Gouvernance et cybersécurité : Une responsabilité stratégique et partagée

La cybersécurité est plus que jamais d’actualité. Alors que le nombre de cyberattaques des entreprises est sans cesse croissant avec 385 000 cyberattaques en France en 2022, en parallèle le marché de la cybersécurité progresse lui d’environ 10%.

Cybersecurité — itsliamtucker

À travers des interviews de professionnels, nous abordons la cybersécurité d’un point de vue de la gouvernance.
Souleymane, Jos et Marouan partagent leur vision de ce domaine à travers leurs expériences respectives.
Ils évoquent leur rôle, leur parcours et outils de prédilection, mais également la perception de leur métier et de son évolution.

Peux-tu nous décrire ton domaine d’expertise et ton poste actuel ?

• Souleymane : Je suis consultant GRC (Gouvernance, Risque et Conformité) et actuellement en mission dans une entreprise spécialisée dans les applications avec système de gestion de paiements. C’est-à-dire des applications qui servent à créer des interactions entre les différents types de paiement (électroniques, VISA, Mastercard, …).
  La sécurité est donc une partie très importante, car il y a beaucoup de données sensibles à traiter. Que ce soit des données financières mais aussi des données à caractère personnel qui sont soumises à la RGPD.
  Il s’agit d’un métier dans lequel il faut pouvoir accompagner les entreprises à se conformer aux différentes régulations et à piloter leur niveau de maturité SSI. Cela se mesure en se basant sur les normes et régulations applicables dans le domaine. Mon rôle est donc de piloter le niveau de maturité de l’organisation, de m’assurer de la rédaction des politiques et procédures opérationnelles de sécurité.
• Jos : Je suis Information Security Officer en mission dans une entreprise de gestion de portefeuilles. Je suis intégré à l’équipe SSI, avec pour rôle de protéger tout ce qui est confidentialité, intégrité et disponibilité des données. Cela représente les piliers centraux de la cybersécurité.
  Il s’agit d’un poste de gouvernance très général, au cœur de la sécurité de l’entreprise et avec une vision globale.
  Nos différents domaines d’intervention sont :
  - La sensibilisation en interne en fonction du niveau de compétence dans le domaine et de la sensibilité à ces sujets.
  - L’intégrité de la sécurité dans les projets (ISP). Dès qu’une entité, souhaite utiliser un nouvel outil, nous vérifions à quel point les données utilisées et récupérées sont protégées, intègres et disponibles.
  - L’analyse de risques, qui consiste à évaluer le risque lié à des données selon leur criticité. On parle de criticité d’une donnée en fonction de son niveau de protection, de son intérêt stratégique et de son caractère personnel. Le risque se mesure aussi en fonction de son impact et de sa probabilité.
  Il y a des risques partout, soit on les accepte car on estime que les données ne sont pas critiques ou suffisamment protégées, ou l’on met en place des plans de traitement pour diminuer ce risque.
  Il y a aussi des analyses de risques de nos prestataires pour vérifier qu’ils sont en conformité avec nos règles et procédures.
  - La réalisation de campagnes BIA qui permet d’analyser l’impact lié à la non disponibilité de données pour les différents métiers de l’entreprise.
  - La rédaction de processus et politiques. Les politiques définissent les rôles et responsabilités de chacun, et les processus davantage le fonctionnement et l’application d’actions.
  - La préparation d’audits externes et internes pour prouver notre conformité aux règles de sécurité.
  - Le suivi des tests de pénétration de nos applications critiques. Une équipe de hackers éthiques essaie de trouver des failles dans ces applications, et nous les remonte avec des recommandations de corrections.
  - La mise en avant de nos réalisations, mais aussi de notre plan d’action aux différents services internes. Cela afin de rendre notre métier accessible au plus grand nombre.
• Marouan : Je suis Program Manager, en mission dans une entreprise du secteur bancaire. Je suis chargé de mettre en place des projets qui répondent à la stratégie managériale.
  Dans ce cadre, je travaille sur un programme de réduction des risques, qui inclut des plans proactifs et de remédiation pour se prémunir de cyberattaques. Je gère également des instances de gouvernance pour faire le suivi de l’ensemble des projets et donner de la visibilité sur notre avancement, en faisant le lien entre le middle et le top management.
  Ce programme répond aussi au besoin de conformité niveau régulateurs. Nous devons être à l’écoute pour répondre conformément en amont des audits et réduire le risque de non-conformité.
  Je participe aussi à des projets opérationnels comme la mise en place des SOC (Security Operation Center) et l’amélioration du travail de résilience, c’est-à-dire la réponse aux incidents pour ne pas impacter l’activité de la banque.
  Mon deuxième rôle est celui de référent technique auprès des collaborateurs sécurité de Positive Thinking Company. Cela passe par la rédaction d’articles et la réalisation de workshops. Puis je propose aussi des séances de coaching pour accompagner nos consultants sur la préparation des missions ou à des certifications. Enfin, je fais aussi énormément de veille technologique.

