(English version will follow)
Cette semaine, nous avons eu le plaisir de nous entretenir avec Faiza Kacem, responsable de l’innovation en cybersécurité à la Banque Nationale du Canada.
Parlez-nous de votre parcours.
Je suis une passionnée de la cybersécurité depuis 20 ans. Ma passion s’est traduite par une volonté inébranlable d’aider les gens et les organisations à regarder la cybersécurité comme un avantage compétitif et non un frein à la créativité.
Je suis d’origine tunisienne et une ingénieure de formation en automatisme et informatique industrielle, mais ma passion était toujours les dernières tendances en technologies de l’information. Donc, fraichement diplômée, j’ai été parmi les quelques personnes qui ont contribué à déployer l’Internet tunisien au grand public. Cette expérience a été très enrichissante et a marqué un premier point tournant dans mon intérêt pour la cybersécurité puisqu’avec l’internet viennent les menaces de virus, de pirates informatiques, etc.
Quelques années plus tard, j’ai décidé de continuer ma vie au Canada et, reprendre mes études. Me spécialiser en cybersécurité a été mon premier réflexe. J’ai donc obtenu un Master en génie informatique concentré sur la cybersécurité et la détection d’intrusion. De là, mon cheminement dans les sphères du métier a commencé.
J’ai débuté par la consultation où j’ai eu l’opportunité de côtoyer un bon nombre d’experts en cybersécurité de différents pays. Leur apport et expérience m’ont énormément enrichis et influencés. J’ai aussi rencontré des responsables d’organisation qui parfois croyaient que la cybersécurité est une source de dépense et un mal nécessaire. Ceci m’a encouragé à élaborer des stratégies créatives et innovatrices pour changer cette croyance et convaincre que la cybersécurité est un apport positif à toute organisation et un facteur clé de succès.
Depuis quelques années, j’ai rejoint la Banque Nationale où j’ai occupé plusieurs rôles dans l’écosystème de cybersécurité et continué de poursuivre mon objectif de rendre la cybersécurité accessible à tous.
Pourquoi vous intéressez-vous à la cybersécurité en particulier?
La cybersécurité est un domaine passionnant, complexe et en continuelle évolution et changement. De plus, il touche à toutes les sphères de la société vu les impacts qu’une attaque informatique, une fraude ou un vol d’identité pourront avoir. Protéger les personnes et les biens digitaux est donc un incontournable.
De plus c’est un sujet où la créativité, l’innovation et l’ingéniosité jouent des rôles importants ce qui permet à toute personne œuvrant dans le domaine de se renouveler et d’apprendre en continu et les pousse à se dépasser à chaque jour.
Comment votre travail est-il en lien avec la cybersécurité ? Partagez-nous un point tournant/moment important de votre parcours qui a fait que vous vous êtes intéressée aux nouvelles technologies et à la cybersécurité ?
La cybersécurité est au cœur de mon travail et de ma passion. Je crois que le point tournant de mon parcours et qui a scellé mon intérêt et passion a été lorsque j’ai contribué à rendre l’Internet accessible au grand public. J’ai vu une immense passion et intérêt pour une nouvelle technologie qui se développait et grandissait mais, avec elle venait l’ignorance et la non-conscientisation des menaces qu’elle apportait. Donc sensibiliser les gens aux menaces de l’internet et les aider à s’en protéger a marqué le premier pas dans ma carrière de spécialiste en Cybersécurité et mon intérêt dans le domaine.
Vous avez beaucoup d’expérience dans les technologies informatiques. Avez-vous vu une amélioration en cybersécurité dans les entreprises que vous avez côtoyées ?
Certainement ! Les choses ont beaucoup changé et évolué positivement au cours des années. Les organisations sont de plus en plus conscientes des menaces et risques qu’apportent les technologies et commencent à croire en les bénéfices indéniables des contrôles de cybersécurité. Cette prise de conscience demeure cependant inégale et dépendante du domaine d’activité et de la taille des entreprises. Certaines se considèrent trop petites ou pas assez attrayantes sinon méconnues pour les pirates donc expriment moins d’intérêt en cybersécurité et par conséquence investissent moins pour se protéger !
Malheureusement, il demeure encore une perception chez certains que la cybersécurité est un facteur de coût et un mal nécessaire et c’est notre responsabilité comme passionnées de la cybersécurité de les convaincre du contraire et leur démontrer les avantages d’être une entreprise cyber sécuritaire et consciente des menaces qui peuvent l’impacter et l’impact positif que cela aura sur leurs expansion et succès.
D’après vous, comment la gestion des identités et des accès (GIA), communément appelé en anglais Identity Access Management (IAM) est importante dans une stratégie de cybersécurité ?
La GIA est un des piliers d’une stratégie de sécurité et de protection des données et actifs technologiques d’une organisation. En effet, un système de gestion des accès est, par simple analogie, l’agent de sécurité à la porte d’entrée de votre organisation et qui autorise ou non l’accès à l’immeuble, mais aussi aux étages et bureaux, selon le besoin de la visite.
