Par Franck C., consultant CyberSécurité
Franck, peux-tu présenter ton parcours ? As-tu toujours été dans la cyber ?
J’ai commencé l’informatique il y’a un peu plus de 10 ans, en 2008, d’abord en tant que technicien d’exploitation informatique au journal La Provence. Après mon DUT Réseaux & Télécoms, j’ai continué en Licence Professionnelle Administration & Sécurité des Réseaux d’Entreprise.
J’ai intégré le pôle Réseaux & Télécoms d’EDF. Au sein de mon équipe, je gérais les infrastructures réseaux et la sécurité de nombreux sites tertiaires de la plaque méditerranée. Cela comprenait les centres d’appels, mais aussi les centrales nucléaires et hydrauliques du sud de la France.
J’ai continué mon alternance avec EDF pour obtenir mon Diplôme de Manager en Ingénierie Informatique. Durant ces 4 années au sein d’EDF, je suis passé par de nombreux rôles, de l’exploitant réseau N2/N3 à celui d’Architecte / Intégrateur Réseau & Sécurité, en passant également par des missions de chef de projet.
Avec une casquette principalement technique / opérationnelle, j’ai choisi de rejoindre Telindus (aujourd’hui racheté par SFR), en tant que Consultant Réseau, Sécurité, et Datacenter.
J’ai voulu me spécialiser en Sécurité des Systèmes d’Informations, sur des volets plus orientés GRC (Gouvernance, Risque, Conformité), mais encore trop passionné par la technique, j’ai effectué un dernier petit détour d’un an par l’opérationnel en tant qu’Ingénieur Sécurité N3, de manière à toujours conserver une compréhension des enjeux et des contraintes liées au monde de la technique.
Quand l’aventure Squad a-t-elle commencé ?
Il y a deux ans, j’ai rejoint Squad, ce qui m’a permis de me rapprocher du milieu de la Défense qui me passionne profondément. Avec cette double casquette technique / organisationnel, difficile donc de dire si j’ai toujours été dans la cyber. Pour ma part, je considère que oui.
Là où les recruteurs pensent uniquement à la GRC en parlant de cyber, en s’intéressant aux définitions officielles du terme et des activités liées à la cybersécurité, on se rend compte que le périmètre est beaucoup plus large, et ne correspond pas seulement aux aspects stratégiques de la SSI.
Dans les faits, la cybersécurité englobe les activités liées à la protection, la défense, et la résilience des Opérations et des Informations numérique.
Je constate également que l’on parle bien plus volontiers de cyber dès lors que des enjeux liés à la protection des Etats, des personnes, et à la souveraineté nationale entrent en compte.
Le volet stratégique / GRC n’est donc qu’une petite partie de la cybersécurité. En 2010, ma première "grosse" mission consistait à designer, maquetter et intégrer une infrastructure réseau & sécurité permettant la mise en œuvre de contrôle d’accès physique en zone sensible, difficile donc de ne pas y voir là des aspects "cyber".
Certains diront que ce n’est pas le cas. Je pense que c’est une erreur, et que c’est malheureusement représentatif d’un manque de connaissance de l’ensemble du panorama d’activités liés à la cybersécurité, notamment accentué par la hype autour de la cybersécurité. Au fond, Sécurité Informatique, SSI, et Cybersécurité sont exactement la même chose, vu sous un prisme différent.
Quelles sont tes certifications et comment Squad t’a aidé à les passer ?
J’ai commencé ma carrière en m’orientant vers des certifications techniques, d’abord CCNA pour Cisco, puis CSNA pour Stormshield. Evoluant vers des sujets plus stratégiques, j’ai choisi la certification ISO:27001 Lead Auditor, qui est une excellente première introduction à ces sujets.
Depuis que j’ai rejoint Squad, j’ai obtenu 2 certifications et 1 qualification. D’abord la qualification PASSI (Prestataire d’Audit en SSI), sur les volets audits organisationnels & physique, architecture, et Responsable d’Audit.
J’ai également largement contribué à la formalisation et à la mise en œuvre de la Structure d’Audit interne pour nos clients, s’appuyant sur la norme ISO:19011, permettant à Squad d’être qualifié PASSI en tant que société.
Ma montée en compétences sur les volets Gouvernance (ISO 27001) et Conformité (PASSI) effectuée, il me restait à m’intéresser aux Risques du triptyque GRC. Grâce à Squad, c’est chose faite depuis cet été avec la formation ISO 27005 Risk Manager, effectué avec HS2.
As-tu eu d’autres opportunités ? T’es-tu auto-formé ?
J’ai participé à une première introduction (non certifiante) en interne à l’EBIOS RM, ce qui me permet, sans pour autant me prétendre expert dans les domaines, d’avoir une compréhension globale des enjeux stratégiques cyber (le fameux GRC).
Afin d’assoir un peu plus cette compréhension d’ensemble, Squad m’a également permis de m’auto-former sur Udemy et de financer le passage de la certification CISSP (Certified Information System Security Professional) : sorte de graal ultime, attestant d’un seuil de compétences assez élevé dans l’ensemble du périmètre de la cybersécurité.
Ayant toujours à l’esprit ce souhait de rester polyvalent, et d’avoir la capacité de comprendre autant les aspects organisationnels que techniques, je m’oriente maintenant vers la CEH (Certified Ethical Hacker).
Mon but n’est pas de devenir pentester, mais simplement de pouvoir mieux comprendre les attaquants, de manière à mieux analyser, organiser, et préparer la défense des SI.
À lire aussi ⤵
