La dite résumé en quelques secondes est devenu une sorte de cliché adopté par les conférenciers motivateurs lors d’une centaine de conférences Ted, mais à la fin des années 1990, Claudia Natanson a eu la chance d’en livrer une en personne au PDG et président du comité exécutif de BT, Peter Bonfield.
«Je me souviens, Sir Peter était le PDG à l’époque, et je savais qu’il venait là où nous étions, alors j’ai commencé à peaufiner mon argumentaire avec lui. Je voulais qu’il pense à vendre la gestion de la réponse aux incidents pour soutenir d’autres organisations parce que je pensais que cela allait être très important », a-t-elle déclaré à Computer Weekly alors que nous commençons l’interview désormais standard basée sur Zoom.
« Avec l’explosion du nombre de personnes faisant des choses sur Internet, j’ai senti que BT allait s’éloigner davantage de la téléphonie. Je lui ai dit : « Autant j’aime le cabines téléphoniques rouges, ils ne survivront pas à cette situation ; nous allons faire plus de communication sur internet qu’à travers ces cabines téléphoniques. Les gens voudront notre soutien lorsqu’ils passeront à Internet ».
Une Bonfield apparemment impressionnée a accepté de la laisser présenter son idée à toute l’équipe de direction, et avec le vent – et le chef de la sécurité de BT – dans son dos, Natanson a pu gagner du soutien (et de l’argent) pour démarrer une nouvelle entreprise au sein de BT, qui est finalement devenu Unité des services de sécurité de BT.
Maintenant, en tant que président de le nouveau Conseil de la cybersécurité du Royaume-Uni, Natanson a pour mission de professionnaliser le cybercommerce – en lui accordant le même statut que les professions comptables, juridiques ou médicales – et d’attirer des talents nouveaux et diversifiés dans le secteur.
Façonner la politique et l’éducation
Natanson a commencé son parcours en tant que chimiste nucléaire, où elle a été frappée par le nombre croissant d’ordinateurs utilisés dans son travail. En conséquence, elle a décidé de changer de cap, poursuivant une maîtrise en informatique à l’Université de Birmingham. Ici, elle a eu l’idée – plus révolutionnaire – que les sciences informatiques avaient besoin de beaucoup plus de soutien et d’éducation dans les écoles qu’elles n’en recevaient, alors elle a obtenu une autorisation spéciale de ses professeurs pour faire quelque chose qui n’avait jamais été essayé auparavant.
« Cela devait me permettre d’étendre mon doctorat à l’École d’éducation et à l’École d’informatique, les superviseurs de chacun examinant mon travail. Cela s’est très bien passé parce que je ne connaissais rien à l’éducation en soi, en tant que domaine d’études, alors j’ai étudié beaucoup de choses qui avaient à voir avec l’éducation – l’esprit, la psychologie et les besoins spéciaux – et c’est à ce moment-là que je suis entré dans les écoles en tant que bien de voir comment l’informatique pourrait aider de cette façon », dit-elle. “Je suis très reconnaissant à l’Université de Birmingham de m’avoir soutenu sur ce point.”
Dans sa carrière ultérieure, Natanson a poursuivi l’idée que la pratique et les programmes d’enseignement des sciences, de la technologie, de l’ingénierie et des mathématiques (STEM) devraient être formés de manière à permettre aux jeunes la liberté de former de nouvelles idées et de suivre différents cheminements de carrière. à leur manière et à leur rythme.
Maintenant qu’elle a l’opportunité de façonner la politique du gouvernement sur la profession de la cybersécurité – lors d’un panel organisé lors de l’événement CyberUK de mai 2021, a déclaré le ministre du numérique Matt Warman le gouvernement écouterait attentivement les recommandations du Conseil de sécurité cybernétique – elle veut que cela influe sur la formation des jeunes britanniques à poursuivre une carrière dans le cyberespace, mais seulement s’ils le souhaitent, ajoute-t-elle, riant alors que la discussion tourne vers le gouvernement publicité “danseuse de ballet” mal reçue à partir de 2020.
Cela, dit Natanson, ne peut se produire que si le concept d’égalité est intégré à la base du système éducatif, pour donner à chaque enfant une chance égale de suivre un chemin qui mènera éventuellement à une qualification et à une carrière en cybersécurité, grâce à la collaboration avec organismes de bienfaisance, écoles, bénévoles et autres organismes professionnels.
«Je dois m’assurer de soutenir certaines de ces actions de réflexion collaborative pour m’assurer que chaque enfant a une opportunité. Je ne peux pas simplement commencer par des spécialités ou des frameworks ; Je dois commencer par l’égalité. Et c’est pourquoi je n’arrête pas de dire que chaque partie du travail du conseil pour la profession, chaque partie, va être étayée par la collaboration », dit-elle.
Cette notion de collaboration s’étend à tous les autres domaines de travail que le Conseil de cybersécurité britannique a été chargé d’entreprendre. En effet, il a déjà engagé un programme de travail collaboratif avec ses 16 organismes membres fondateurs, chacun étant actuellement invité à s’impliquer dans ses initiatives inaugurales, établissant des référentiels de qualifications et de carrière ainsi que des normes professionnelles et une éthique.
Réinventer la cybersécurité
De tels cadres et normes sont absolument nécessaires, dit Natanson. « L’une des choses par lesquelles je veux commencer est la définition du cyber lui-même. La cybersécurité n’est pas bien comprise par les organisations », dit-elle.