Connaitre tous les utilisateurs de vos systèmes technologiques et consommateurs de vos données corporatives selon leur rôle et les privilèges qui sont associés est primordiale pour protéger la sécurité des ces systèmes. Bien authentifier vos usagers et leur garantir les accès adaptés à leur rôle mais aussi localisation, le support d’accès qu’ils utilisent, etc. est clé à garder vos données à l’abri des pirates et des utilisateurs malveillants et protéger vos informations stratégiques et celles de vos clients des accès nos autorisés. Si nous analysons bien les derniers gros incidents de sécurité des dernières années, le point commun est une erreur dans la gestion des accès et des privilèges qui a permis de contourner tous les autres systèmes de protection en place.
Beaucoup d’entreprises visent à embaucher des femmes en cybersécurité, mais celles-ci tardent à appliquer à ce genre de postes. Pourquoi est-ce si dur de trouver de la main-d’œuvre en cybersécurité en général et des femmes en particulier ?
Le domaine de la sécurité est assez particulier car était très protégé/confiné et que jusqu’à dernièrement, aucun cursus collégiale ou universitaire n’y menait. En effet, se spécialiser en cybersécurité est souvent déclenché soit par un pur hasard ou en côtoyant des experts qui vous y intéressent. Ceci fait que le nombre des intéressés au domaine est beaucoup plus bas que le besoin de main d’œuvre. C’est un phénomène généralisé et certaines études sont assez préoccupantes puisqu’elles déclarent que l’écart entre l’offre et la demande pourra atteindre 1,8 million mondialement d’ici 2022 [1]. Des programmes éducationnels spécialisés, la vulgarisation du métier auprès des jeunes ainsi que l’implication des experts en cybersécurité dans ces activités pourra améliorer l’attraction. Les employeurs ont leur part à faire et doivent travailler sur des nouvelles méthodes et stratégies d’attraction de talent pour les métiers émergents dont celui de la cybersécurité. Il est aussi pertinent qu’ils s’impliquent plus dans l’écosystème d’éducation et de recherche pour encourager les jeunes à embrasser ce métier.
Pour la main d’œuvre féminine, qui ne représente selon certaines études que 11% de la main d’œuvre mondiale en cybersécurité, les barrières sont multiples. En plus du phénomène cité ci-haut, beaucoup de femmes expriment leur perception que travailler en technologies en général et en cybersécurité en particulier est réservé à la gente masculine.
Plusieurs déclarent que l’opportunité d’intégrer le domaine ne leur a jamais été offerte. D’autres ont une opinion arrêtée sur les tâches faites dans le cadre d’un rôle d’expert cyber et ceci les déterre de facto de poursuivre des ambitions dans le domaine.
Un changement socio culturel devra se faire afin d’influencer l’affluence des femmes dans les technologies et en cybersécurité. Ce changement devra commencer par modifier les perceptions et idées préconçus et présenter le métier sous son vrai jour. Un expert en cybersécurité n’est pas seulement un féru de technologie qui s’enferme avec son ordinateur pour fouiller le « dark web » à la recherche des pirates. Travailler en cybersécurité c’est de de communication pour sensibiliser sur les risques de sécurité, une vue globale des priorités d’affaires et de l’environnement technologique, etc.
[1] (ISC)² and ICMCP
De nos jours, les entreprises partagent beaucoup d’information entre elles en lien avec la cybersécurité. Quelle est votre opinion à ce sujet?
Je suis très favorable à ce partage et échange d’information que ce soit dans le cadre de bonnes pratiques ou des indicateurs d’attaque et de compromission.
Des initiatives gouvernementale et privés sont maintenant en place partout dans le monde et au niveau canadien (CCTX, CSE, FS-ISAC, etc.) pour faciliter cet échange et mettre en contact les différents acteurs afin de favoriser cette pratique.
Je crois fermement que le domaine où il n’y a pas place à la concurrence est celui de la cybersécurité. Nous sommes tous exposés à une attaque un jour ou l’autre et construire des liens d’échanges et de collaboration avec nos pairs est essentiel afin de pouvoir apprendre en communauté, perfectionner nos méthodes et s’adjoindre des alliés potentiels en cas de crise.
*****
Vous désirez partager votre expérience en cybersécurité avec notre communauté? N’hésitez pas à nous contacter à info@serene-risc.ca
Nous voulons entendre parler de vous!
This week we had the pleasure to interview Faiza Kacem, responsible for cybersecurity innovation at the National Bank of Canada.
Tell us about your experiences.
I have been passionate about cybersecurity for 20 years. My passion has been an unwavering commitment to helping people and organizations see cybersecurity as a competitive advantage, not a brake on creativity.
I am of Tunisian origin and a training engineer in automation and industrial computing, but my passion was always the latest trends in information technology. So, recently graduated, I was among the few people who helped to deploy the Tunisian Internet to the general public. This experience was very rewarding and marked a first turning point in my interest for cybersecurity since with the internet came the threats of viruses, hackers, etc.
A few years later, I decided to continue my life in Canada and resume my studies. Specializing in cybersecurity was my first goal. So I got a master’s degree in computer engineering focused on cybersecurity and intrusion detection. From there, my journey in the spheres of the profession began.
