Florence Mottay (Zalando) : « La complexité offre de multiples opportunités aux cybercriminels »

Quelles ont été vos priorités chez Zalando depuis votre arrivée il y a un an et demi ?

Florence Mottay : Au cours de l’année 2023, nous avons rejoint une initiative dont nous sommes fiers : « No More Leaks », afin d’offrir à nos clients une expérience toujours plus sécurisée. No More Leaks est un partenariat public / privé mis en place avec la police néerlandaise. C’est un programme que j’ai découvert lors d’une de mes précédentes fonctions en tant que RSSI. Il permet aux entreprises d’utiliser la base de données de la police néerlandaise pour savoir si une combinaison d’identifiants et de mots de passe a été compromise sur un site tiers. Nous savons tous que beaucoup de personnes utilisent les mêmes combinaisons sur plusieurs sites différents. Quand nous le détectons, nous avertissons nos clients et leur proposons de changer leur mot de passe. 

Sur l’année 2024, nous avons trois gros chantiers en cours. Le premier est de continuer à promouvoir notre programme de sensibilisation à la sécurité informatique – lancé en juin 2023 – auprès de nos collaborateurs. Ce n’est une surprise pour personne : plus de 90% des violations de données sont attribuées à des erreurs humaines. Notre slogan en la matière est « Cybersecurity starts with you » (« Vous êtes le point de départ de la cybersécurité »).

Ce programme comprend de nombreuses activités organisées au cours de l’année : des webinaires, des ateliers pratiques et des événements qui aident à comprendre ce qu’est un pirate informatique et quels sont les dangers auxquels nous sommes exposés. Nous avons également mis en place un réseau d’ambassadeurs en cybersécurité pour nous aider à renforcer les bonnes pratiques, ainsi que des programmes d’éducation ciblés, pour les équipes d’ingénieurs par exemple. Aujourd’hui, environ 2 000 personnes ont été sensibilisées à cette thématique. Notre objectif est d’atteindre le seuil des 5 000 personnes sensibilisées en 2024 et, à terme, de toucher les plus de 15 000 salariés de l’entreprise.

Qu’en est-il de votre deuxième chantier ?

Florence Mottay : Notre deuxième chantier porte, sans grande surprise, sur l’intelligence artificielle. Il faut tout d’abord préciser à ce sujet qu’au sein du département cybersécurité de Zalando, nous avons commencé à utiliser l’IA comme un accélérateur. Cet ensemble de technologies nous permet en effet d’être plus rapides et de gérer plus de volume. Au-delà de certaines capacités d’IA pilotées directement par nos fournisseurs, nous évaluons de notre côté une nouvelle technologie de détection qui nous permettrait de gérer les alertes plus intelligemment et de réduire les faux positifs. Nous travaillons actuellement sur plusieurs pilotes qui donnent certains résultats, mais nous y allons étape par étape, c’est quelque chose que nous prenons très au sérieux. 

Le deuxième aspect lié à l’intelligence artificielle concerne la mise en œuvre d’une méthodologie visant à soutenir nos parties prenantes commerciales dans leur exploitation de cette technologie. Nous travaillons sur quatre risques principaux. Le premier est la fuite de données vers des tiers, qui pose des risques évidents pour l’entreprise, notamment quand un outil comme ChatGPT est utilisé. Le deuxième danger concerne les attaques « adversariales », qui constituent un problème compliqué pour notre secteur car, au-delà des lacunes involontaires des modèles ou des biais qui se glissent dans les données d’entraînement, une IA peut aussi être réalisée dans l’intention de causer des dommages.  

Le troisième risque sur lequel nous travaillons est lié aux actions involontaires où un mauvais modèle peut devenir particulièrement dangereux, par exemple s’il est capable d’effectuer des actions autonomes telles que l’exécution de code. Enfin, nous avons identifié un quatrième risque : les violations de propriété intellectuelle. Si nous entraînons par exemple un outil avec des informations propriétaires, il peut y avoir une fuite. Pour pouvoir gérer ces quatre risques, nous avons mis en place un processus de validation à travers un comité de revue et un modèle de gouvernance pour les logiciels et outils acceptés dans notre environnement.

Auriez-vous un exemple illustrant la gouvernance que vous avez mise en œuvre ?

Florence Mottay : Nous avons par exemple développé en interne un produit appelé « l’Assistant Zalando », fondé sur OpenAI. Nous avons pour cela suivi une méthode avec les étapes suivantes : énumération des actifs critiques, modélisation et classement par priorité des menaces, et constitution d’une red team quand le modèle a un accès à la « query », c’est-à-dire quand le modèle permet une conversation avec l’utilisateur.

