Carrières et Éducation
— Histoires de carrière
15 juin 2022
|
Lecteur Min
De spécialiste forestier à manager en cybersécurité : une discussion avec Sunil Mallik de Discover
Malgré les perceptions communes, les professionnels de la cybersécurité viennent de tous les horizons de la vie.
Des Eagle Scouts aux réfugiés de Wall Street, le domaine de la cybersécurité regorge de personnes issues de tous horizons différents. Même des professionnels de la foresterie comme Sunil Mallik ont trouvé leur place dans cet espace.
Chef de la sécurité des données, des applications et des plateformes chez Discover, le parcours de Sunil vers la cybersécurité s'est étendu à travers le monde, des forêts accidentées de l'Afrique de l'Ouest aux couloirs de Deloitte. Mais comment exactement un diplômé en chimie et ancien spécialiste du bois est-il entré dans la cybersécurité ? Et comment sa vision de l'industrie a-t-elle changé depuis qu'il a rejoint la cybersécurité ?
Découvrez-le ci-dessous dans notre conversation avec Sunil.
De la forêt à un premier emploi dans le cyber
Bien que certains professionnels de la cybersécurité suivent une ligne droite de l'éducation à la cybersécurité directement vers une carrière en cybersécurité, une grande partie de la main-d'œuvre en cybersécurité est entrée dans le domaine depuis d'autres secteurs. Certains, comme Sunil, trouvent même leur chemin vers la cybersécurité presque par inadvertance.
Sunil avec ses enfants à son Alma Mater, Pamplin School of Business, Virginia Tech.
« J'ai toujours aimé les choses liées à la cybersécurité, comme la technologie et les jeux, mais au début, la cybersécurité n'était pas le chemin initial que j'avais choisi », a déclaré Sunil. « Au lieu de cela, j'ai obtenu ma licence en chimie, puis j'ai fait mon master en foresterie. De là, j'ai passé un an au Libéria et j'ai travaillé pour une entreprise d'exploitation forestière en Afrique de l'Ouest, mais je savais que je voulais finalement passer à une autre voie professionnelle. Donc, pour approfondir mes études, je suis venu aux États-Unis et j'ai fréquenté Virginia Tech, où j'ai obtenu mon MBA et j'ai également obtenu mon master en comptabilité et systèmes d'information. Avec ce parcours, je suis entré dans l'une des quatre grandes entreprises de comptabilité, Deloitte. C'est là que j'ai commencé à faire la transition vers la cybersécurité. »
« Chez Deloitte, j'ai commencé ma carrière dans le domaine des risques technologiques, puis je me suis tourné vers la cybersécurité étant donné que le risque cybernétique fait partie intégrante des risques technologiques. Par exemple, dans le domaine des risques technologiques, vous examinez comment une organisation gère le risque lié à la confidentialité, à l'intégrité et à la disponibilité des données. Ensuite, la plupart du travail de conseil est lié à la façon dont les organisations appliquent les contrôles informatiques généraux pour gérer le risque. Pour rendre cela pertinent pour la cybersécurité, les professionnels du risque évaluent dans quelle mesure l'entité gère ses risques en cybersécurité liés à la sécurité du réseau, à la disponibilité, à la sécurité des applications, etc. Cela s'est simplement produit naturellement et c'était quelque chose qui m'intéressait vraiment. »
Devenir un cadre cyber et grandir en tant que leader
Après ses premiers pas dans le travail de cybersécurité, Sunil a occupé divers rôles et fonctions chez Deloitte, notamment en passant plusieurs années de sa décennie de carrière à concevoir des programmes de cybersécurité, des contrôles et à mettre en œuvre des technologies liées à la cybersécurité pour des agences fédérales et civiles dans le cadre de l'équipe des services de gestion des risques cybernétiques de Deloitte. Cependant, après 10 ans chez Deloitte, Sunil a quitté l'entreprise pour occuper un rôle plus senior chez Freddie Mac.
« Chez Deloitte, j'ai pu faire vraiment beaucoup de choses différentes et développer des compétences variées », a déclaré Sunil. « Mais après 10 ans, j'ai décidé de quitter Deloitte pour faire évoluer ma carrière et je suis venu chez Freddie Mac, où j'étais le Business Information Security Officer (BISO). Devenir un BISO est un excellent moyen de prendre plus de responsabilités parce qu'un BISO est en quelque sorte un mini-CISO pour une ligne d'affaires particulière qui fait beaucoup des mêmes choses qu'un CISO, juste sans certaines des tâches externes. Par exemple, en tant que BISO, vous traduisez essentiellement le risque de sécurité pour l'entreprise, en lui disant où elle doit se concentrer et en l'aidant à remédier aux faiblesses de son environnement. Donc, cela vous donne la capacité d'acquérir de nouvelles compétences pratiques tout en assumant des responsabilités dans tous les domaines cyber. »
En plus des responsabilités accrues en termes de travail quotidien, le rôle de Sunil en tant que BISO lui a donné sa première véritable opportunité de diriger une équipe de professionnels de la cybersécurité – quelque chose qu'il avait toujours attendu avec impatience.
