Comment renforcer la cybersécurité de son entreprise avec Carole Njoya

La cybersécurité est encore l’angle mort de nombreuses entreprises, qui ne saisissent pas toujours l’ampleur du problème, mais aussi les risques auxquels elles exposent leur business et leurs clients. Pour creuser le sujet, et identifier les bonnes pratiques pour renforcer la cybersécurité de son entreprise, j’ai eu le plaisir de recevoir une spécialiste du domaine, dans lequel il y a encore très peu de femme. 

Carole Njoya s’y est pourtant fait une place de choix en tant qu’experte auprès des TPE-PME via son cabinet de conseil Alcees, mais aussi en tant que conférencière. Ayant grandi au Cameroun, Carole a fait ses études supérieures en France, en commençant par un DUG spécialisé en informatique puis une licence de mathématiques et un master en économétrie et statistiques. Elle a ensuite travaillé dans le secteur financier (banque et assurance) avant de se lancer à son compte en créant son propre cabinet, qui emploie aujourd’hui 4 experts de la cybersécurité. 

Carole nous partage dans ce nouvel épisode du podcast Techlipstick son parcours. Ensemble, on parle de multiculturalité, d'entrepreneuriat, de la place des femmes et des jeunes issus de la diversité dans la tech. Mais Carole nous partage surtout ses conseils pratiques pour renforcer la cybersécurité de son entreprise !

L’importance d’être soutenue pour se lancer en tant que femme dans la tech

En plus du choc thermique que représente inévitablement un déménagement du Cameroun à Lille, où elle poursuit ses études, Carole a dû aussi composer avec les aprioris qui accompagnent encore de nombreuses femmes qui se lancent dans la tech. Comme une précédente invitée du podcast, Hanna Mergui, elle fait partie des seules filles dans sa promo de mathématiques. Mais déjà armée d’une solide détermination et confiance en ses compétences et ses choix d’orientation, mais aussi du soutien indéfectible de ses proches, Carole ne se laisse pas abattre. 

Lorsqu’elle arrive en master d’économétrie, sa promotion est plus paritaire et elle bénéficie d’un esprit d’entraide qui la porte dans ses études. Elle s’y familiarise avec le codage (et notamment le langage SaaS) et mène des travaux pratiques sur des thématiques d’entreprise qui lui seront très utiles par la suite. 

Se former à la cybersécurité dans le secteur de la finance

Lorsqu’elle entre sur le marché du travail, Carole évolue dans le secteur de la finance. Elle applique ses compétences en statistiques chez LCL, où elle travaille à la modélisation de risque de crédit, puis dans le domaine de l’assurance sur des missions de modélisation et d’audit de code. 

Pendant ces huit premières années en tant que salariée, elle enchaîne les cabinets de conseil et se forme dans un métier très polyvalent, celui de consultante. Elle y découvre de nouvelles problématiques transverses, mais se forme aussi à la communication et à la création de contenu en rédigeant des livres blancs et en animant des conférences. 

Elle est progressivement confrontée à l’enjeu de la cybersécurité et aux menaces que représentent les attaques, notamment de type ransomware. Carole participe par exemple à lancer une cyber assurance qui permet aux PME d’intégrer les cyberattaques dans la gestion de leurs risques business. Elle décide même de renforcer son expérience par un  diplôme et fait un MBA sur le sujet. 

Se lancer à son compte dans la cybersécurité

Ce qui va motiver Carole à voler de ses propres ailes et monter son cabinet de conseil est le décalage grandissant qu’elle observe avec sa hiérarchie, qui considère le risque cyber comme une problématique passagère et non comme une tendance de fond, qui ne fait que grossir. D’autant plus que les attaques ont des répercussions énormes sur les entreprises. Un simple oubli de mise à jour peut en effet provoquer un arrêt de longue durée, la dégradation du service, des clients mécontents et les problèmes d’image qui vont avec, voire même la faillite. 

Passionnée de data, Carole voit aussi dans la cybersécurité la possibilité de se poser les bonnes questions. Plutôt que de dérouler ses modèles de données en automate, elle commence à s'interroger sur la data dont elle a besoin, en quelle quantité, mais aussi pour quels usages. 

Elle se lance au début comme freelance pour s’assurer qu’il existe bien un besoin du côté des entreprises et affiner son offre. Le plus gros challenge lorsque l’on monte son activité de conseil est de convaincre que l’on a le bon profil pour la mission et suffisamment d’expérience pour la mener à bien.

Les conseils de Carole pour se défaire du syndrôme de l’imposteur et rassurer ses clients : 

• Apporter rapidement de la valeur sur les missions ; 

• Trouver des alliés au sein de l’entreprise ; 

• Adopter la bonne posture pour être perçue comme une experte. 

• S’avoir s’entourer de personnes avec des compétences complémentaires. Carole a par exemple recruté des profils de juristes et d’ingénieurs. 

