Étant donné sa formation non technique, Charu Bansal, chef du personnel de la sécurité de l'information chez Elastic, a dû faire face au syndrome de l'imposteur au cours de sa carrière se demandant souvent quelle valeur elle pouvait apporter à la sécurité. Lors de son intervention à la conférence The Diana Initiative 2021, elle a montré comment la diversité des perspectives l'a aidée à résoudre des problèmes de sécurité difficiles alors qu'elle quittait une carrière non technique pour se tourner vers la sécurité de l'information.
Selon Mme Bansal, le fait de douter de soi au cours de discussions techniques peut être le résultat d'une combinaison de facteurs : le bagage technique d'une personne, l'évolution constante de la technologie qui complique le suivi des nouvelles avancées et les préjugés inconscients contre certains groupes sous-représentés.
Pour les femmes travaillant dans le secteur technologique, les préjugés sexistes sont très importants, comme l'explique Mme Bansal :
La technologie est un secteur à forte dominante masculine, même si l'intelligence n'a rien à voir avec le sexe. Pendant des décennies, le discours a été que les hommes sont meilleurs en technologie et il est facile pour beaucoup de l'intérioriser inconsciemment.
La modélisation des menaces est un exercice de collaboration structuré visant à identifier les menaces potentielles pour la sécurité d'un environnement et à élaborer des plans pour atténuer ces menaces de manière proactive.
Cet exercice tire profit d'une perspective plus large et des personnes aux expériences diverses peuvent apporter une immense valeur ajoutée à ce processus, comme l'a expliqué Mme Bansal :
Ayant vécu dans de nombreux pays, ma connaissance des différentes méthodes de paiement sur tous les continents et des vecteurs de menace potentiels m'a été très précieuse lors de l'élaboration d'un modèle de menace pour une plate-forme de paiement mondiale. L'identification et l'analyse de ces modèles de menace "non conventionnels" sont en ce sens la clé du succès.
Dans son exposé, Mme Bansal a utilisé la construction d'un modèle de menace comme une métaphore pour souligner la valeur des expériences de vie unique qui peuvent être sans rapport avec la technologie mais qui peuvent s'avérer précieuses dans la sécurité de l'information :
Chaque fois que je changeais de pays, je dressais une liste de tout ce qui pouvait mal tourner, puis j'essayais de trouver des moyens d'atténuer ces risques. Je modélisais déjà les menaces avant même de savoir ce que c'était et cette compétence m'a été utile pour identifier les risques de sécurité et concevoir des plans de mitigation.
La sécurité est une compréhension du comportement humain, et tous les problèmes de sécurité n'ont pas de solutions techniques, de même que la sécurité n'a pas que des problèmes techniques, a déclaré M. Bansal. Les personnes aux parcours divers peuvent être un atout pour les équipes de sécurité car elles apportent une compréhension unique du comportement humain.
InfoQ a interrogé Charu Bansal sur la façon dont sa formation en comportement humain s'est avérée bénéfique en sécurité de l'information, sur les avantages du mentorat, sur ce qu'elle a appris en affrontant le syndrome de l'imposteur et sur la façon de gérer l'insécurité ou les doutes sur ses aptitudes techniques.
InfoQ : Comment votre vécu culturel et comportemental vous a-t-il aidé dans votre emploi actuel en sécurité de l'information ?
Charu Bansal : La résolution de problèmes en matière de sécurité exige une combinaison de diverses compétences. Pendant toutes ces années où j'ai vécu dans différents pays, j'ai découvert que je connaissais très bien les lois et les règlements au niveau mondial, ce qui m'a été très utile pour planifier la réponse aux incidents. En outre, la résilience acquise en vivant hors de ma zone de confort m'a aidé à rester calme et à communiquer clairement pendant un incident.
La compréhension des cultures, de leurs réactions et de leurs motivations m'a été très utile pour concevoir des exercices de phishing incitant les gens à cliquer sur des liens malveillants. Je me suis également rendu compte de mes grandes qualités d'analyse et de ma capacité à repérer les comportements inhabituels ; par exemple, en enquêtant sur des incidents de sécurité, je pouvais rapidement identifier les schémas d'accès à certains systèmes et repérer les comportements inhabituels des employés.
InfoQ : Quels bienfaits le mentorat vous a-t-il apportés ?
Bansal : Le monde de la technologie peut être assez difficile, surtout pour les femmes. Avoir un mentor peut faire une énorme différence dans votre parcours en tant que professionnelle de la sécurité de l'information.
Avoir un mentor a été l'un des facteurs les plus importants de ma réussite en tant que professionnelle de la sécurité. Il est utile d'avoir des femmes comme modèles pour vous guider et vous soutenir lorsque vous doutez de vous ou que vous êtes en difficulté. Grâce à leur exemple, j'ai pu trouver ma voix et ma confiance pour lutter contre les préjugés sexistes qui existent.
C'est grâce aux encouragements d'une amie proche que je suis passée à la sécurité. Elle continue d'être un mentor, un modèle, une conseillère et une amie. Je lui demande souvent des conseils et du soutien lorsque je suis confrontée à divers problèmes ou que je me demande comment gérer certaines situations.
InfoQ : Qu'avez-vous appris en affrontant le syndrome de l'imposteur ?
Bansal : J'ai appris que si le syndrome de l'imposteur peut sembler réel, il est assez courant et peut être surmonté. J'ai rencontré de nombreux professionnels de la sécurité très accomplis qui luttent contre le syndrome de l'imposteur. Le doute de soi peut être amplifié par des préjugés préexistants (conscients ou non) à l'encontre de certains groupes.
Soutenir et conseiller les autres est un excellent moyen de lutter contre son propre syndrome de l'imposteur. Les organisations peuvent également contribuer à la création d'environnements inclusifs et favorables aux groupes sous-représentés, où les personnes peuvent s'exprimer librement et se sentir à l'aise pour demander de l'aide. La création d'équipes neurodiverses est un moyen d'y parvenir, tout comme la mise en place de politiques organisationnelles inclusives et d'une culture d'entreprise où les gens se sentent en sécurité et où leurs opinions sont respectées, indépendamment de leur origine.
InfoQ : Quel conseil donneriez-vous à une personne se sentant peu sûre d'elle ou ayant des doutes sur ses aptitudes techniques ?
Bansal : Il est important de se rappeler que les connaissances peuvent être acquises et que les compétences techniques peuvent être bâties et perfectionnées. Ne pas maîtriser une certaine technologie ne signifie pas que vous en êtes incapable. Ne laissez pas les autres définir vos limites ; mettez-vous au défi d'apprendre quelque chose de nouveau chaque jour. Trouvez un mentor digne de confiance et demandez-lui de l'aide. Soyez toujours là, préparez-vous, engagez-vous auprès de ceux qui vous entourent et n'abandonnez pas !