Comment as-tu découvert cette discipline ?

• Souleymane : À la fin de mon cursus scolaire, je me suis tourné vers une spécialisation pour devenir administrateur système. Et en tant qu’administrateur système, j’avais aussi en charge la gestion d’une partie de la sécurité informatique opérationnelle, donc toute la sécurité qui concerne la gestion des SI.
  Puis, au fur et à mesure que j’ai progressé dans ma carrière, j’ai trouvé le besoin de me spécialiser de plus en plus sur de la cybersécurité. J’ai donc réalisé des formations comme ISO 27001 pour la sécurité de l’information et ISO 27005 pour la gestion des risques, et aussi passé des certificats pour la gestion de projet, comme ISO 21502. Et c’est au travers de ces différents certificats que je me suis formé à la cybersécurité.
• Jos : De base, je suis ingénieur de formation, puis j’ai réalisé un master orienté réseaux. J’y ai découvert la cybersécurité, avec un intérêt croissant au fil du temps. C’est un domaine avec des métiers et des aspects très variés, entre technique et management. C’est également complètement d’actualité et applicable dans tous les secteurs.
  Et maintenant, en étant dedans, je me rends encore davantage compte du spectre des possibles et je peux davantage affiner mon projet de carrière, et me projeter sur un poste de hacker éthique.
• Marouan : J’ai fait mes études au Maroc. Et j’ai commencé à travailler dans des sociétés sur la partie Télécom et data centers. Puis j’ai évolué sur l’implémentation de solutions d’Internet providing, avant de rejoindre une ESN qui m’a permis de côtoyer différents secteurs : banque, industrie, immobilier, … J’ai ensuite alterné différents rôles, tels que Support Manager et Security Officer pour la région EMEA, Global Assistant Manager, Regional CISO pour la zone MERA (MidEst, Russie, Afrique), Data Center Project Manager, Network Project Manager… Jusqu’à mon poste actuel.

Quels sont vos outils de prédilection dans vos métiers ? Et dans quels cas d’usage ?

• La gouvernance est un travail à un niveau stratégique. Donc les outils utilisés sont généralement des référentiels et des normes internationales qui dictent la méthode et la manière d’utiliser les ressources informatiques et les ressources des systèmes d’information. On se base sur ces outils pour pouvoir créer des roadmaps et piloter la sécurité des systèmes d’information.
  Parmi ces normes et référentiels, on retrouve notamment :
  - ISO27001 pour régir la sécurité des systèmes d’information et permettre à une organisation de mettre en œuvre un système de management de la sécurité de l’information.
  - NIST CFS : Le NIST (National Institute of Standards and Technology) CSF (CyberSecurity Framework) est un ensemble de normes, de directives et de bonnes pratiques pour gérer les risques liés à la cybersécurité.
  - RGDP pour la gestion des données à caractère personnel.
  Il s’agit de cadres rigides qui sont dictés par les régulations nationales ou internationales et les entreprises ont l’obligation de s’y confirmer afin de pouvoir exercer leur activité.
• Des systèmes d’audits périodiques sont aussi définis. Cela passe notamment par des questionnaires auxquels répondre en apportant des preuves qui permettent de pouvoir mesurer le niveau de sécurité.
• Il y a également une forte utilisation des logiciels de bureautique basés sur des templates à remplir, que ce soit pour la partie suivi ou présentation.
• Et au niveau opérationnel, certains logiciels sont spécifiques à certains besoins :
  > Outils d’EDR — antivirus avec un peu d’IA,
  > Outils de scan, tel que QUALYS qui va scanner le réseau interne et remonter d’éventuelles vulnérabilités de manière automatique,
  > Akamai pour protéger l’ensemble des applications exposées à Internet contre les attaques DDOS (Distributed Denial of Services)
  > InsightVM sur la partie vulnérabilité pour voir l’avancée du backlog de gestion des vulnérabilités,
  > Sailpoint pour faire de la séparation des rôles et éviter le cumul de ces derniers d’un point de vue risque de sécurité,
  > ELK d’Elastic search pour visualiser la collecte des logs et des applications,
  > Confluence pour la gestion et le suivi des projets,
  > ServiceNow pour tout ce qui est risk management, cybersécurité assesment, pour la mise en place de GRC et de maturité,
  > PowerBI pour la mise en place de dashboards décisionnels.

