La cybersécurité est un enjeu majeur pour les entreprises, les organisations et les particuliers. Nous avons discuté de ses différents aspects avec Jelena Zelenovic Matone, responsable de la sécurité de l’information de la Banque européenne d’investissement (BEI). Elle est aussi membre fondateur du conseil d’administration et première présidente de Women Cyber Force et du chapitre luxembourgeois du W4C. Elle nous rappelle l’importance de la place des femmes dans ce secteur. Cette interview représente les opinions personnelles de Jelena.
Pouvez-vous vous présenter en quelques mots ?
Mon enfance a été particulière, car j’ai dû quitter mon pays natal à cause de la guerre. Cependant, j’ai trouvé un nouveau foyer à Toronto, où j’ai obtenu un diplôme de premier cycle en informatique et un MBA à la prestigieuse Rotman’s School of Management. Ces années ont été une source d’inspiration. Elles m’ont permis de tirer des leçons inestimables pour devenir ce que je suis aujourd’hui.
Après avoir travaillé pendant 10 ans dans mon domaine à Toronto, je me suis installée au Luxembourg, en Europe. C’était une grande décision et un grand risque à prendre, mais on ne peut pas grandir sans prendre des risques. En dehors du travail, je suis aussi fière d’être une maman et une épouse. D’ailleurs, je suis à jamais reconnaissante du soutien indéfectible de ma famille, de mes amis et de mes collègues. J’ai déménagé dans plusieurs pays et sur deux continents, et je crois fermement que l’éducation et la connaissance sont des ressources inestimables, qui ne peuvent jamais être enlevées. Elles conduisent au respect et à un réseau qui vaut tous les efforts consacrés à votre carrière.
Je vis selon une conviction personnelle : il faut rester compatissant, gentil, empathique, souriant et généreux, dans les bons comme dans les mauvais moments. Cela ne signifie pas que vous êtes faible.
Qu’en est-il de votre parcours professionnel ? Que vous apporte-t-il ?
Je suis fière d’être responsable de la sécurité de l’information (RSSI) pour la Banque européenne d’investissement (BEI). Je suis très honorée d’avoir joué un rôle essentiel en tant que membre fondateur du conseil d’administration et première présidente de Women Cyber Force et de Women 4 Cyber Chapter au Luxembourg. J’ai également été reconnue comme CISO de l’année 2019 au Luxembourg, Sentinel CISO Global 2020, EU CISO 2020, et Ambassadrice de l’année 2021 au Luxembourg.
Par ailleurs, j’ai près de 20 ans d’expérience dans le domaine de la cybersécurité. J’y ai passé mes études et toute ma carrière. Mon expertise touche la cybersécurité, la gestion des risques TIC, le SMSI, les opérations informatiques, l’audit, les processus commerciaux et financiers et la gouvernance informatique. J’ai aussi été sollicitée par de nombreuses institutions financières internationales (IFI) pour fournir une assistance technique au cours de ma carrière. Enfin, j’ai participé en tant qu’oratrice à de nombreux événements de premier plan dans le monde entier.
Selon moi, la passion pour ce que l’on fait est la clé de la réussite. Les bons comme les mauvais aspects du travail valent tous la peine d’être vécus, si l’on aime ce que l’on fait. Je suis constamment en train de relever des défis et d’apprendre dans ce domaine. C’est très gratifiant ! J’aime travailler avec la technologie et les gens pour résoudre des problèmes, tout en éduquant les autres sur les risques potentiels. Le domaine de la cybersécurité est en constante évolution. Il présente de nouveaux défis, mais le sentiment d’accomplissement et de satisfaction qu’il procure est inégalé. Avoir un but et être stimulé dans son travail est essentiel pour la satisfaction au travail et l’évolution professionnelle.
Pourquoi avez-vous choisi la cybersécurité ?