I started with the consultation where I had the opportunity to work with a number of cybersecurity experts from different countries. Their input and experience enriched me enormously and influenced me. I also met with organizational leaders who sometimes thought cybersecurity was a source of expense and a necessary evil. This encouraged me to develop creative and innovative strategies to change this belief and convince that cybersecurity is a positive contribution to any organization and a key success factor.
In recent years, I joined National Bank where I held several roles in the cybersecurity ecosystem and continued to pursue my goal of making cybersecurity accessible to all.
Why are you interested in cybersecurity in particular?
Cybersecurity is an exciting, complex and continually evolving and changing field. In addition, it affects all spheres of society given the impact that a computer attack, fraud or identity theft may have. Protecting people and digital goods is a must.
Moreover, it is a subject where creativity, innovation and ingenuity play important roles, which enables anyone working in the field to renew and learn continuously and pushes them to excel every day. .
How is your work related to cybersecurity? Can you share a turning point / important moment in your career that made you interested in new technologies and / or cybersecurity?
Cybersecurity is at the heart of my work and my passion. I believe that the turning point of my journey and which sealed my interest and passion was when I helped make the internet accessible to the general public. I saw a huge passion and interest in a new technology that was growing, but with it came ignorance and unawareness of the threats it brought. So educating people about the threats of the internet and helping them protect themselves has been the first step in my career as a cybersecurity specialist and my interest in the field.
You have a lot of experience in computer technologies. Have you seen an improvement in cybersecurity in the companies you have encountered?
Certainly ! Things have changed a lot and evolved positively over the years. Organizations are increasingly aware of the threats and risks that technology brings and are beginning to believe in the undeniable benefits of cybersecurity controls. However, this awareness remains uneven and depends on the area of activity and the size of the companies. Some consider themselves too small or not attractive enough, if not known to hackers, so they are less interested in cybersecurity and therefore invest less to protect themselves!
Unfortunately, there is still a perception among some that cybersecurity is a cost factor and a necessary evil and it is our responsibility as cybersecurity enthusiasts to convince them otherwise and demonstrate the benefits of being a safe and secure cyber enterprise. aware of the threats that can impact it and the positive impact it will have on their expansion and success.
How do you think Identity Access Management (IAM) is important in a cybersecurity strategy?
The GIA is one of the pillars of an organization’s security and data protection and technology asset strategy. Indeed, an access management system is, by simple analogy, the security officer at your organization’s gateway and who authorizes or not access to the building, but also to the floors and offices, according to the need for the visit.
Knowing all the users of your technological systems and consumers of your corporate data according to their role and the privileges that are associated is essential to protect the security of these systems. Authenticate your users and guarantee them access adapted to their role but also to localization, is key to keeping your data safe from hackers and malicious users and protecting your critical information and that of your customers from authorized access. If we analyze the latest major security incidents in recent years, the common point is an error in the management of access and privileges that has bypassed all other protection systems in place.
Many companies aim to hire women in cybersecurity, but still have difficulty to do so. Why is it so hard to find cybersecurity workers in general and women in particular?
The field of security is rather particular because it was very protected / confined and that until recently, no college or university course led to it. Indeed, specializing in cybersecurity is often triggered either by pure chance or by meeting experts who interest you. This makes the number of people interested in the field much lower than the need for manpower. This is a widespread phenomenon and some studies are quite worrying since they state that the gap between supply and demand will reach 1.8 million worldwide by 2022[1]. Specialized educational programs, the popularization of the profession among young people and the involvement of cybersecurity experts in these activities may improve the attraction. Employers have their part to play and must work on new methods and strategies for attracting talent to emerging jobs, including cybersecurity. It is also relevant that they become more involved in the education and research ecosystem to encourage young people to enter the profession.
For female workers, who according to some studies represent only 11% of the global workforce in cybersecurity, the barriers are multiple. In addition to the phenomenon mentioned above, many women express their perception that working in technology in general and cybersecurity in particular is reserved for men. Many say the opportunity to join the domain has never been offered. Others have a fixed opinion on the tasks performed as part of a cyber expert role and this stops them from pursuing ambitions in the field.
Socio-cultural change will be needed to influence the influx of women into technology and cybersecurity. This change will have to begin by modifying perceptions and preconceived ideas and presenting the job in its true light. A cybersecurity expert is not just a tech lover who locks himself in with his computer to search the “dark web” for hackers. Work in cybersecurity is communication to raise awareness about security risks, a global view of business priorities and the technological environment, etc.
[1] (ISC)² and ICMCP
Nowadays, companies share a lot of information with each other about cybersecurity. What is your opinion about this?
I am very much in favor of sharing and exchanging information, whether as part of good practices or indicators of attack and compromise.
Government and private initiatives are now in place around the world and at the Canadian level (CCTX, CSE, FS-ISAC, etc.) to facilitate this exchange and connect the various actors to promote this practice. I firmly believe that the area where there is no room for competition is the domain of cybersecurity. We are all exposed to an attack one day or another and building links of exchange and collaboration with our peers is essential in order to be able to learn in community, to perfect our methods and to join potential allies in the event of crisis.
*****