La double face de l’arrivée de l’IA dans la cybersécurité 

Sur le sujet de l’IA dans la cybersécurité, Carole part d’un postulat humaniste. 

Pour renforcer cet engagement, Carole a d’ailleurs rejoint la première association à promouvoir un usage éthique de l’intelligence artificielle : Impact IA, aux côtés de grandes entreprises comme Microsoft. Elle a également rejoint le Cercle des femmes de la Cybersécurité, fondé par la Docteur Nacira Salvan et qui promeut les femmes dans un domaine encore majoritairement masculin. 

L’arrivée de l’IA dans la cybersécurité doit donc être abordée dans ces deux facettes : 

• D’un côté, l’IA amène avec elle de nouveaux risques. C’est particulièrement le cas avec la démocratisation de l’IA générative qui permet de mieux leurrer les utilisateurs ;

• De l’autre côté, l’IA est aussi un outil dont doivent s’emparer les entreprises pour renforcer leur cybersécurité. L’intelligence artificielle permet par exemple de détecter plus facilement les menaces, de prendre de meilleures décisions, etc. 

Renforcer la cybersécurité de son entreprise : les 5 choses à savoir 

Aujourd’hui, une PME a quarante fois plus de chance de connaître une cyberattaque qu’un incendie. C’est donc un sujet dont les entreprises doivent absolument s’emparer. 

Carole nous partage ici sa checklist pour renforcer la cybersécurité de son entreprise. 

1. S'intéresser au sujet et se former à la cybersécurité

Les cyberattaques, ça n’arrive pas qu’aux autres. Parmi les dernières entreprises touchées, Picard a récemment dû faire face à une fuite de ses données. En plus d’une solide veille sur le sujet, les entreprises peuvent se former en puisant dans les nombreuses ressources pédagogiques à leur disposition (que ce soit du côté de leur chambre de commerce et de l’industrie, de la CNIL ou encore de la BPI). 

“L’éducation de l’utilisateur est primordiale. Malgré les menaces, on n'a pas le droit d'être résigné. Au contraire, il faut qu'on continue à se battre justement en continuant d'éduquer l'utilisateur comme si on lui donnait un code de la route”. 

2. Comprendre sa dépendance technologique

Deuxième point important pour renforcer la cybersécurité de son entreprise : identifier les technologies dont on a besoin au quotidien. Pour un restaurateur, cela peut être le logiciel de caisse sans lequel il ne peut pas fonctionner. 

3. Se faire accompagner par des professionnels

La cybersécurité n’est pas qu’une question de protection de ses assets. C’est aussi une obligation. On a par exemple vu en France des entreprises ciblées par une cyberattaque qui ont ensuite été sanctionnées par la CNIL pour ne pas avoir suffisamment protégé les données de leur utilisateur. 

L’externalisation permet de se faire accompagner par des spécialistes en évitant : 

• les complexités d’un recrutement dans la tech, où les profils sont rares ; 

• les coûts associés au recrutement d’un salarié dédié à la question. 

4. Bien choisir ses outils et faire les MAJ

Le choix des outils est aussi important pour assurer sa cybersécurité. Mais encore faut-il les mettre à jour. Par exemple, l’hébergeur WordPress peut sembler plus à risque puisqu’il compte un plus grand nombre d'utilisateurs. Mais il offre aussi de nombreuses extensions pour se protéger, permet de faire des scans de son site, etc. 

Là encore, l’enjeu pour renforcer la cybersécurité de son entreprise est de s’éduquer pour connaître les bonnes pratiques

5. Avoir une gestion des mots de passe robuste

Pensez notamment à : 

• Choisir des mots de passe différents pour chaque utilisateur ;

• Utiliser des caractères complexes ; 

• Changer régulièrement vos mdps (tous les 6 mois environ ou immédiatement si le service concerné a subi une attaque). 

Les recos de l’invitée

Pour finir notre échange, j’aime demander à mes invitées de me partager leurs inspirations. Voici celles de Carole : 

• Une femme inspirante : Suzanne Wojcicki, la fondatrice de YouTube et un modèle de sororité dans la tech ; 

• Un livre : Charles Pépin, Les Vertus de l’échec, pour ne pas avoir une vision fataliste de la cybersécurité et muscler sa résilience ;

• Une initiative : Rouge Tech, un forum auquel participe Carole et qui veut rendre la tech plus inclusive ; 

• Un podcast : Les éclaireuses 

• Un conseil aux futures générations : croire en soi et bien s’entourer (de gens qui veulent ton bien, mais aussi d’un solide réseau et de modèles de femmes inspirantes). 

J’espère que cette conversation sur la cybersécurité vous aura plu. Carole a bien raison de nous sensibiliser, puisque nous sommes encore nombreux à ignorer ou minimiser les risques que les cyberattaques font courir à notre business. Pour mieux se protéger, n'hésitez pas à consulter notre guide dédié à la cybersécurité !