D’autres profils dans la cybersécurité utiliseront des outils plus techniques. Toutefois, sans les utiliser, il faut tout de même les connaître, savoir à quoi ils servent et comment ils fonctionnent.

Quel est l’impact de ces technologies dans votre métier ?

• Avant de basculer vers la cybersécurité en tant que métier, les systèmes étaient beaucoup plus rigides. Et pour faire de la cybersécurité et de la GRC aujourd’hui, la condition reste de connaître toutes ces mesures standards qui régissent cette activité. Les référentiels et les normes restant donc des incontournables à maîtriser.
• Les outils facilitent le métier, permettent de gagner du temps et d’être plus efficaces et pertinents.
• Les outils permettent notamment de remonter les bons indicateurs. S’ils sont bien utilisés, ils permettent de remonter des données qualifiées qui aident à la prise de décision. Ils sont donc un support à la décision.

Quelle est ta définition de la cybersécurité ?

• Souleymane : Je dirais que la cybersécurité est un ensemble de mesures pratiques et technologiques mises en place afin de protéger la confidentialité, l’intégrité et la disponibilité des systèmes d’information et des données informatiques.
  Dans la cybersécurité, la plupart des risques auxquels les entreprises sont exposées sont des risques numériques, mais il y a aussi des risques physiques et naturels. Il faut donc protéger autant les accès numériques que physiques aux ressources.
• Jos : La cybersécurité protège les données et les actifs, afin de faire en sorte qu’ils restent confidentiels, intègres et disponibles. Et on va mesurer et gérer ces trois éléments en fonction de leur criticité.
• Marouan : La cybersécurité est tout ce qui est mis en place par l’ensemble des acteurs de la cybersécurité (qui est de la responsabilité de tous) pour réduire le risque d’attaques à un niveau acceptable, qui n’impacte pas l’activité de l’entreprise. Cela peut passer par la mise en place d’une gouvernance, la mise en place d’actions pour être en conformité avec la régulation en cours, et par l’analyse continue des risques.

La reconnaissance de ton poste est-elle à la hauteur de tes responsabilités ?

• Souleymane : Notre rôle est bien connu car nous régulons l’utilisation des ressources. Le point de départ est la gouvernance, qui régit toutes les règles appliquées, et auxquelles les autres services doivent se conformer.
  Il y a forcément une obligation d’interaction avec tous les autres métiers de l’organisation.
  Au niveau de la reconnaissance, il y a beaucoup de pression car notre travail est plus proactif que réactif. Nous sommes obligés d’anticiper les situations avant qu’elles ne se produisent. Et le jour où il y a un incident de sécurité, il y a des conséquences immédiates. Donc c’est un métier assez délicat.
• Jos : Le métier est connu car il faut passer par nous pour valider beaucoup d’éléments. Après être reconnu est plus difficile. Nous avons parfois une image de gendarmes. Certains réalisent que c’est pour la bonne cause, mais pour d’autres nous sommes vus comme des ralentisseurs. Cela dépend fortement de l’environnement de l’entreprise et des capacités des équipes sécurité à être pédagogues et à trouver des compromis.
• Marouan : La cybersécurité fait désormais partie des points importants des comités de direction. Il y a aussi des budgets importants qui commencent à être alloués, d’après les analyses de risque réalisées en amont.
  Aujourd’hui on a donc plus de reconnaissance. Ce qui est aussi lié au changement du contexte international, car aujourd’hui la cybersécurité concerne tout le monde et nécessite pour tous de se mettre à niveau pour se protéger et réduire les risques.