Cette passion a été le moteur de ma carrière. Depuis mes débuts en tant que consultante lors de la création de la loi SOX, je me suis engagée à acquérir une expérience précieuse, ainsi que les connaissances et les compétences nécessaires pour réussir dans ce domaine, qui évolue rapidement. Grâce aux conseils de managers exceptionnels, j’ai obtenu les certifications CISA et CRISC. Ensuite, j’ai continué à développer mon expertise en travaillant avec diverses organisations internationales.
Lorsque j’ai déménagé en Europe, j’ai bénéficié d’un soutien professionnel inestimable, qui m’a permis de développer mes compétences et d’élargir mon réseau de professionnels de la cybersécurité.
Quels sont les risques actuels auxquels nous sommes exposés ?
La collecte de données est essentielle pour les dirigeants qui souhaitent obtenir des informations précieuses sur leur territoire, leur secteur d’activité, leur population et leurs ressources naturelles. Les données sont devenues un atout très convoité par toutes les entreprises et organisations. Elles leur confèrent un avantage concurrentiel et un pouvoir à l’ère numérique. Toutes les données ont été sélectionnées et choisies en vue d’être analysées par des humains — aucune donnée n’est donc brute.
S’il est essentiel d’adopter les nouvelles technologies et leurs avantages, il est tout aussi crucial de rester vigilant et conscient des éventuels dangers. De nouvelles menaces et de nouveaux défis sont apparus au fil des progrès technologiques. Ces menaces se présentent sous diverses formes : attaques par ransomware, attaques DDoS, menaces persistantes avancées (APT), phishing et ingénierie sociale. Parmi elles, les ransomwares sont les plus courants et les plus répandus.
Pouvez-vous nous donner un exemple de l’un de ces risques actuels ou des attaques qui ont eu lieu ?
Nous pouvons parler de Mirai. Fin 2016, une attaque de botnet appelée Mirai a choqué le monde de la cybersécurité. Elle a ciblé un réseau massif de dispositifs de l’Internet des objets (IoT) pour lancer une attaque par déni de service distribué (DDoS) sur l’infrastructure internet. L’attaque visait un fournisseur de DNS bien connu, et a mis hors service quelques sites web très connus. Il s’agissait de la première grande démonstration de la vulnérabilité des dispositifs IoT et de la menace potentielle qu’ils représentent pour la stabilité et la sécurité de l’internet.
Le botnet Mirai a pu exploiter la puissance de dispositifs IoT (des caméras, des routeurs et des enregistreurs vidéo numériques) connectés à internet, mais qui ne disposaient pas de protocoles de sécurité de base. Cette attaque a été un signal d’alarme pour le secteur de la cybersécurité. La preuve, s’il en faut, que la multiplication des dispositifs IoT pose un risque important pour la sécurité Internet. Le nombre d’appareils IoT devrait croître de manière exponentielle dans les années à venir. Cette croissance créera une surface d’attaque massive que les cybercriminels pourront exploiter, et la possibilité que des attaques telles que le botnet Mirai causent des dommages encore plus importants.
Cependant, au-delà de ces risques, il est aussi crucial de reconnaître l’impact positif des technologies émergentes. L’informatique quantique, par exemple, pourrait faire progresser la médecine en aidant à traiter des maladies comme la maladie d’Alzheimer, le cancer et la maladie de Parkinson. Ou encore de résoudre le problème de la faim dans le monde. En outre, l’IA peut aider à analyser de grandes quantités de données, ce qui permet de prendre de meilleures décisions et de faire des découvertes potentielles, tant que les données sont correctes.
Quelles sont les menaces potentielles pour demain ?
La sécurisation des appareils IoT est soumise à une problématique de taille : l’absence de sécurité intégrée. Ils sont souvent conçus dans un souci de fonctionnalité et de coût, plutôt que de sécurité. Beaucoup ne disposent pas de protocoles de sécurité de base : des mots de passe forts, du cryptage et des mises à jour logicielles régulières. Ce sont alors des cibles faciles pour les pirates, qui peuvent exploiter leurs vulnérabilités pour accéder à des données sensibles ou lancer des attaques.
