Anne Hardy (Global MBA 2002), des télécoms à la cybersécurité

Anne Hardy (Global MBA 2002) a fait de la cybersécurité sa spécialité après un début de carrière dans les télécommunications et en tant que développeuse de logiciels. Elle est depuis près d’un an et demi la Chief Security Information Officer chez Talend, dans la Baie de San Francisco, forte de plus de 10 ans passés chez SAP. Anne nous décrypte ses missions, son éventail d’expertises et le parcours semé d’embûches auquel les femmes sont confrontées dans la Tech…   

En quoi consiste ton poste au sein de Talend ?

Mon but est de protéger Talend, ses salariés, et les produits que nous vendons à nos clients, contre les cyberattaques. Mes équipes se soucient des accès aux données en interne et aux applications des salariés, de la protection des ordinateurs utilisés par les salariés, ainsi que de nos réseaux de connexion, dans nos bureaux ou en télétravail. Au niveau des produits, nous aidons nos développeurs à adopter les bonnes pratiques pour qu’il n’y ait pas de vulnérabilité de sécurité dans les logiciels qu’ils mettent au point. Nous devons maintenir un niveau de surveillance sur nos produits avant leur mise en vente, mais aussi lors de l’exploitation – sur des serveurs partagés, entre autres. Ces produits tournent en effet pendant leur utilisation par des clients : il faut continuer à les surveiller pour s’assurer qu’aucune attaque contre eux n’arrive.

Comment relie-t-on la cybersécurité à la data ? 

Il y a quelques années, la cybersécurité se souciait essentiellement des réseaux, des ordinateurs, des systèmes, c’est-à-dire d’équipements physiques... Petit à petit, on a élargi le champ aux applications dans le cloud, aux applications logicielles et à la protection des données personnelles, un domaine en fort développement. Mon équipe est donc organisée en trois piliers : applications, infrastructures, données. Les données voyagent librement et plus facilement, et leur protection demande des outils et des technologies spécifiques, sans compter la partie juridique, qui est centrale.

Quels sont les profils selon les différents types de sécurité ? 

L’équipe qui travaille sur la sécurité des infrastructures est composée de personnes qui ont une expérience en technologies de l’information (IT) et télécommunications. Pour celle qui travaille sur la sécurité des applications, je recherche des personnes qui ont reçu un enseignement informatique de haut niveau et des développeurs qui ont programmé des applications web ou des logiciels embarqués. Ce sont des personnes avec une compréhension du web plus que de l’infrastructure. Et au niveau data, ce sont plutôt des personnes avec une compréhension du code et de l’anonymisation, et qui savent analyser les données. Ce n’est pas évident de trouver ces profils spécialisés dans les trois domaines, et qui maîtrisent aussi la composante sécurité.

Une composante que tu as, car tu as été diplômée de Telecom ParisTech 10 ans avant de faire l’EDHEC Global MBA. Avec le MBA, voulais-tu acquérir des compétences en plus ?

Mon Global MBA était focalisé sur l’IT. Ce n’était pas initialement mon intention de me tourner vers ce domaine, mais j’aimais bien la composante appliquée à un domaine particulier. Ça aurait pu être n’importe quel autre ! Je cherchais surtout à voir le côté théorique du management, ce qu’était de gérer une équipe. Car je travaillais depuis presque 10 ans dans les télécoms, et je manageais de petites équipes, j’avais appris sur le tas. Je ne cherchais pas vraiment un tremplin, mais je pense que ça a été une bonne chose de faire une pause dans ma carrière pour réfléchir à des problématiques auxquelles je n’avais pas été forcément exposée auparavant. Ça m’a ouvert de riches perspectives sur la gestion d’entreprise. La collaboration très internationale avec les autres élèves, qui venaient de mondes totalement différents, nous a permis d’apprendre beaucoup les uns des autres, en plus de l’apport théorique des cours.

Tu travaillais en Californie avant ton Global MBA. Cela a-t-il été pour toi une sorte de révélation sur les possibilités de carrière internationale dans la Tech et la sécurité ?

