Certains professionnels de la cybersécurité entrent directement dans l'industrie après avoir terminé leurs études. D'autres rejoignent le domaine à travers des emplois dans des secteurs adjacents comme l'ingénierie logicielle et la conformité. Et d'autres, comme Tracy Z. Maleeff, alias InfoSecSherpa, se retrouvent dans l'industrie de la cybersécurité après avoir passé des années à travailler dans des emplois qui ne sont pas typiquement associés à la cybersécurité – comme la bibliothéconomie.

En tant que chercheuse en sécurité chez Krebs Stamos Group, Maleeff a non seulement réussi à se reconvertir dans une carrière en cybersécurité, mais elle est également devenue l'une des références en matière de conseils de carrière en cybersécurité et de sensibilisation aux questions brûlantes.

Découvrez-en plus ci-dessous sur le parcours fascinant de Maleeff qui est passée de bibliothécaire en cabinet d'avocats à professionnelle de la cybersécurité et leader d'opinion.

Quitter un domaine qu'elle aimait et passer à la technologie

Tracy Maleeff était encore très amoureuse de la bibliothéconomie lorsqu'elle a commencé à envisager un changement. Pourtant, après des années de travail en tant que bibliothécaire dans un cabinet d'avocats, Maleeff a senti qu'il était temps pour elle de passer à de nouvelles choses.

Tracy a découvert une affinité pour la sécurité physique dès son jeune âge en apprenant à crocheter un verrou à l'aide d'une carte de bibliothèque.[/caption]

« Mon parcours vers la cybersécurité commence en fait sur une note un peu triste », a déclaré Maleeff. « Je faisais la navette entre Center City, Philadelphie et les banlieues où je vivais, et je me sentais très confuse quant à ma carrière. J'avais travaillé si dur pour devenir bibliothécaire. J'ai un master en bibliothéconomie et science de l'information de l'Université de Pittsburgh, et j'étais dans les bibliothèques depuis environ 15 ans, mais je ne voyais pas vraiment d'avenir pour moi. Les niveaux suivants étaient des directeurs où il s'agissait vraiment plus de la gestion des personnes et beaucoup moins de la gestion de la bibliothèque, et à cette époque, en 2014, il y avait beaucoup de fusions et de licenciements de cabinets d'avocats.

« J'étais donc vraiment préoccupée par l'avenir de ma carrière. Je ne voulais pas être l'une des nombreuses bibliothécaires de cabinets d'avocats se battant pour les quelques emplois restants à Philadelphie. Cela me rendait très triste. Pour passer le temps, je lisais pour essayer de m'en distraire et j'ai trouvé cet article dans Entrepreneur Magazine qui s'intitulait 'Comment future-proof votre carrière en 2015'. Je l'ai lu, et ce qui m'a vraiment marquée, c'est qu'il disait pour découvrir ce que vous devriez faire pour votre carrière, trouvez les différents points dans vos emplois passés qui vous ont vraiment excité, dynamisé, et challengé d'une manière qui vous motive. Il conseillait de trouver un fil conducteur commun. J'y ai réfléchi et j'ai réalisé que la technologie était ce fil conducteur pour moi. »

Tracy à DEF CON 2016 avec Tarah Wheeler et Keren Elazari.

Tracy travaillant au stand de la Women's Society of Cyberjutsu à la conférence BlackHat, rencontre avec Marina Krotofil.

Se fixer sur la cybersécurité

Bien que Maleeff ait désormais une idée claire du nouveau domaine général qu'elle souhaitait rejoindre, elle n'était pas sûre de la zone technologique dans laquelle elle voulait se plonger. Après avoir assisté à plusieurs meetups et événements technologiques, les conseils d'un ami l'ont finalement aidée à se concentrer sur la cybersécurité.

« J'étais vraiment excitée à l'idée de rejoindre le monde de la technologie, mais j'ai vite réalisé que même si j'aimais la technologie, l'atmosphère des événements tech me semblait peu accueillante », a déclaré Maleeff. « J'étais donc frustrée, et un ami a remarqué ma frustration. Il travaillait dans le secteur technologique depuis longtemps, dans le backend en sécurité, mais je ne le savais pas parce que ces termes m'étaient inconnus. »

« Après m'avoir vue tourner en rond, il a dit : 'Écoute, laisse-moi te parler du backend et de la cybersécurité. Je pense que tu aimerais, je pense que tu serais douée pour ça,' et comme par hasard, cette année-là, il est allé à la conférence BlackHat et a vu une table pour la Women's Society of Cyberjutsu. Il a commencé à parler avec eux, à leur parler de moi, et la prochaine chose que je savais, j'étais de retour dans mon bureau à Philadelphie, recevant des textes sur mon téléphone avec des photos de leur brochure avec des cours qu'ils proposaient aux femmes pour se familiariser avec la cybersécurité, ainsi que des messages d'encouragement. Le mois suivant, j'ai suivi l'atelier en deux parties sur les fondamentaux de la cybersécurité de The Women's Society of Cyberjutsu et ils m'ont séduite avec le port scanning. Je me suis dit, 'Où a été ça toute ma vie ?'