« En plaçant la cybersécurité dans la pile technologique, nous éduquons mal les gens, car ils pensent immédiatement qu’il s’agit d’un problème technologique, mais ce n’est pas le cas, c’est un problème commercial, et lorsque vous traitez avec l’entreprise, vous devez travailler à travers les fonctions, influencer et éduquer, car la sécurité concerne en fait les cœurs et les esprits – vous devez gagner les gens, les gens doivent comprendre pourquoi ils le font », dit-elle.
Natanson pense que la rééducation peut être réalisable si l’industrie peut collectivement réimaginer ce qu’est réellement un emploi de sécurité. Elle soutient que la plupart des descriptions de poste en cybersécurité ne sont pas vraiment pour des rôles de sécurité, mais pour des ingénieurs de solutions et des architectes de systèmes.
« La sécurité concerne en fait les cœurs et les esprits – vous devez gagner les gens, les gens doivent comprendre pourquoi ils le font »
Claudia Natanson, Conseil de cybersécurité du Royaume-Uni
Elle pense que cela pose des problèmes d’embauche aux organisations car, n’ayant pas compris ce qu’elles attendent de leurs responsables de la sécurité, elles se lancent sur le marché avec des descriptions de poste qui ressemblent à une liste de souhaits technologiques et ne tiennent pas compte des autres compétences nécessaires pour vraiment exceller. en cyber, dans des domaines tels que l’évaluation des risques et la gestion des personnes.
« Nous devons aider les organisations à comprendre par quoi elles veulent commencer », dit-elle. « Nous avons une pénurie de compétences parce que nous ne communiquons pas, ne définissons pas correctement, parce que nous avons égaré où le cyber devrait être.
« Pour soutenir les organisations [we need to] les ramener à la base, les ramener à la façon dont le cyber affecte l’entreprise [and] aidez-les à comprendre le genre d’aide dont ils auront besoin », dit-elle.
«Ce sera important, en particulier pour les petites organisations. Ce sont eux qui auront besoin de beaucoup de soutien car leur compréhension du cyber pourrait être tout ce qu’ils viennent d’entendre ou de lire. Nous devrons vraiment mettre nos bras autour d’eux pour les soutenir.
L’industrie doit également mettre l’accent sur l’adaptabilité, explique Natanson, car contrairement à d’autres domaines de la pile technologique, la cybersécurité est en constante évolution. «Je veux m’assurer que nous restons pertinents et que nous nous assurons d’avoir une profession qui peut aider les gens alors qu’ils essaient de suivre cette cible mouvante», dit-elle.
Statut Agréé
A terme, l’objectif ultime du Cyber Security Council est de superviser la création d’une accréditation professionnelle, adossée à une charte royale, pour les travailleurs de la cybersécurité, à l’image de celles qui existent déjà dans des domaines tels que la comptabilité et le droit. Des travaux sont déjà en cours pour atteindre cet objectif, et Natanson espère être en mesure de faire rapport sur les progrès accomplis dans ce sens d’ici un an.
« Le gouvernement compte sur nous pour établir les normes, les normes de base que nous voulons que la profession ait », dit-elle. “Cette norme doit incarner beaucoup de choses, elle doit incarner la discipline.”
« La Grande-Bretagne devrait être très fière parce que personne d’autre n’essaie de regarder la profession de ce point de vue. C’est un moment clé pour nous de briller comme un phare pour le reste du monde, et je sais que le reste du monde l’acceptera, car je reçois déjà ces messages.
Claudia Natanson, Conseil de cybersécurité du Royaume-Uni
Tout comme les comptables agréés sont liés par un code de conduite éthique, les consultants en sécurité agréés – à défaut d’un meilleur terme – seront vraisemblablement étroitement contrôlés en ce qui concerne les domaines de la divulgation d’incidents, de la confidentialité des clients, de la protection des données et de l’éthique en général.
« L’une des choses pour lesquelles je me tourne vers une profession, au-delà de toute autre chose, c’est l’éthique », dit Natanson. «Je veux m’assurer qu’il existe une voie éthique et un comportement éthique, et que vous pouvez faire confiance à cet organisme professionnel.
« Pour nous, il s’agira tout d’abord d’établir des références. À quoi ressemble un bon standard ? À quoi ressemble une norme d’entrée dans la profession? Où pouvez-vous aller une fois que vous êtes dedans ? Comment devez-vous vous comporter ? »
Toutes ces choses seront importantes, en particulier pour les responsables de la sécurité qui plaident en faveur de l’investissement auprès de leurs conseils d’administration, qui s’attendront à une cohérence des normes, du comportement et de l’exécution lorsqu’ils engagent un tiers, tout comme ils le feraient s’ils soumissionnaient pour un nouvel auditeur financier.
Piloter la conversation
Pour l’avenir, Natanson est optimiste sur le fait que le travail du conseil peut orienter de nouvelles conversations et adopter de nouvelles idées autour des pratiques de cybersécurité, et pas seulement au Royaume-Uni.
« La Grande-Bretagne devrait être très fière car personne d’autre n’essaye d’envisager la profession de ce point de vue », dit-elle. « Tout le monde est tellement occupé sur la défensive, et personne ne parle de la profession. Je pense que c’est un moment clé pour nous de briller comme un phare pour le reste du monde, et je sais que le reste du monde l’acceptera, parce que je reçois déjà ces messages.
« Le mandat que le gouvernement nous a donné d’être ce parapluie, dans toutes les organisations, pas seulement dans le domaine de la cybersécurité, et d’être la voix de la profession – le conseil le prend très au sérieux. Il compte sur nous pour le guider sur les normes et pour influencer le monde universitaire et l’éducation. Ces deux choses sont très importantes car elles détermineront si nous réussissons », conclut-elle.