J’ai commencé à m’intéresser au secteur de la sécurité après le MBA, quand j’ai pris mon premier poste chez SAP. J’avais travaillé un peu moins d’un an en capital risque à Sophia-Antipolis, et je m’étais suis rendu compte que l’industrie et le travail avec les ingénieurs me manquaient beaucoup. Chez SAP, j’étais contente de retourner dans l’organisation technique, avec un nouveau bagage d’études. Je me suis occupée de mettre en place un centre de recherche en sécurité. C’est comme ça que j’ai démarré dans la sécurité, c’était un domaine que je pouvais comprendre et apprendre.

Quelle est la place de la recherche dans la Tech ? Comment fonctionnent les prises de décisions avant que la recherche ne soit lancée ? 

Aujourd’hui, les entreprises n’ont plus vraiment de centres de recherche car la partie innovation est surtout inhérente aux sociétés et le long terme est difficile à définir. Chez SAP, nous avions conscience qu’il était difficile de rester connectés avec les équipes produit en travaillant avec 2-3 ans d’avance par rapport au produit. La transmission des résultats est très difficile, tout comme la quantification des apport concrets dans l’entreprise. En revanche, les entreprises gagnent en idées avec la recherche, et c’est un bon outil pour obtenir des financements et nous faire connaître. Chez SAP, la recherche était financée par la Commission Européenne : nous sommes entrés dans un réseau de scientifiques, où nous pouvions parler de problèmes que les autres avaient aussi, et expérimenter ensemble.

Tu associes la recherche au réseau, au partage, et donc à l’humain. Comment la Tech et la data peuvent se mettre au service de l’humain ?

On effleure le pouvoir des technologies. On commence seulement à se rendre compte de ce qu’on peut faire avec la quantité de données et d’informations qu’on collecte. Cependant, je ne suis pas sûre que le bénéfice direct aux humains soit aussi important que le bénéfice aux entreprises. C’est pour cela que des lois de contrôle existent. Quand on est attiré par l’argent, on peut aller trop loin, et j’espère que les nouvelles lois sur la protection des données vont aider à repenser l’utilisation des données pour le bien de l’humanité, de la Terre, des animaux, même si l’équilibre entre intérêts de l’entreprise et intérêts de l’humanité n’est pas toujours facile à trouver.

Penses-tu que les lois existantes sont cohérentes avec l’évolution de la data ? 

La RGPD est le meilleur exemple de loi obligeant les sociétés à réfléchir à ce qu’elles font avec les données. Elle est à la base de toutes les autres qui sont venues après, mais ce n’est pas suffisant car il faut ensuite qu’elle soit respectée. Certaines entreprises la contournent, même en connaissant le risque énorme qu’elles encourent. Il y a aussi des sociétés qui ne savent pas comment l’appliquer, certains aspects ne sont pas bien définis. La collaboration avec le département juridique est donc primordiale pour aider à comprendre ce qui peut être fait et ce qui ne peut pas l’être. C’est un langage à part entière qui peut être compliqué à traduire en termes technologiques, mais qui nous fait réfléchir au bien-fondé de nos décisions et à leurs conséquences. Je suis d’ailleurs complètement favorable à mettre des freins sur le secteur de la surveillance notamment, qui implique caméras et empreintes digitales, pour éviter que des acteurs mal intentionnés ne prennent possession de ces données. Les régulations européennes sont bien plus poussées qu’aux États-Unis, où les lobbies sont très importants.