Tandis qu'elle s'acclimatait aux aspects techniques de la cybersécurité, Maleeff a commencé à jouer un rôle actif dans la promotion des meilleures pratiques de cybersécurité, menant des programmes pour le Mois de la sensibilisation à la cybersécurité dans son cabinet d'avocats.

« Une fois que j'ai commencé à suivre des cours, la cybersécurité a vraiment commencé à résonner en moi », a déclaré Maleeff, « cela est devenu mon passe-temps curieux. » « À tel point qu'en septembre 2015, j'ai envoyé un e-mail au CIO du cabinet d'avocats où je travaillais encore comme bibliothécaire et j'ai demandé, 'que fait le cabinet pour le Mois de la sensibilisation à la cybersécurité en octobre et puis-je être impliquée ?' Et quand sa réponse a été 'qu'est-ce que le Mois de la sensibilisation à la cybersécurité', j'étais prête. J'avais un plan en cinq points que j'avais assemblé, j'avais des diapositives, j'avais toute une explication. Je lui ai présenté et il l'a trouvée géniale et m'a mise en charge d'un programme de sensibilisation à la sécurité de cinq semaines. Cela a été une excellente expérience, et cela m'a donné envie d'aller encore plus loin dans la cybersécurité. »

Transition vers la cybersécurité

Bien qu'elle ait maintenant une idée claire de la direction qu'elle souhaitait prendre, Maleeff devait trouver un moyen de passer effectivement du domaine de la bibliothèque juridique à la cybersécurité.

« Une fois que j'avais goûté à la cybersécurité, je savais que c'est là que je voulais aller », a déclaré Maleeff. Cependant, je savais que je ne pouvais pas simplement faire un changement latéral du monde des bibliothèques à l'InfoSec et que j'avais besoin d'une sorte de période tampon pour étudier, me familiariser et réseauter avec des gens et comprendre l'industrie. Sans oublier que j'avais toujours besoin d'un revenu. J'ai exploité mes compétences de bibliothécaire en tant que freelance et j'ai fait des projets de recherche et de gestion des médias sociaux pour des entreprises technologiques ou de cybersécurité qui m'embaucheraient. En février 2016, j'ai quitté le cabinet d'avocats et j'ai commencé à obtenir des travaux en freelance. »

« Juste quelques semaines après avoir démissionné du cabinet d'avocats, j'étais dans un avion pour San Francisco pour assister à RSA car une entreprise m'avait embauchée pour travailler sur place dans le domaine de la recherche et de la gestion des médias sociaux, et cela a lancé une période d'un an et demi où je suis allée à de nombreuses conférences, où j'ai rencontré de nombreuses personnes, suivi des cours, et vraiment appris et absorbé l'industrie en essayant juste de déterminer mon rôle dans celle-ci. J'ai utilisé mes compétences en bibliothéconomie comme moyen de me présenter au monde de la sécurité de l'information et ce que je pouvais offrir. »

De là, Maleeff a utilisé ses compétences pour aider à créer du contenu et faire des recherches qui ont aidé ses clients à mieux articuler leur proposition de valeur, tout en continuant à développer ses compétences en cybersécurité et son réseau. Grâce à ces efforts, elle a pu décrocher son premier poste.

« Grâce au réseautage, j'ai pu me faire remarquer par une entreprise pharmaceutique qui cherchait à embaucher un analyste SOC de niveau débutant, et ce qu'ils m'ont dit lors de l'entretien, c'est que nous pouvons vous enseigner la technologie. Ce sont toutes les autres compétences que vous apportez que nous ne pouvons pas enseigner. Il est vraiment important que les gens sachent que les compétences transférables sont aussi très importantes dans la cybersécurité. »

Tracy est une grande fan des événements Security BSides. Cette photo provient de l'événement BSides Northern Virginia.[/caption]

Vie en tant qu'influenceuse des médias sociaux

Avec le nombre moyen de abonnés sur Twitter autour de 700, dépasser les 1 000 est une raison de célébration pour de nombreux utilisateurs de Twitter. Mais avec près de 50 000 abonnés, Maleeff – alias, l'InfoSecSherpa – profite depuis longtemps des sommets des réseaux sociaux de la cybersécurité en fournissant des conseils à ceux qui sont à la fois dans le domaine et souhaitent le rejoindre.