Prends-tu en compte des notions d’impact environnemental dans ton poste ?

• Souleymane : Disons que ça ne s’applique pas directement à ce métier-là. Mais c’est possible d’en utiliser les principes pour la partie gestion des ressources énergétiques. Mais de manière générale, cela s’applique davantage à l’entité organisationnelle et pas forcément au métier spécifique de la GRC.
• Jos : Nous avons parfois des mesures de risques liés à la Health and Safety qui peuvent éventuellement rentrer dans ce scope.
  Cela reste des éléments périphériques, comme les risques mentaux et physiques, pas forcément liés aux piliers de la cybersécurité. Ils sont alors intégrés dans une logique de continuité et disponibilité de la donnée.
  Et, bien que nous prenons en compte le réchauffement climatique sur l’état des serveurs par exemple, notre rôle va consister à rechercher la manière de conserver ces données malgré le réchauffement climatique, et non à réduire le réchauffement climatique.
• Marouan : Je suis sensibilisé à ces sujets, et nous travaillons sur des équipements comme les data centers, avec une équipe dédiée à la réduction des émissions carbone.
  Des indicateurs d’impact environnemental sont d’ailleurs suivis par le management. Il y a une prise en compte de l’impact carbone sur l’ensemble des projets, parfois de manière assez poussée. C’est une demande managériale, mais aussi écocitoyenne.

Pourquoi et pour qui recommanderais-tu ton métier ?

• Souleymane : Je dirais qu’il n’y a pas de profil spécifique pour exercer dans la cybersécurité. Par contre c’est un métier qui a certaines exigences, la meilleure manière de rentrer dans le métier est donc par passion. Il faut en effet se dépasser et rester en formation continue et en veille constante.
  Ce métier exige aussi un bon niveau de communication, que ce soit à l’oral ou à l’écrit, car il y a des réunions fréquentes avec les collaborateurs, les services transverses et le top management. Sinon, pour être à l’aise dans ce domaine, il faut maîtriser un anglais courant.
• Jos : Déjà c’est très porteur, avec énormément de recrutements. De plus nous bénéficions d’une large reconnaissance, avec des opportunités à l’international, mais aussi multisectorielles. C’est aussi un domaine très vaste, avec plein de métiers différents qui peuvent aller du plus technique à des métiers stratégiques et managériaux.
  C’est aussi un domaine qui a du sens, puisque même en étant dans des grands groupes, la finalité est de protéger les données des gens.
  Après je pense, qu’être ingénieur reste un plus, bien qu’il soit possible de trouver des passerelles et qu’on retrouve beaucoup de profils issus de reconversions professionnelles. Selon son parcours, on va peut-être s’orienter différemment, par exemple sur la partie communication ou commerciale de la cybersécurité.
  Car les aspects très techniques nécessitent tout de même un bagage technique. On retrouve toutefois énormément de ressources en ligne avec la possibilité de faire des certifications en autonomie.
• Marouan : C’est un métier assez ouvert à différents profils, cela dépend de la volonté de chacun. Et si on souhaite se tourner vers ce domaine, il faut se renseigner pour voir si ça correspond vraiment à son envie d’évolution professionnelle et sur quel métier/ secteur.
  Dans tous les cas, on manque de compétences et de personnes, donc il y a beaucoup de besoins ! De plus les rôles sont très diversifiés. En dehors de la partie opérationnelle technique, il y a aussi la partie gestion de risques, la conformité au niveau juridique et légale, la partie fraude et finance, … C’est très intéressant et varié. Ce n’est vraiment pas un univers uniquement technique !
  Dès qu’on est sur de la transformation digitale, on est amené à sécuriser des données, que ce soit pour les entreprises mais aussi pour les personnes. Donc on fait déjà parfois de la cybersécurité sans le savoir. C’est apprenant !

Nous publions régulièrement des articles sur des sujets de développement produit web et mobile, data et analytics, sécurité, cloud, hyperautomatisation et digital workplace.
Suivez-nous pour être notifié des prochains articles et réaliser votre veille professionnelle.

Retrouvez aussi nos publications et notre actualité via notre newsletter, ainsi que nos différents réseaux sociaux : LinkedIn, Twitter, YouTube, Twitch et Instagram.

Vous souhaitez en savoir plus ? Consultez notre site web et nos offres d’emploi.