RootedCon : Une « erreur » dans un discours révèle pourquoi il est si difficile d’être une femme dans la cybersécurité : « C’était un manque absolu de respect professionnel » | Technologie

Le 7 mars, Gabriela García et David Meléndez ont prononcé une conférence devant 1 500 personnes à la RootedCon, la plus grande conférence sur la cybersécurité du monde hispanique. intitulé « Territoire sombre : paralyser le réseau ferroviaire de tout un pays ». Tout s’est déroulé comme prévu. La discussion portait sur une vulnérabilité délicate en matière de sécurité ferroviaire, en matière de signalisation. García est développeur de logiciels, pirate et professeur, et Meléndez est ingénieur R&D sur le le piratage d’Innotec Security avec plus d’une décennie d’expérience dans la communauté.

La conférence, pas encore disponible en ligne, a eu un certain impact sur les blogs et les médias. Mais quelques jours plus tard, García a porté plainte qu’il a lancé sous forme de message sur X (anciennement Twitter) : «Je trouve curieux que beaucoup de gens qui ont vu notre conférence à @rootedcon oublient de mentionner ma simple existence, sachant que nous avons été impliqués dans la recherche, le développement et l’explication de @TaiksonTexas. [apodo de Meléndez en X] et je travaille à 50%.

Ce message a fait grand bruit. Il a reçu des dizaines de réponses et d’expressions de soutien et a amené le monde hispanique de la cybersécurité à se poser de nombreuses questions sur les préjugés, la méritocratie et le genre. Ce qui semblait être un oubli apparent ponctuel a révélé une situation beaucoup plus complexe.

“C’était un manque absolu de respect professionnel”, a déclaré García à EL PAÍS. “Je l’ai vu répéter plusieurs fois, cela m’a amené à me plaindre pour attirer l’attention sur le manque d’attribution de quelque chose qui m’appartient et cela peut me fermer les portes au niveau professionnel car c’est un discours très marquant également sur le plan technique. niveau », ajoute-t-il. EL PAÍS a consulté une douzaine de personnes du secteur. Personne ne nie qu’il y a peu de femmes dans la cybersécurité et que leur parcours comporte ses propres difficultés.

Il y a cependant davantage de débats sur les raisons et la difficulté générale de progresser dans un secteur aussi compétitif. García explique : « La technologie, et en particulier la cybersécurité, est très compétitive, pleine d’ego, et parfois votre travail ne suffit pas, il faut être connu d’une manière ou d’une autre par vos collègues. C’est un environnement hostile en général, et pour les femmes, ce n’est pas différent. La technologie n’est pas un domaine qui invite à l’entrée, et la cybersécurité encore moins », affirme-t-il.

Lors de la conférence, les différends avec García sont évidents à plusieurs niveaux. Ainsi, par exemple, Meléndez explique à quoi s’est déroulée la fin de sa présentation : « Ils sont venus me saluer et Gabriela ne lui a presque rien dit et ils se sont dit au revoir en disant ‘à plus tard les gars’. Je donne des conférences depuis 13 ans et je suis dans la soupe du secteur. Ils peuvent me serrer la main avant Gabriela car ils m’ont peut-être vu davantage », explique Melendez.

Malgré ce sentiment, Melendez affirme qu’il ne s’agit pas seulement d’une question de genre et qu’il a également souffert de cette « ignorance » pour d’autres raisons « depuis le début » : « Je crois fermement que, plus qu’une question de genre, il faut voir qui ne t’aime pas. Vous voyez comment ils vous appellent d’un endroit, mais pas d’un autre, même si nous occupons 1 500 places à RootedCon. Dans le secteur, tout le monde me connaît comme le gars des drones, mais c’est très curieux de voir comment, quand il est temps d’en parler, littéralement n’importe qui d’autre passe au premier plan, et cela ne peut être que le résultat d’egos endommagés par quelque chose que vous faites. soit vous arrêtez de le faire », explique-t-il à ce journal.

