Maria Vello, conseillère exécutive, ancienne CEO de l'Alliance pour la cyberdéfense et de la NCFTA
Maria s'est toujours intéressée à la sécurité, dès l'époque où elle travaillait pour une entreprise du classement Fortune 500, où elle gérait l'infrastructure mondiale et le réseau de communication. La véritable carrière de Maria Vello dans le domaine de la sécurité et de la cybersécurité a commencé par une atrocité. Après les attentats terroristes du 11 septembre 2001 aux États-Unis ("11 septembre"), la jeune entreprise pour laquelle elle travaillait a dû fermer ses portes après avoir perdu le soutien de l'une des sociétés d'investissement. Cet événement l'a également incitée à réorienter sa carrière et elle s'est trouvé une nouvelle mission : la lutte contre la cybercriminalité mondiale.
"Lorsque le 11 septembre a eu lieu, je me souviens que je travaillais dans une start-up de télécommunications en Pennsylvanie", se souvient Maria, "ce fut un choc énorme, mais aussi un signal d'alarme : notre pays ne serait plus jamais le même. Les répercussions ont été nombreuses, qu'il s'agisse de la sécurité nationale de notre pays, de notre sûreté, de notre résilience en tant que nation, des implications émotionnelles et, bien sûr, des implications économiques. Par exemple, celle qui nous a touchés, mes collègues et moi, lorsque l'un des trois investisseurs de notre jeune entreprise de télécommunications s'est retiré et que nous avons dû fermer nos portes".
Mais l'attaque terroriste qui a changé le monde a également fait réfléchir Maria. Elle s'est rendu compte que "l'avenir de la guerre ne se limiterait pas aux attaques physiques, surtout avec l'évolution de l'internet et de l'interconnectivité mondiale. Il allait absolument évoluer rapidement et se déplacer dans le cyberespace".
Maria a suivi le même chemin en entrant dans le cyberespace. Deux décennies plus tard, elle a parcouru un long chemin, jusqu'à occuper le poste de CEO à la Cyber Defence Alliance à Londres, avant d'être CEO et présidente de la National Cyber-Forensics and Training Alliance (NCFTA) à Pittsburgh, en Pennsylvanie.
Son parcours a commencé par des études approfondies. Elle s'est rendue à l'institut de génie logiciel de l'université Carnegie Mellon, où elle a étudié la méthodologie OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) - un moyen de rationaliser et d'optimiser le processus d'évaluation des risques de sécurité.
Le nom de Carnegie Mellon et la méthodologie Octave ont "ouvert des portes à Maria". Les premières portes à s'ouvrir ont été celles de l'usine de production d'eau, puisque le gouvernement américain avait prévu la nécessité de protéger les infrastructures critiques et que l'approvisionnement en eau pourrait être l'une des nombreuses parties de l'infrastructure critique susceptible d'être ciblée par des attaques.
Le gouvernement américain accordait des subventions pour sécuriser l'approvisionnement en eau contre le terrorisme et Joe Hohman, directeur d'un certain nombre de compagnies des eaux, partageait l'avis de Maria selon lequel le risque n'était pas seulement lié à des actes de sabotage physique, mais aussi à des cyber-attaques qui sèmeraient le chaos. Lui aussi a été l'un des premiers à adopter le système et s'est inquiété des attaques non seulement physiques, mais aussi cybernétiques.
Six mois seulement après ses études à Carnegie Mellon, l'entreprise de Maria, qui lutte contre la cybercriminalité, était opérationnelle. Elle a commencé à conseiller les compagnies des eaux sur la manière de développer leurs défenses et d'améliorer leur sécurité contre le piratage par des terroristes. Le bouche à oreille est devenu son meilleur outil de marketing. "La situation a évolué", dit-elle, "et elle a décroché des contrats avec des entreprises plus importantes", presque toujours dans des infrastructures critiques que les terroristes pourraient vouloir détruire ou perturber.