« Mon histoire avec les médias sociaux remonte en fait à mes jours en bibliothèque », a déclaré Maleeff. « Beaucoup de gens me demandaient des conseils et des idées sur la bibliothéconomie, alors j'ai créé le nom de Library Sherpa parce que j'essayais de penser à quelque chose sur le fait d'aider les gens. C'est comme ça que je vois mon rôle, en tant que guide.

« J'ai ensuite créé un autre compte pour observer sur Twitter InfoSec, InfoSecSherpa. Lorsque des questions se posaient dans mon domaine de compétences pour aider, je sautais pour aider et cela a juste évolué à partir de là. C'était sauvage car j'ai décidé de mettre ma photo sur le profil puis j'allais à des événements et les gens me reconnaissaient et disaient, 'Attendez, n'êtes-vous pas InfoSecSherpa,' et c'est de là que commençait mon réseautage. Je m'asseyais, discutais avec eux, et apprenais à connaître les gens. Je savais que je voulais créer une entité dans cette communauté et cette industrie. Je savais qu'il n'y avait pas de chemin existant pour moi, donc je savais que je devais tracer mon propre chemin et juste en créer un. »

Tracy encourageant son équipe préférée de la Premier League anglaise, Everton, avec son mari à Goodison Park à Liverpool, au Royaume-Uni.

Perspectives sur l'espace de la cybersécurité

Maleeff croit certainement que le secteur de la cybersécurité a un avenir prometteur. Cependant, il y a quelques éléments qu'elle sait que l'industrie doit aborder et qu'elle cherche à souligner.

« Il y a beaucoup de malentendus sur la cybersécurité, mais l'un des plus grands est que les humains ne sont pas au centre de toute sécurité. Certaines personnes de l'industrie préfèrent penser que la sécurité est plus des uns et des zéros et des réseaux et des choses comme ça. Oui, il y a des composants très techniques à la cybersécurité. Je ne conteste pas cela, mais au cœur de la sécurité, que ce soit la sécurité physique ou la cybersécurité, ce sont tous des humains. Les acteurs malveillants sont des humains, les victimes de phishing sont des humains, nous sommes des humains. Quand j'étais chez la société pharmaceutique, j'ai répondu à un e-mail d'un utilisateur et elle a été surprise que je sois humaine. Elle ne pensait pas qu'il y avait des gens dans le département de la sécurité. Elle pensait que c'était tout des ordinateurs et des systèmes automatisés. »

« Je pense que le malentendu parmi l'industrie est que nous ne sommes vraiment pas centrés sur l'humain, mais nous le sommes. Et ensuite, pour les personnes qui veulent entrer dans l'industrie, je pense que trop de gens supposent que c'est tout technique, mais ce n'est pas vrai », a déclaré Maleeff. « Il y a tellement de rôles non techniques ou de rôles techniques inférieurs qui ne nécessitent pas de certifications techniques avancées et cela peut être vos rôles GRC (Gouvernance, Risque et Conformité) ou la sensibilisation à la sécurité/formations sur les risques humains. Il y a vraiment quelque chose pour quasiment tout le monde dans l'industrie de la sécurité de l'information. »

Pour aider à dissiper ce mythe, Maleeff a noté qu'il est extrêmement important pour l'industrie de collaborer davantage pour attirer des talents avec les bonnes compétences et la passion, pas seulement à la recherche d'une licorne.

« Il y a tellement de potentiel pour grandir professionnellement dans l'industrie de la cybersécurité », a déclaré Maleeff. « Mais pour le réaliser, nous devons, en tant qu'industrie, collaborer avec le personnel, les ressources humaines, les directeurs de talent afin de corriger les descriptions de poste. Certaines sont tellement hors de propos, exigeant un CISSP pour un poste de niveau débutant, et des choses irréalistes comme cela. Certes, le (ISC)² a publié des déclarations plus récemment reconnaissant que cette certification n'est pas pour quelqu'un de tout nouveau dans l'industrie et c'est certainement un bon début. Pour vraiment combler le fossé des talents, les entreprises doivent être prêtes à accueillir des personnes comme moi, des personnes en transition de carrière qui ont une valeur ajoutée incroyable et les faire entrer car nous pouvons aider avec différents points de vue, comprendre différents modèles de menace. Il y a tellement de compétences différentes dont nous avons besoin dans l'industrie de la sécurité de l'information. La diversité de pensée résout les problèmes et les modèles de menace varient grandement, alors pourquoi ne pas être plus sécurisé avec plus de représentation de tous les modèles de menace? Les entreprises doivent être plus proactives avec les initiatives DEI ainsi que la formation afin d'aider le monde à améliorer sa posture de sécurité. »

Tracy et sa tasse National Cybersecurity Alliance!

En savoir plus sur Tracy Z. Maleeff ici: https://linktr.ee/infosecsherpa