L’organisation de RootedCon fonctionne, sauf cas particuliers, avec un engagement rigoureux sur les œuvres les plus intéressantes avec vote anonyme, explique Román Ramírez, co-organisateur de la conférence : « Nous avons une position très rigide sur le fait de ne pas mettre les femmes sous pression dans le événement . Nous ne voulons pas qu’une femme pense qu’on lui a donné des choses en plus, car la cybersécurité est un secteur très méritocratique dans sa partie la plus technique », déclare Ramírez. La démonstration avec du code est une condition inexcusable et répandue. «C’est une ligne rouge. Les conférences que nous donnons à la RootedCon sont des démonstrations techniques : soit vous manifestez, soit vous ne venez pas », explique Ramírez.

C’est pour cette raison que la disparition de García est encore plus flagrante. À cette difficile combinaison d’ego blessés, d’années dans la communauté et d’engagement clair en faveur de la méritocratie s’ajoute une caractéristique qui complique l’accès aux femmes : l’informatique, et plus encore la cybersécurité, a toujours été un secteur extrêmement masculin. « Dans le secteur en général, il y a entre 1%1 et 18% de femmes », explique Ramírez. « Dans Rooted, il y a eu des années où ce taux était de 5 %, mais cette année, nous avons atteint 24 %. »

Après l’explosion du débat en hacker éthique et l’architecte technologique Fran de la Iglesia a organisé une discussion de plus d’une heure avec García et Meléndez sur sa chaîne Twitch intitulée Les TIC oubliées [nuevas tecnologías]. « Même si nous aimerions appliquer des quotas dans le domaine technologique, le pourcentage de femmes est si faible que cela ne serait même pas techniquement possible », explique De la Iglesia. « Peut-être aussi qu’il y a quelque chose là-dedans, étant donné qu’il s’agit d’un monde analytique très mathématique ; Après tout, l’informatique, ce sont des équations et des langages de programmation. Je ne sais pas si cela a peut-être à voir avec ça ou si depuis longtemps, c’est un site majoritairement masculin et ce qu’il faut, c’est du temps pour qu’il s’entende. parité entre guillemets », ajoute-t-il.

Un écart historique

« L’écart entre les sexes en matière de cybersécurité persiste en raison de la domination historique des hommes dans ce domaine », explique Elena Casado, responsable des opérations de cyber-renseignement chez Deloitte. « Les femmes sont confrontées à des obstacles supplémentaires, tels que explication et, dans de nombreux cas, la nécessité de travailler deux fois plus dur pour être reconnus en tant que professionnels », dit-elle.

Marta Barrio, ingénieure chez Oracle Netsuite, est co-fondatrice de Securiters, un projet de sensibilisation créé en 2021 et l’une de ses initiatives est de créer un espace où davantage de femmes de la communauté apprennent à se connaître. Comme d’autres ingénieurs ayant des années d’expérience, Barrio explique qu’elle ne s’est pas sentie invisible par ses collègues. Mais il y a quelque chose de plus difficile pour les femmes et qui est défini comme « trois obstacles ». « Au début, vous voyiez une femme faire une conférence et vous pensiez automatiquement : ‘faites attention, elle va dire quelque chose d’intéressant, car pour avoir été sélectionnée, elle est sûre d’être bonne’ », explique Barrio. Lorsqu’il y avait plus de femmes, elle a commencé à se voir différemment, dit-elle : « ‘Ils ont dû l’attraper parce qu’elle était une femme et ainsi améliorer les pourcentages’, j’ai entendu à plusieurs reprises », ajoute-t-elle. Cette réaction face à la croissance des femmes a créé cette triple barrière : « La première est mentale, de croire soi-même que ce qu’on va raconter a de la valeur. La deuxième, l’exposition et la prise de parole en public, mais nous en avons quand même imposé une troisième : « Je dois prouver encore plus pour qu’ils ne pensent pas que je suis ici parce que je suis une femme », ce qui implique une pression supplémentaire et que de nombreuses personnes ne veulent pas s’exposer à cause de cette peur », dit-il.