Elle a été poussée par son patriotisme, sa forte motivation et sa conviction, une prise de conscience que "la sécurité/cyber-sécurité et son besoin étaient là pour durer". La boîte de Pandore a été ouverte. Maria a vu "à quel point il était impératif que les gens accordent une plus grande attention aux détails de la sécurité. Personne n'a jamais imaginé que l'internet serait utilisé pour ces choses (bonnes et mauvaises) comme il l'est aujourd'hui. Un ami cher et brillant, Paul Vixie, qui a joué un rôle clé dans la conception de l'internet, vous dira qu'il aurait conçu/fait les choses différemment s'il avait su".
Dans un secteur qui était nouveau et qui évoluait rapidement, le processus d'apprentissage ne faisait que commencer. Maria a constaté qu'elle apprenait de "certains des hommes qui travaillaient avec moi. Les gens qui étaient vraiment beaucoup plus intelligents que moi et certainement beaucoup plus techniques, mais très patients et très désireux de m'enseigner et d'améliorer mes connaissances et ma compréhension".
Elle considère la cybernétique comme un domaine propice à ce type d'apprentissage. "Il suffit d'apprendre les choses en cours de route", dit-elle. "La sécurité est l'un des domaines où vous pouvez absolument faire cela, même si beaucoup de gens ont un peu peur de ne pas avoir les connaissances techniques dès le départ. Mais honnêtement, je pense qu'à notre époque, il n'y a rien que vous ne puissiez trouver sur une vidéo YouTube ou dans un livre. Travailler avec des personnes partageant les mêmes idées et désireuses de partager et de collaborer, ainsi que suivre des cours de sécurité, est inestimable pour façonner et modeler votre carrière dans le domaine de la sécurité et/ou de la cybersécurité.
Grâce aux années d'expérience qu'elle a accumulées, Maria connaît très bien les rouages des cybercriminels, dont elle dresse un portrait effrayant.
Depuis 20 ans, Maria et ses collègues conseillent aux entreprises et au grand public d'utiliser des mots de passe robustes, de ne pas cliquer sur des liens et de ne pas divulguer leurs informations d'identification. Mais la "technique" des cybercriminels est extrêmement efficace. Il s'agit de "groupes criminels organisés disposant d'un réseau d'entreprises et de sociétés, et ils sont très intelligents. C'est une entreprise, ils ont des départements de codage, de vente, d'assistance technique, un département de développement, etc. Ils font leurs devoirs et créent des attaques très sophistiquées, mais utilisent aussi des méthodes moins sophistiquées bien connues et comptent sur le fait que les gens commettent des erreurs élémentaires.
Les cybercriminels peuvent chercher à "s'introduire dans votre système sans être détectés, à y rester pendant un certain temps pour déterrer des informations importantes, à compromettre vos systèmes et à voler votre propriété intellectuelle".
Les menaces proviennent donc désormais de "n'importe quel endroit du monde". Il n'y a pas de frontières. C'est un système transparent, systémique et mondial. Dans de nombreux cas, ces acteurs de la menace/criminels opèrent en toute impunité".
Et les criminels utilisent "tout ce qu'ils ont trouvé et le réutilisent autant que possible. Ils trouvent un certain nombre de moyens astucieux pour monétiser et remonétiser les renseignements, les informations d'identification, la propriété intellectuelle, etc.
Maria et ses collègues dans la lutte contre la cybercriminalité viennent de l'industrie, du monde universitaire, des services de police, de la recherche et de tous les horizons. En partageant les informations, en les transformant en renseignements et en travaillant ensemble, l'équipe est en mesure de combler les lacunes en matière de cybercriminalité et, en collaborant avec les services répressifs, de déterminer les responsabilités. Il s'agit d'une équipe de détectives et d'enquêteurs, de chercheurs, d'inspecteurs, de personnes ayant une vision et un objectif communs, qui s'efforcent de reconstituer le puzzle. Vous effectuez des analyses scientifiques, vous partagez différents éléments d'information entre les équipes", dit-elle, "et vous trouvez en fait toute la piste des miettes de pain et les dernières pièces pour terminer le puzzle et l'attribuer". Notre objectif ultime est d'identifier les menaces, les méthodes, les moyens et les tactiques des criminels et d'alerter rapidement les entreprises et les personnes innocentes. Si nous pouvons l'empêcher de se produire et être préparés à l'avance, l'arrêter et en faire un non-événement, c'est là que nous devons être. D'une manière ou d'une autre, nous ne sommes jamais en mesure d'empêcher toutes les attaques, mais nous avons connu de nombreuses réussites où nous avons pu empêcher des entreprises et des réseaux d'être compromis. Nous devons en faire plus !
