La cybersécurité est devenue l'une des priorités stratégiques pour les entreprises. Problème : le secteur manque cruellement de talents, et encore plus de talents féminins. Il devient impératif de féminiser les métiers de la cybersécurité pour renforcer la diversité des compétences et combler le déficit de spécialistes. L’Executive MBA Cybersécurité et Management Stratégique des Risques de l’Information (CMSRI), un programme de l’ESG Executive, s’engage à former des cadres en reconversion, surtout des femmes, aux techniques et outils entourant la cybersécurité.
La cybersécurité a besoin de femmes
La cybersécurité est un secteur en pleine expansion, avec une demande croissante de professionnels qualifiés pour protéger les infrastructures numériques contre des menaces de plus en plus sophistiquées. Pourtant, le manque de diversité dans ce domaine demeure préoccupant. Les femmes ne représentent que 11 % des professionnels en cybersécurité en France, un chiffre encore trop faible par rapport aux besoins actuels et futurs. « Ce manque de diversité empêche l'apport de nouvelles perspectives et idées, pourtant cruciales pour innover face à des cyberattaques de plus en plus complexes », indique Olivier Feix, responsable pédagogique de la formation Executive MBA Cybersécurité et Management Stratégique des Risques de l’Information (CMSRI).
Le déficit de talents dans la cybersécurité est une problématique majeure. Il manquera 35 000 postes dans la cyber d'ici à l'année prochaine. Ce déséquilibre entre l'offre et la demande présente des risques significatifs pour la sécurité des systèmes informatiques. Encourager la participation des femmes dans ce domaine est donc non seulement une question d'équité, mais aussi une solution potentielle à la pénurie de main-d'œuvre.
Une des principales raisons de la sous-représentation des femmes dans la cybersécurité est la persistance des stéréotypes de genre et des barrières culturelles. Dès le plus jeune âge, les filles sont souvent découragées de poursuivre des carrières dans les sciences, la technologie, l'ingénierie et les mathématiques (STEM), domaines dans lesquels la cybersécurité est ancrée. Les préjugés selon lesquels ces domaines seraient mieux adaptés aux hommes créent des obstacles invisibles pour les femmes et les empêchent de se sentir à l'aise ou légitimes dans cette profession.
D’autant que, selon Olivier Feix, ces freins sont totalement faux : « Les femmes ont une meilleure intuition et une meilleure sensibilité que les hommes. Elles captent plus facilement les signaux faibles liés à une attaque cyber. Concernant la posture à adopter lors d’une crise, les femmes résistent mieux au stress ou à la panique. Elles arrivent également à se montrer diplomates afin d’éviter un discours alarmiste, et proposer des stratégies efficaces face à une cybermenace ».
Pour surmonter ces barrières erronées, il est impératif de proposer des formations parlant aux femmes. « La façon dont sont rédigées les descriptions des formations a un impact sur leur attractivité à l’égard du public féminin. Plus il y aura d’offres claires et concises, plus on aura de chance d’attirer des profils divers, y compris féminin. Cela vaut également pour les fiches de poste. La cybersécurité n’est pas uniquement de la technique informatique. Elle intègre désormais les aspects cognitif et psychologique. Il faut adjoindre aux termes techniques les sciences humaines. La cybersécurité consiste à prendre soin du capital immatériel de l’entreprise, en protégeant ses données », explique de son côté Léna Friha, la déléguée générale de l’association Women4Cyber France.
Les entreprises ont tout à gagner en recrutant des femmes expertes en cybersécurité. Les études montrent que les équipes diversifiées ont tendance à être plus innovantes et à résoudre les problèmes de manière plus efficace. Dans un domaine où l'anticipation et la réponse aux cybermenaces requièrent des approches variées et des stratégies créatives, l'inclusion des femmes est primordiale.
L’Executive MBA CMSRI : une formation ouverte aux femmes
Afin de féminiser la cybersécurité, l’ESG Executive, organisme de formation professionnelle du groupe ESG, a lancé l’Executive MBA CMSRI dont la première promo a démarré en novembre 2023. Ce programme forme des cadres-experts et des décideurs opérationnels aux techniques et outils du management d’anticipation, de la gouvernance de sang-froid, du management de la résilience, de la cybersécurité cognitive, de la psychologie comportementale, de la cyber-psychologie et de l’ingénierie sociale.