“Tu n’avais pas l’air d’un orateur”

Cette barrière consistant à devoir le perfectionner pour que personne ne croie que la présence d’une femme est due à un quota a évidemment nui à sa croissance. D’autant plus si, comme dans le cas de Gabriela García à RootedCon, lorsqu’elle fait tout ce que la communauté exige, ils l’« oublient ». « D’après ce qu’on m’a dit, je n’avais pas l’air d’être une oratrice », écrit-elle dans l’un de ses messages sur X. C’est le comble de l’invisibilité : répondre à toutes les exigences et continuer à être sous-évaluée.

Cette situation a des conséquences difficiles à mesurer car elles dépendent du caractère et de la confiance de chacun. La cybersécurité n’est pas si différente du reste de la société, mais le manque de présence féminine crée un cercle difficile à briser : « Je connais des filles qui sont des techniciennes très réputées et elles sont toujours là, mais c’est vrai qu’elles sont peu nombreuses et cela coïncide avec le fait qu’ils ont un fort caractère avec une personnalité assez imposante », explique Iris Martín, spécialiste de la cybersécurité.

« Mais en général, les filles qui travaillent dans des domaines où il y a beaucoup d’hommes, nous ne les présentons ni ne faisons de la publicité jusqu’à ce que ce que nous faisons soit trois fois meilleur que celui de nos collègues. Ou dans les offres d’emploi, la plupart des gars, s’ils voient une offre d’emploi et demandent dix choses, ils postulent s’ils en ont deux ou trois, mais la plupart d’entre nous, si nous ne remplissons pas neuf sur dix, nous ne postulons pas. À cause de cette pression, beaucoup de filles qui ont commencé comme techniciennes sont allées dans des domaines de direction parce qu’elles étaient plus à l’aise ou parce que cela payait plus », ajoute Martín.

Cette distinction est évidente même pour un article de journal comme celui-ci. EL PAÍS a dû contacter deux fois plus de femmes jusqu’à ce qu’elle dispose d’un groupe suffisant pour donner son avis sur cette situation. Tous les hommes contactés ont réagi rapidement et sans précaution. «C’est à cause de la culture elle-même dans laquelle nous sommes impliqués», explique Rafa López, professeur et spécialiste de la cybersécurité. On suppose que comme il y avait très peu de filles dans la course, leur parcours sera « peu technique et plus philosophique » : « Il y a un préjugé selon lequel cette personne ne va pas me donner un exposé technique parce que je suis une femme et parce qu’être une femme est associé au fait que vous ne venez pas d’une carrière technique », précise López.

La pression du maintien s’étend à l’ensemble du secteur technologique, au-delà du strict cadre de la cybersécurité. Azahara Fernández Guizán vient de la biologie de la santé, où elle est titulaire d’un doctorat, puis s’est reconvertie en développeur de logiciels. Même ses collègues estiment que ses fonctions ne sont pas techniques : « Vous savez déjà que je suis technique, que je n’ai aucun rôle de direction. À votre avis, qui fait mon travail au quotidien ? Fernández Guizán, qui a remporté trois fois un prix de programmation Microsoft, y répond. Il va maintenant publier un livre : « J’ai des nerfs », dit-il. « J’en ai parlé à mon éditeur, pour voir ce qui va se passer et ce qu’ils vont dire. Peut-être me disent-ils que la partie technique du livre est fausse, ou comment ils vont l’aborder. Il s’agit toujours d’un double standard », ajoute-t-il.

Vous pouvez suivre Technologie EL PAÍS dans Facebook oui X ou inscrivez-vous ici pour recevoir notre bulletin d’information semanal.

_