Quelques années après avoir pris le rôle de BISO, il a eu la responsabilité supplémentaire de diriger et de gérer le rôle d'architecture de sécurité, d'assurance et de conseil, une expérience unique et agréable pour gérer une grande équipe cyber », a déclaré Sunil. « Gérer une équipe vous montre vraiment combien il existe de types de compétences et de personnalités différents dans la cybersécurité. Ainsi, l'un des plus grands défis en tant que leader est de trouver des moyens de s'assurer que chacun participe aux discussions et d'éliminer tous les obstacles qui existent afin que tout le monde puisse partager des informations et se sentir à l'aise. C'était l'une des meilleures leçons que j'ai apprises jusqu'à présent et je n'aurais peut-être pas pu l'obtenir si je n'avais pas eu la chance de diriger une équipe. »
Travail pour combler le fossé des talents
Alors que Sunil est devenu plus ancré dans la cybersécurité, il a travaillé dur pour changer les perceptions qui existent autour de l'industrie. Plus précisément, il a essayé de mettre en avant les négligences actuelles qui existent dans le recrutement des individus dans le domaine de la cybersécurité et de dissiper les mythes sur ce qu'il faut pour être un professionnel de la cybersécurité.
« Il y a beaucoup de mauvaises perceptions sur ce que c'est que de travailler dans le cyber et les compétences dont vous avez besoin », a déclaré Sunil. « Et quand j'ai commencé à travailler dans cet espace, j'ai commencé à avoir une compréhension plus profonde des compétences réellement requises et de ce qui vous rend vraiment performant dans le cyber par rapport à la perception. Je pense que j'ai vraiment commencé à comprendre lorsque j'ai commencé à gérer des équipes. Je pouvais voir qui étaient les meilleurs performants, quels attributs ils avaient et comment cela correspondait à ce que la perception est. »
« L'un des plus grands de ces mythes est que vous devez avoir un diplôme en cybersécurité ou technique. Par exemple, si vous regardez, les diplômes en cybersécurité ont évolué au cours des quatre à cinq dernières années, je dirais. Avant cela, cela n'existait même pas comme une zone dédiée ou ciblée où vous pouviez aller et obtenir un diplôme universitaire - mais néanmoins, nous le demandons dans le recrutement par habitude. »
« Dans le domaine cyber, il y a le domaine de la gestion des risques et de la conformité, il y a le domaine de la gestion des vulnérabilités, il y a le domaine de la sécurité des applications. Et tous ne nécessitent pas d'avoir un diplôme technique. Je veux dire, nous avons des programmes qui font simplement de la sensibilisation et de la formation. Pour ceux-ci, vous devez plus comprendre les utilisateurs que les domaines techniques. Donc, vous ne devriez certainement pas laisser un diplôme technique vous empêcher de poursuivre une carrière dans la cybersécurité. »
Sunil a également noté que bien que les certifications et d'autres critères formalisés soient utiles pour l'apprentissage, ils ne devraient pas servir de fin en soi.
« Les certifications aident certainement à donner l'affirmation et la validation que vous avez des connaissances dans un certain domaine, mais cela ne devrait pas vous empêcher de postuler et cela ne devrait pas être une exigence rigide pour certains postes dans le cyber », a déclaré Sunil. « Poursuivre des certifications peut être très chronophage, et les gens ont des vies occupées. Par conséquent, juste parce que quelqu'un n'a pas une certaine certification ne veut pas dire qu'il n'a pas les connaissances, les compétences ou la dévouement pour être un professionnel de la cybersécurité. »
Regarder vers l'avenir dans le cyber
La cybersécurité est l'une des industries les plus dynamiques et passionnantes aujourd'hui. Et malgré certaines douleurs de croissance persistantes, Sunil est impatiemment en attente de voir ce qui attend l'industrie.
« Le cyber a changé de tant de façons au cours de plusieurs des dernières années, et continuera à le faire », a déclaré Sunil. « Le cyber est une partie active des discussions en salle de conseil de nos jours et il est de plus en plus imbriqué dans nos vies quotidiennes. De nombreuses leçons que nous utilisons pour protéger les entreprises s'appliquent également dans nos vies personnelles. La communauté de la cybersécurité est jeune et enthousiaste, et l'espace est aussi collaboratif que jamais. Par conséquent, si nous pouvons résoudre certains des problèmes en termes de recrutement, l'avenir semble très prometteur. J'encouragerais quiconque avec un intérêt dans le domaine de la cybersécurité à envisager de le rejoindre. »
Une des parties préférées de Sunil à travailler dans la cybersécurité est l'opportunité de faire partie d'une équipe. Ici, il est avec le Chief Infrastructure Security Officer de Discover et membre du conseil de NCA, Shaun Khalfan et le reste de l'équipe cyber de Discover !
Articles en vedette
Étiquettes