcours, j’ai rejoint l’un des quatre grands cabinets comptables, Deloitte. C’est là que j’ai commencé à faire une transition vers la cybersécurité. »

« Chez Deloitte, j’ai commencé ma carrière dans le domaine du risque technologique, puis je me suis orienté vers la cybersécurité, car le cyberrisque fait partie intégrante du risque technologique. Par exemple, dans le risque technologique, on examine la manière dont une organisation gère les risques liés à la confidentialité, à l’intégrité et à la disponibilité des données. Ensuite, la plupart des missions de conseil portent sur la façon dont les organisations appliquent les contrôles généraux informatiques pour gérer le risque. Pour donner un peu de contexte à la cybersécurité, les professionnels du risque évaluent dans quelle mesure l’entité gère ses risques cyber liés à la sécurité du réseau, à la disponibilité, à la sécurité des applications, etc. C’est tout simplement arrivé naturellement et c’était un domaine qui m’intéressait vraiment. »

Devenir dirigeant en cybersécurité et grandir en tant que leader

Après ses premières incursions dans le travail en cybersécurité, Sunil a occupé divers rôles et fonctions chez Deloitte, notamment en passant plusieurs années de ses dix ans d’ancienneté à concevoir des programmes de cybersécurité, des contrôles et à mettre en œuvre des technologies liées à la cybersécurité pour des agences fédérales et civiles au sein de l’équipe des services de cyberrisque de Deloitte. Cependant, après 10 ans chez Deloitte, Sunil a quitté l’entreprise pour occuper un poste plus senior chez Freddie Mac.

« Chez Deloitte, j’ai vraiment pu faire beaucoup de choses différentes et développer des compétences variées », a déclaré Sunil. « Mais après 10 ans, j’ai décidé de quitter Deloitte pour faire évoluer ma carrière et je suis arrivé chez Freddie Mac où j’étais Business Information Security Officer (BISO). Devenir BISO est un excellent moyen d’assumer davantage de responsabilités, car un BISO est un peu comme un mini-CISO pour une ligne d’activité particulière : il fait beaucoup des mêmes choses qu’un CISO, mais sans certaines tâches en contact avec l’extérieur. Par exemple, en tant que BISO, vous traduisez essentiellement le risque de sécurité pour l’entreprise, vous lui dites où elle doit concentrer ses efforts et vous l’aidez à corriger les faiblesses de son environnement. Cela vous donne donc la possibilité d’acquérir de nouvelles compétences pratiques tout en assumant des responsabilités dans l’ensemble des domaines cyber. »

En plus des responsabilités accrues au quotidien, le rôle de BISO a offert à Sunil sa première véritable occasion de diriger une équipe de professionnels de la cybersécurité — quelque chose qu’il attendait depuis toujours.

Quelques années après avoir occupé le poste de BISO, il a eu la responsabilité supplémentaire de diriger et de gérer la fonction d’architecture de sécurité, d’assurance et de conseil, ainsi qu’une expérience unique et agréable de gestion d’une grande équipe cyber », a déclaré Sunil. « La gestion d’une équipe vous montre vraiment combien de types de compétences et de personnalités différentes existent dans la cybersécurité. L’un des plus grands défis en tant que leader consiste donc à trouver des moyens de s’assurer que tout le monde participe aux discussions et de faire tomber les barrières existantes afin que chacun puisse partager l’information et se sentir à l’aise. C’est l’une des meilleures leçons que j’ai retenues jusqu’à présent, et je ne l’aurais peut-être pas apprise si je n’avais pas eu l’occasion de diriger une équipe. »

S’efforcer de combler le manque de talents

Alors que Sunil s’est davantage ancré dans la cybersécurité, il a travaillé dur pour changer les perceptions qui existent autour du secteur. Plus précisément, il a cherché à mettre en lumière les oublis actuels dans le recrutement de personnes pour le domaine de la cybersécurité, tout en s’efforçant de dissiper les mythes sur ce qu’il faut pour être un professionnel de la cybersécurité.

« Il existe beaucoup d’idées fausses sur ce que c’est que de travailler dans la cyber et sur les compétences dont vous avez besoin », a déclaré Sunil. « Et à mesure que j’ai commencé à travailler dans ce domaine, j’ai acquis une compréhension plus profonde des compétences réellement requises et de ce qui vous permet vraiment de réussir dans la cyber, par rapport à ce que l’on en perçoit. Je pense avoir vraiment commencé à comprendre lorsque j’ai commencé à gérer des équipes. Je pouvais voir qui étaient les meilleurs éléments, quelles qualités ils avaient et comment cela correspondait à la perception. »

« L’un des plus grands de ces mythes est que vous devez avoir un diplôme en cybersécurité ou en technique. Par exemple, si vous regardez, les diplômes en cybersécurité ont évolué au cours des quatre à cinq dernières années, je dirais. Avant cela, cela n’existait même pas comme domaine dédié ou ciblé où l’on pouvait obtenir un diplôme universitaire — mais nous le demandons encore en recrutement par habitude. »

« Dans la cyber, il y a le domaine de la gouvernance, du risque et de la conformité, il y a le domaine de la gestion des vulnérabilités, il y a le domaine de la sécurité des applications. Et tous ne nécessitent même pas un diplôme technique. Je veux dire, nous avons des programmes qui ne font que de la sensibilisation et de la formation à la sensibilisation. Pour ceux-là, vous devez comprendre davantage les utilisateurs que les aspects techniques. Vous ne devriez donc absolument pas laisser l’absence d’un diplôme technique vous empêcher de poursuivre une carrière dans la cybersécurité. »

Sunil a également noté que si les certifications et autres références formalisées sont utiles pour apprendre, elles ne devraient pas être considérées comme l’alpha et l’oméga.

« Les certifications aident certainement à apporter une confirmation et une validation du fait que vous avez des connaissances dans un certain domaine, mais cela ne devrait pas vous empêcher de postuler et cela ne devrait pas être une exigence absolue pour certains postes dans la cyber », a déclaré Sunil. « Préparer des certifications peut prendre beaucoup de temps, et les gens ont des vies bien remplies. Par conséquent, le fait que quelqu’un n’ait pas une certaine certification ne veut pas dire qu’il n’a pas les connaissances, les compétences ou le dévouement nécessaires pour être un professionnel de la cybersécurité. »

À l’approche de ce qui vient ensuite dans la cyber

La cybersécurité est aujourd’hui l’un des secteurs qui connaissent la croissance la plus rapide et les plus passionnants. Et malgré certaines difficultés de croissance encore présentes, Sunil est impatient de voir ce que l’avenir réserve au secteur. 

« La cyber a changé de tant de façons au cours des dernières années, et cela continuera », a déclaré Sunil. « La cyber fait désormais partie intégrante des discussions au sein des conseils d’administration et s’entremêle de plus en plus avec notre quotidien.  Beaucoup des leçons que nous utilisons pour protéger les entreprises s’appliquent également à notre vie personnelle. La communauté de la cybersécurité est jeune et enthousiaste, et le secteur est plus collaboratif que jamais. Par conséquent, si nous pouvons aplanir certains obstacles en matière de recrutement, l’avenir s’annonce très prometteur. J’encouragerais toute personne intéressée par la cybersécurité à envisager de la rejoindre. » 

L’un des aspects préférés de Sunil dans le travail en cybersécurité est la possibilité de faire partie d’une équipe. Le voici avec le directeur de la sécurité des infrastructures de Discover et membre du conseil d’administration de la National Cybersecurity Alliance, Shaun Khalfan, ainsi qu’avec le reste de l’équipe cyber de Discover !