« Notre formation peut attirer plus de femmes, car on ne se limite pas à de la technique pure. On se base sur la technique pour comprendre la gestion de la cybersécurité avec une dimension managériale et stratégique. L’intuition et la sensibilité face à des crises ont donc toute leur place », indique Olivier Feix.
La formation s’appuie notamment sur des exercices en condition réelle de crise cyber dans une salle de simulation unique au monde (war-room), située au Campus Cyber de Paris la Défense. Elle abrite 18 postes sur lesquels les cyber défenseurs s’entraînent à gérer différents scénarios fictifs de cyberattaque.
Les formateurs mesurent les comportements psychologiques et émotionnels des élèves pendant toute la durée de la cyberattaque. Mouvement des yeux, émotion sur le visage et dans la voix, force et vitesse de frappe sur le clavier, tension et fréquence cardiaque… Tous ces paramètres sont recueillis et analysés pour aider le cyber défenseur à améliorer sa résistance face au stress.
« Ce travail est nécessaire car l’IA va durcir le jeu. Et plus le jeu va être dur, plus la question de la résistance humaine est importante. Il faut être psychologiquement capable de se défendre face à des machines qui gèrent les offensives. On est en train de basculer d’un monde à l’autre. L’IA commence à avoir des capacités pouvant se retourner vers l’individu », alerte Olivier Feix.
Après avoir été immergés dans une attaque cyber, les apprenants échangent avec des anciens membres du GIGN afin de faire le point sur les axes d’amélioration techniques. Ils participent également à des ateliers du Cours Florent pour apprendre à gérer leur stress, leur posture ou encore leur expression en public.
« Les élèves progressent d’exercice en exercice. Nous sommes dans le pratico-pratique. Parler de la cybersécurité sans l’avoir vécu ne sert à rien. Grâce à l’Executive MBA CMSRI, les cyber défenseurs vivent la crise et apprennent à résister. Cette immersion les aide à réagir efficacement et à faire confiance à leurs intuitions », poursuit Olivier Feix.
Paralysant l’ensemble des entreprises, les cyberattaques fictives doivent être traitées au plus haut niveau. Les formés acquièrent ainsi les compétences pour s’adresser aux COMEX ou au CODIR, et leur proposer un plan d’action optimal. « À ce sujet, les femmes savent sortir du discours militaire et anxiogène. Elles sensibilisent mieux que les hommes, prennent davantage de recul, et présentent clairement les choses à leur direction. Ce sont des atouts indispensables pour être un RSSI efficace », informe le responsable pédagogique de la formation.
Lors d’un récent exercice, les 4 premiers élèves sur 18 ayant obtenu les meilleurs résultats étaient des femmes. « L’idée n’est pas d’attirer des femmes dans les métiers de cadre-supérieur dans un objectif de parité, mais pour tout simplement avoir les meilleurs profils cyber. C’est nécessaire pour contrer les menaces à venir », explique Olivier Feix.
L’Executive MBA CMSRI forme des professionnels en reconversion âgés de 35 à 50 ans. « Notre programme compte 40 % de femmes. Nous aimerions monter au moins à 50 % », affirme-t-il. Concernant les profils, il s’agit majoritairement d’individus exerçant déjà dans la cybersécurité qui veulent progresser en interne, ou de personnes connaissant l’IT et voulant se tourner vers le cyber.
Certifiée Qualiopi, la formation dure 14 mois. Les cours sont organisés le vendredi, de 13h à 20h30, et le samedi de 9 à 17h afin que les participants puissent continuer à travailler en parallèle. L’évaluation comprend des études de cas, des mises en situation et des présentations orales. Les apprenants concluent leur formation par un challenge professionnel, en mode Hackathon, durant lequel ils doivent répondre à une problématique réelle d’entreprise.
À l’issue du cursus, les formés obtiennent le titre de niveau 7 « Expert en cybersécurité », enregistré au RNCP 37649.