Nous avons également mis en place une surveillance en production pour garantir la détection des messages malveillants. Bien évidemment, comme pour toutes les applications, qu’elles soient avec ou sans IA, le risque zéro n’existe pas. Nous sommes donc dans une démarche d’amélioration continue. La méthode que nous avons mise en place vise à soutenir tous ces besoins, que ce soit en IA traditionnelle, en LLM ou autres.

Et pour finir, en quoi consiste votre troisième chantier ?

Florence Mottay : Notre troisième chantier est centré sur la simplification. Quand j’ai commencé dans ce métier il y a vingt-cinq ans, mes confrères et moi-même disions alors que la complexité était l’ennemie de la sécurité. C’est toujours le cas aujourd’hui. La complexité offre de multiples opportunités aux cybercriminels. Nous sommes donc constamment en train de simplifier les contrôles de sécurité pour les rendre plus accessibles et faciles à intégrer dans la vie de nos collaborateurs.

Si les contrôles parviennent à s’intégrer de façon transparente, alors nous arrivons à augmenter la posture de sécurité au sein de l’entreprise. Cette année, par exemple, nous allons déployer la connexion « passwordless » auprès de tous nos salariés. Cette politique concerne la connexion aux ordinateurs, mais aussi aux applications à l’intérieur de l’écosystème Zalando.

Comment faites-vous face aux difficultés de recrutement et de fidélisation des talents qui caractérisent le secteur de la cybersécurité ?

Florence Mottay : À l’échelle mondiale, il manque 3,5 millions d’experts en cybersécurité, ce qui rend le marché très compétitif pour les employeurs, car nous sommes tous à la recherche des mêmes profils. Chez Zalando, nous abordons cette problématique sous deux angles. Le premier concerne le recrutement des talents. Nous avons dans ce domaine des politiques extrêmement souples parce que nous voulons recruter les bons talents : nous fournissons des visas, nous attendons le temps qu’il faut quand un candidat n’est pas immédiatement disponible. 

Par ailleurs, nous proposons une politique hybride qui permet à nos collaborateurs de trouver le bon équilibre entre vie professionnelle et vie privée. Zalando permet ainsi à ses salariés de travailler jusqu’à six semaines par an à l’étranger. C’est très important, surtout depuis la période post-covid.

Le deuxième aspect porte sur la rétention des talents. Nous mettons l’accent sur la capacité qu’ont nos collaborateurs à continuer d’apprendre tout au long de la vie. Nous prévoyons pour cela chaque année un budget de formation pour chaque salarié travaillant dans le département cybersécurité, ce qui représente environ une semaine de formation pleine par personne.

Comment abordez-vous les enjeux de diversité dans vos recrutements ?

Florence Mottay : La diversité est une thématique qui me tient particulièrement à cœur. Tout d’abord parce que je suis une femme qui évolue dans un monde technique. Mais aussi parce que les professionnels de la sécurité ont besoin de perspectives différentes pour faire face à une population d’attaquants qui, elle aussi, présente une grande diversité au niveau de l’âge, des motivations, des parcours et de l’expérience.

Par ailleurs, nos partenaires, collaborateurs et clients se caractérisent eux aussi par une grande diversité. Cela signifie que nous devons penser à la fois comme ceux qui tentent de nous attaquer, mais aussi comme ceux que nous essayons de protéger.

Faire en sorte qu’il y ait une grande diversité dans nos équipes est donc primordial, même si ce n’est pas toujours facile au quotidien. Lorsque je recrute, je me retrouve parfois dans une situation où j’ai le choix entre attendre d’avoir un pipeline diversifié et agir vite, afin de ne pas perdre un bon candidat.

Chez Zalando, nous avons une stratégie qui s’appelle « Do Better » (« faire mieux”) dont l’objectif est de développer la diversité et l’inclusion au sein des équipes. Nous avons de nouveaux partenaires en recrutement qui se concentrent sur la diversité. Nous avons aussi lancé le Zalando Growing Women in Tech (GroWIT). Ce programme est destiné à soutenir les femmes qui veulent entrer dans le monde de la tech. Il s’adresse surtout à des étudiantes en activité ou à des stagiaires. Il aide les femmes à démarrer une carrière en leur offrant un stage de six mois. Enfin, nous avons mis en place un « Employee Resource Group » (groupe de ressources) pour les « Women in Tech ». Il fournit un espace sécurisé permettant aux femmes de la tech d’échanger entre elles.

Au sein de vos équipes, quels indicateurs de la diversité pouvez-vous mettre en avant ?

Florence Mottay : J’ai plus de dix-sept nationalités dans mes équipes. J’en suis très heureuse car, comme je l’ai déjà dit, cela nous permet d’avoir une meilleure perspective, une meilleure vision. Quant au pourcentage de femmes dans mes équipes, il est de 34% au global. Et dans l’équipe qui m’est directement rattachée (leadership team), il est d’un peu plus de 30%. Ce sont de bons chiffres, nous travaillons au quotidien à les améliorer.