Sandra Maury, CISO de Kyndryl France et Leader Security & Resiliency, revient sur les points saillants de son parcours, de sa formation d’ingénieur à la création de son poste actuel de responsable de la sécurité des SI du groupe de services informatiques Kyndryl [voir encadré].

Silicon.fr – Quels sont les grands moments de votre parcours qui font que vous avez opté pour le métier de RSSI ?

Sandra Maury – Je suis ingénieur en micro-électronique de formation. C’est dans ce domaine que j’ai débuté ma carrière chez IBM et que j’ai évolué vers des fonctions de sécurité et gestion du risque. La création de Kyndryl est intervenue en 2021.

Chez IBM auparavant, nous avons accompagné les équipes pour passer d’une approche de la sécurité centrée sur les composants électroniques à une approche davantage axée sur l’infogérance des systèmes d’information. La bascule a été opérée en 2013.

J’étais alors responsable de la gestion des risques de sécurité, avant de créer mon poste actuelle de responsable de la sécurité des systèmes d’information (RSSI ou CISO pour Chief Information Security Officer en anglais) chez Kyndryl.

Pour ce faire, j’ai rencontré les équipes internes et échangé avec des dirigeants de Kyndryl. Je pense notamment à Kris Lovejoy, Global Practice Leader Security & Resiliency, Michael Bradshaw, Chief Information Officer (CIO ou DSI en français) et Philippe Roncati, président de Kyndryl France.

Aussi, je pilote l’équipe en charge de la cyber-résilience en France. Notre mission consiste à prévenir les incidents de cybersécurité, y faire face et nous rétablir.

EDR, Zero Trust, IAM… Il s’agit pour nous de sensibiliser les parties prenantes à l’importance que revêt un plan de reprise d’activité (disaster revovery plan). Celui-ci est essentiel pour assurer la continuité d’activité. En outre, disposer d’un environnement résilient est nécessaire pour répondre aux enjeux de confidentialité des données et de conformité.

Avez-vous rencontré des obstacles et obtenu des soutiens au cours de votre carrière ?

Être une femme n’a pas été un obstacle au cours de ma carrière en micro-électronique ou en cybersécurité. Et ne l’est toujours pas.

Au sein des unités de cybersécurité et cyber-résilience, ce qui importe, ce sont les valeurs, les compétences des personnes et la cohésion des équipes.

Investir une culture de travail inclusive portée par la formation, les certifications, le mentorat et l’échange d’expériences est un réel atout.

Je fais toujours quelque chose qui me plaît et j’apprécie de le partager.

Kyndryl est une entreprise de services informatiques née en 2021 de la scission des services gérés d’infrastructure d’IBM. Kyndryl fournit une approche intégrée des services IT, du conseil et des déploiements associés dans plusieurs domaines : cloud, applications, données et IA, espace de travail numérique, cybersécurité et réseau. La multinationale basée à New York emploie plus de 90 000 personnes et réalise plus de 18 milliards $ de chiffre d’affaires annuel.

Parmi les jeunes filles et femmes diplômées des filières STEM, seule une minorité travaille dans les technologies de l’information une fois leur diplôme obtenu. Pourquoi, selon vous ?

Les femmes sont encore très peu représentées dans le secteur de la tech : 22% et seulement 11% dans la cybersécurité, selon McKinsey. Leur éloignement vis-à-vis des options et cursus qui mènent vers les métiers des technologies de d’information débute dès le collège. Or la demande émanant des entreprises surpasse l’offre de profils qualifiés disponibles.

Nous devons faire connaître les métiers – RSSI, CTO, CDO, Data scientist… -, les perspectives d’évolution et sensibiliser les jeunes générations, expliquer, communiquer, partager notre enthousiasme et proposer des modèles.

C’est notre rôle de transmettre et de libérer la parole. Pour renforcer l’attractivité de nos métiers auprès de différents publics ou encore prévenir la pénurie d’ingénieurs informatiques dans le milieu cyber. La cybersécurité et la cyber-résilience ont tellement de facettes qu’intégrer de la diversité dans ce domaine est indispensable pour pouvoir les couvrir toutes.

Mon expérience montre que les femmes peuvent s’épanouir dans ce secteur porteur. Outre des compétences techniques, il requiert des capacités d’écoute, de contextualisation, de résilience, d’analyse et de prise de décisions.

Quelle est votre perception de l’évolution du métier de RSSI ?

Le métier de RSSI, comme celui d’ingénieur, consiste à résoudre des problèmes, à faire face, avec une rigueur scientifique.

Investir la protection n’est pas suffisant. Il est désormais davantage question de sauvegarde et de reprise après incident. C’est une évolution majeure quand on sait que le back up et le service d’annuaire Active Directory, pilier des réseaux d’entreprise, sont les premiers ciblés et attaqués par les acteurs de la menace cyber.

Le RSSI se fait aussi davantage entendre des conseils d’administration. Et ce pour atténuer le risque qui pèse sur le système interne et les environnements clients, présenter un plan d’action et soutenir sa mise en production.