Il existe aussi un risque de mutations du botnet Mirai et d’autres attaques similaires. Les pirates peuvent modifier et faire évoluer le botnet Mirai et l’utiliser pour cibler de nouvelles vulnérabilités et de nouveaux appareils. Cela conduirait à des attaques encore plus dévastatrices, susceptibles de paralyser les infrastructures critiques et de provoquer des perturbations généralisées.
Comment pouvons-nous nous protéger face aux menaces potentielles ?
Les utilisateurs finaux (entreprises et particuliers) peuvent se protéger des cybermenaces :
- Avec des mots de passe forts et uniques pour tous les comptes. Mieux vaut utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe complexes ;
- En maintenant ses logiciels à jour, en installant régulièrement des mises à jour de sécurité et des correctifs peut protéger ses systèmes contre les vulnérabilités connues ;
- En installant un logiciel antivirus réputé pour détecter et bloquer tout logiciel malveillant ;
- En activant l’authentification à deux facteurs sur nos comptes, qui peut ajouter une couche supplémentaire de sécurité ;
- En nous méfiant des courriels d’hameçonnage et en évitant de cliquer sur des liens suspects ou de télécharger des pièces jointes provenant de sources inconnues. Il faut vérifier l’authenticité des courriels et des liens en vérifiant l’adresse électronique et en survolant les liens. Soyez vigilants face aux appels téléphoniques ou aux courriels non sollicités, qui demandent des informations personnelles ou des identifiants de connexion.
Au niveau national, nous devrions vraiment certifier les dispositifs IoT en gardant la sécurité à l’esprit pour assurer une protection optimale de l’infrastructure, de la société et des citoyens.
La cybersécurité semble très technique vue de l’extérieur. Quelles sont les compétences requises ?
Depuis plusieurs années, je me concentre sur l’élaboration des réglementations requises concernant les aspects financiers des TIC. Je fais aussi partie de nombreux cyber-groupes productifs au niveau mondial. Nous échangeons de nouvelles idées (techniques et non techniques) et de nouvelles pratiques. Ces réunions nous aident à rester à jour. En outre, je contribue régulièrement au cybermagazine italien « CyberTrends », dans lequel des professionnels de la cybernétique écrivent sur les différents défis, innovations et réglementations à venir dans ce domaine.
En revanche, il faut arrêter de penser que les compétences d’un RSSI sont strictement techniques. C’était peut-être le cas dans le passé, mais en tant que RSSI, je suis persuadée que nous devons acquérir des compétences commerciales, humaines et financières. Collaborer avec l’ensemble de l’organisation est une part importante de notre travail. Nous devons donc établir des relations solides avec les parties prenantes (les DPO, les responsables de la sécurité informatique, les directeurs financiers, les PDG et les cadres supérieurs). Ainsi, nous pouvons comprendre au mieux leurs exigences, et plus particulièrement en matière de sécurité de l’entreprise.
Parfois, nos recommandations ne sont pas accueillies avec enthousiasme. Nous devons tout de même communiquer efficacement et aider les entreprises à comprendre les raisons de nos actions. C’est là que réside le défi : trouver comment identifier les domaines d’importance critique, établir des partenariats avec les principales parties prenantes… Le rôle du RSSI ne consiste pas seulement à gérer la technologie, mais aussi à gérer les risques qui pourraient empêcher l’organisation et son personnel de tirer profit de l’information, qui est le véritable joyau de la couronne.
Étant donné que le rôle des RSSI est difficile, comment trouver l’équilibre entre le travail et la vie privée ?
Nous devons rester ouverts au changement et prêts à adapter notre mode de vie en conséquence. Maintenir un bon équilibre entre le travail et la vie privée exige un certain niveau de flexibilité et d’adaptabilité. Cependant, ce qui fonctionne pour une personne ne fonctionne pas nécessairement pour une autre. Chacun doit trouver son propre équilibre, ajusté à son mode de vie et à ses besoins.