Chez Workrise, tu as collaboré avec des psychologues pour comprendre les mécanismes psychologiques à partir de la data…

L’idée de Workrise a démarré quand j’étais chez SAP. À un certain moment, beaucoup de salariés quittaient la société, et je voyais qu’il y avait un certain mal-être parmi les développeurs avec qui j’étais en contact. Quand je cherchais à comprendre d’où il venait, j’ai découvert que des psychologues travaillaient sur l’analyse de données pour comprendre le bien-être émotionnel. On ne peut pas appuyer sur un bouton dans le cerveau des gens pour connaître leurs émotions, donc il faut leur poser des questions qui leur permettent de dire comment ils se sentent. Le problème de la méthode de travail, c’est qu’il faut poser la question plusieurs fois par jour, c’est assez intrusif. Les psychologues ont besoin d’interagir avec les gens pour pouvoir tirer des conclusions. Et les technologies ne sont pas encore au point pour ce genre de choses. Le jour où on n’aura pas à forcer les gens à répondre à des questions, ce sera exploitable.

Dans quelques années l’intelligence artificielle pourra-t-elle remplacer le département RH des entreprises ?

Je ne pense pas. Même si les RH doivent s’occuper de tellement d’aspects administratifs que le côté humain a malheureusement tendance à s’effacer, il est primordial de pouvoir parler de son bien-être à des personnes, surtout aujourd’hui avec la pandémie. L’intelligence artificielle peut aider sur certaines phases du recrutement, l’analyse de performances ou encore les statistiques, mais d’autres aspects essentiels ne peuvent pas être remplacés par les machines. La compréhension des besoins des salariés au jour le jour, faire face aux situations exceptionnelles comme la COVID, ou l’aménagement des bureaux, tout cela doit garder une humanité.

Il y a quelques semaines, Moojan Asghari (MSc Coroporate Finance 2015) partageait avec nous les difficultés que peuvent rencontrer les femmes dans la Tech. Au regard de ton expérience, penses-tu qu’il y ait un ensemble d’ « étapes » pour une femme dans la Tech ?

À mon avis, chaque situation est unique. Évidemment, il y avait moins de femmes que d’hommes quand j’étudiais à Telecom ParisTech, et les femmes avec qui j’ai fait le MBA n’avaient pas de parcours « technique », mais comme cela ne me pénalisait pas personnellement, je ne m’étais jamais posé la question pour les autres. Quand je suis reparti aux États-Unis en 2007, mon chef connaissait bien une personne chez AnitaB.org, (NDLR, une organisation qui promeut la place des femmes dans la Tech) et qui voulait que SAP les rejoigne. Comme il ne savait pas comment s’y prendre avec ces sujets, il a sauté sur l’occasion d’avoir une femme dans son service pour me confier le projet. AnitaB.org m’a complètement ouvert les yeux sur les freins imposés aux femmes dans leur carrière ou sur la différence de traitement vis-à-vis des hommes. J’ai trouvé extraordinaire d’assister à des conférences avec des milliers de femmes qui possédaient un profil technique. Je pouvais enfin discuter librement. Après coup, je me souvenu de remarques que j’avais eues dans ma carrière. On m’avait déjà demandé si des sujets n’étaient pas trop « techniques » pour moi. Sur le moment, cela me semblait normal car cela faisait partie de la culture dans laquelle j’avais grandi. Et en me demandant avec d’autres femmes pourquoi nous acceptions ce genre de remarques et ces normes, j’ai eu une révélation. J’ai été tout à coup confrontée à un problème que j’avais complètement ignoré auparavant. 

Tu parlais d’une prise de conscience… Crois-tu que les femmes soient sous-représentées dans la Tech parce que pendant leurs études la diversité n’est pas assez évoquée ?

Je pense qu’on a aussi un a priori même quand on est une femme. C’est difficile de s’en séparer, particulièrement lorsqu’on recrute sur un poste technique : non, le meilleur candidat ne sera pas forcément un homme ! Les changements de culture prennent énormément de temps. Les grandes entreprises sont encore gérées par des gens d’un certain âge qui ont grandi dans un milieu où les femmes n’étaient pas ingénieures. Et même en poste, les femmes sont souvent en marketing, ressources humaines ou juridique. Deux choses sont compliquées : d’abord embaucher une femme, puis la garder dans l’entreprise, parce que travailler entourée d’hommes n’est pas chose facile.