Toutefois, Maria estime que le plaisir et la récompense du travail viennent du fait de mener une bataille commune, soutenue par une communauté de personnes partageant les mêmes idées dans différents domaines, avec une vision et un objectif communs, sans se soucier de savoir à qui revient le mérite.
"Je suis en contact avec les forces de l'ordre, les agences gouvernementales, les chercheurs, les universitaires, les analystes du renseignement et les entreprises. Je suis en contact avec des personnes cent fois plus intelligentes et plus brillantes que moi et avec des personnes qui travaillent dans le secteur de la sécurité depuis bien plus longtemps que moi et qui ont plus d'expérience et de connaissances. Il y a là une communauté mondiale où les gens travaillent ensemble pour le bien de tous et laissent leur ego à la porte. Ils ne se soucient pas de savoir à qui revient le mérite, ils veulent juste réparer les erreurs et traduire en justice les acteurs de la menace. Nous devons travailler avec les forces de l'ordre - nous avons peut-être les meilleures informations/renseignements, mais elles peuvent les compléter et elles sont les seules à avoir le pouvoir de procéder à des arrestations.
Elle est idéaliste.
"Il y a des patriotes, des guerriers de la sécurité mondiale et de la cybersécurité/criminalité. La passion est "contagieuse" et les succès ne sont pas individuels mais "partagés".
Pour faire carrière dans le domaine du cyberespionnage, Maria considère qu'il est essentiel d'avoir "un esprit intellectuel très curieux pour résoudre les problèmes". "Vous devez être curieux, prêt à prêter attention aux détails. Trouver un indice et le développer. Faire preuve de ténacité pour continuer à avancer. Vous devez savoir quand vous vous enfoncez dans un trou à rats et savoir comment trouver les associations et les corrélations qui vous permettront d'assembler les pièces du puzzle.
L'exploitation d'un réseau requiert des compétences très différentes et plus techniques. "Vous devez comprendre la mise en réseau, comprendre comment fonctionne l'adressage IP, comprendre ce que vous recherchez. Trouver un signal dans le bruit en examinant certaines des menaces, identifier les vulnérabilités, connaître vos actifs critiques, l'infrastructure du réseau, comprendre les gens, améliorer votre posture de sécurité et rester diligent et vigilant".
Selon Maria, il est possible de former les gens à ces compétences - à l'utilisation, par exemple, d'outils à code source ouvert.
Maria pense que les femmes joueront un rôle plus important. "Certaines des personnes les plus intelligentes que j'ai rencontrées dans ce domaine étaient des femmes", dit-elle. Et elle constate que de nombreuses femmes sont extrêmement intéressées par la lutte contre la cybercriminalité. Nous devons, dit-elle, montrer aux femmes que "c'est une carrière formidable, avec tant de domaines différents à explorer. Vous êtes recherchée, on a besoin de vous, vous avez et pouvez offrir une valeur considérable à ce domaine, vous ne vous ennuierez jamais et la carrière dans la cybersécurité est vaste et très gratifiante - surtout, les femmes ont ce qu'il faut et il y a des tonnes de domaines à explorer - si vous avez le cœur et le désir d'apprendre, vous POUVEZ tout faire ! Une carrière dans la cybersécurité exige ce cœur et ce désir, ainsi qu'un esprit curieux et intellectuel, le souci du détail et de bonnes compétences en matière de résolution de problèmes.
Les cybercriminels sont nombreux, inventifs, intelligents, puissants et destructeurs. La lutte contre eux doit être menée de manière tout aussi inventive, collaborative, collective et puissante - nous avons besoin de plus de femmes et d'hommes dans les batailles pour gagner la guerre.
"Nous devons réduire considérablement la cybercriminalité pour combler le fossé, protéger les victimes innocentes et faire la différence dans le monde", conclut Maria. "Il y a tant à faire et il y a plus qu'assez de crimes et de gloire pour tout le monde. Nous avons tous un rôle à jouer dans la création d'un avenir cybernétique plus sûr. Nous avons besoin de tout le monde".