Qu’en est-il de l’association Women Cyber Force et du chapitre W4C ?
Je suis passionnée par la défense et la promotion de la cybersécurité et des programmes STEM pour les femmes. Je me consacre à l’autonomisation des femmes dans le domaine et à la promotion d’une plus grande diversité dans l’industrie. Les associations se sont fixé un objectif ambitieux et urgent : renforcer le rôle des filles et des femmes dans le secteur et les aider à choisir une carrière dans les TIC qui corresponde à leurs intérêts. Notre ambition est de créer des opportunités de carrière durables pour elles. Notamment avec le mentorat, l’autonomisation, et le maintien d’un réseau d’entraide, pour partager de futures opportunités de travail.
J’ai vu de mes propres yeux les défis et les opportunités pour une femme dans cette industrie. Les femmes doivent s’entraider. Lorsqu’elles se soutiennent, des choses extraordinaires se produisent. Nous pouvons nous pousser mutuellement à donner le meilleur de nous-mêmes, à prendre des risques, à rechercher de nouvelles opportunités et à franchir des obstacles qui semblent insurmontables.
Nous pouvons être les défenseures et les alliées les unes des autres, nous élever mutuellement et promouvoir nos réalisations respectives. Bien sûr, il est important d’avoir aussi des hommes qui soient des alliés et des défenseurs des femmes, avec une culture qui soutient et valorise la diversité.
Cependant, la diversité englobe bien plus de sujets. Les menaces qui pèsent sur la cybersécurité ne font pas de discrimination fondée sur le sexe, l’ethnie ou la culture. C’est pourquoi nous avons besoin de points de vue diversifiés pour y faire face efficacement. La diversité dans la cybersécurité signifie avoir une équipe composée de personnes issues de milieux, de cultures et d’expériences différents. Une équipe doit être capable de penser de manière critique et créative, afin d’anticiper et de répondre aux cybermenaces en constante évolution. La diversité culturelle est particulièrement importante dans le domaine de la cybersécurité, car elle nous permet de mieux comprendre les différentes façons dont les gens abordent la sécurité.
Que diriez-vous d’inspirant pour convaincre un adolescent ou un étudiant d’entrer dans le domaine de l’informatique ou de la cybersécurité ?
Dans notre monde interconnecté, internet est devenu un élément essentiel de l’économie mondiale et de la sécurité internationale. Toutefois, la dépendance toujours plus grande à l’égard des technologies numériques a donné lieu à de nouveaux défis en matière de coopération dans le domaine de la cybersécurité. Les tensions politiques et les changements fréquents de dirigeants entravent souvent les efforts de collaboration, ce qui rend difficile la lutte efficace contre les menaces émergentes.
Malgré les difficultés, le besoin de communication immédiate et de traitement des données dans divers secteurs (la banque, les transports, la santé, l’énergie, etc.) n’a jamais été aussi crucial. Même les opérations militaires et humanitaires dépendent d’une connectivité internet fiable. Cependant, la pénurie d’experts en cybersécurité est devenue une préoccupation majeure. Les experts prévoient que la situation ne fera qu’empirer au cours des cinq prochaines années.
Pour résoudre ce problème, nous devons (collectivement et chaque fois que nous le pouvons) encourager les jeunes, les prochaines générations, à poursuivre activement des études dans le domaine des technologies de l’information. En les aidant à explorer le monde de la cybersécurité, nous pouvons combler le déficit de talents. Ce nouveau vivier de professionnels qualifiés sera alors capable de faire face aux nouvelles menaces de l’ère numérique. Une carrière dans ce domaine offre des perspectives gratifiantes et enrichissantes et joue un rôle essentiel dans la sécurisation de notre avenir numérique.
<<< A lire également: Thales renforce sa présence en cybersécurité avec l’acquisition de Tesserent | Les États-Unis ont officiellement demandé à réintégrer l’UNESCO >>>
