Avis d’expert : Philippe Depland nous dit tout sur son métier de Consultant en Sécurité

La sécurité informatique est de plus en plus présente dans l’écosystème IT, et cette tendance n’est pas prête de s’arrêter. Pourtant en France, de nombreux emplois dans la cybersécurité sont encore vacants. Mais quel est le rôle de ces experts, et qui sont-ils ? Pour répondre à cette question, Phillipe Depland nous présente le métier de Consultant en Sécurité qu’il a exercé pendant de nombreuses années.

Bonjour Philippe ! Peux-tu nous parler de la sécurité des systèmes d’informations ?

La sécurité des systèmes d’information regroupe l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à empêcher l’utilisation non-autorisée, le mauvais usage, la modification ou le détournement du système d’information.
Pour fait concis, la sécurité est une pièce en trois actes :
• La prévention : mettre tous les moyens en œuvre pour garantir la sécurité de l’entreprise par le biais d’anti-virus, d’anti spams, des passerelles de filtrage.
• La détection : car lorsqu’une entreprise est attaquée il faut qu’elle s’en aperçoive, de préférence avant ses clients.
• La réaction : c’est-à-dire mettre en œuvre une stratégie pour répondre aux différentes attaques

Quels sont les principaux objectifs de la sécurité des systèmes d’informations ?

La sécurité des systèmes d’informations vise 3 objectifs :
1. La disponibilité : le système doit fonctionner sans faille durant les plages d’utilisation prévues et garantir l’accès aux services.
2. L’intégrité : les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts, fiables et complets.
3. La confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.

Peux-tu nous parler de ton parcours et de ton métier ? En quoi consiste-t-il ?

Comme un bon nombre de consultant j’ai commencé à travailler dans « le service » en tant que chef de projet dans une société de conseil. Ensuite j’ai passé une vingtaine d’années chez Computer Associate un éditeur américain ou j’ai eu l’occasion d’évoluer du « Mainframe » et de la « gestion de bases de données » vers les outils d’intégrations, la sécurité et l’IT service management.
J’ai rejoint les Editions Lefebvre Sarrut sur la partie « Asset management ou je référence tous les actifs de l’entreprise ainsi que les logiciels afin de m’assurer qu’ils soient bien en conformité en termes de licences. Je suis également responsable de la plateforme ServiceNow permettant de gérer le centre de services IT.
J’ai par le passé eu la chance de travailler sur des missions de gestion de centres opérationnels de sécurité en montant des systèmes de détections aussi appelé SOC (Security Operation Center) qui permettent de remonter et de corréler des alertes vers une console central. L’objectif étant de les analyser et de les traiter, en temps réel, selon leurs importances et de tirer les bonnes actions.
L’une des plus belles réalisations à laquelle j’ai participé reste le SOC crée pour les jeux Olympiques avec Atos. Cet événement très en vue pendant la dizaine de jour des JO subit énormément d’attaques, de l’ordre de 8 millions d’événements de sécurité par jour dont 80 qui méritent une réaction.

Est-il possible de trouver la source des attaques ?

Le plus souvent il est possible de trouver la source lorsque l’on interroge des équipements réseaux.
Tout en sachant qu’il existe plusieurs buts dans une attaque :
• Nuire à une société ou à un concurrent
• Voler des données (vol de numéro de carte bleue, carnet d’adresse etc…)
• Submerger un système d’information

L’idée d’une attaque et de cibler un point précis, en général une personne, en utilisant souvent du « phishing » pour essayer de récupérer le plus d’informations possible afin d’étendre au maximum l’attaque dans une société.

D’où proviennent la majorité des failles ?

Il existe plusieurs aspects dans l’approche de la sécurité :
• La technologie de par la mise en place de solutions et d’outils
• L’humain par la sensibilisation récurrente des employés
• L’obsolescence des logiciels par la mise en place permanente des correctifs
Lors d’une attaque le premier rempart d’une entreprise reste l’humain, il est donc primordial de les sensibiliser et les former car dans 80% des cas l’erreur est humaine.

Quelles certifications ou normes doit-on acquérir pour évoluer dans le domaine de la sécurité ?

La certification individuelle la plus en vogue est le CISSP (Certified Information System Security Professional) qui est mondialement reconnue pour son niveau avancé de compétences. Elle permet de valider les différents aspects de la sécurité informatique jusqu’à la sécurité physique.
Ensuite, il existe des normes d’entreprises de sécurité comme l’ISO 27001 qui définit les analyses de risques possible pour une entreprise. Chaque structure met en place une stratégie en fonction de ses besoins et des informations à risque, c’est ce qu’on appelle l’analyse des risques et cartographie du système d’information.
Toutes ces normes évoluent continuellement au fil du temps, d’où l’importance de s’auto-former et de faire partie d’un réseau d’experts en sécurité. Pour ma part j’ai rejoint l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) ce qui me permet d’échanger sur de nombreuses problématiques, de tenir à jour mes connaissances et de les perfectionner, m’exprimer sur des questions qui concerne mon domaine.

Quelles compétences techniques et relationnelles doit avoir un consultant en sécurité ?

La sécurité peut couvrir aussi bien les réseaux informatiques que les systèmes informatiques (serveur/poste de travail) il est donc nécessaire d’être polyvalent et d’avoir des compétences sur ces différents aspects. Connaître les équipements informatiques, savoir comment fonctionne un réseau et puis bien sûr être capable d’analyser des « logs » sur des serveurs afin de trouver les solutions les plus adaptés.
De plus, il est important d’être ouvert et sociable car la mission s’effectue en équipe en « mode projet ». C’est toujours mieux d’avoir un deuxième cerveau, cela permet d’avoir des points de vue différents et d’éviter de passer à côté de quelque chose… C’est très utile dans ces missions où le périmètre est parfois très large.

Qu’est-ce qui te plaît le plus dans ton métier ?

En un mot : la DIVERSITÉ ! Depuis mes débuts dans ce secteur mon métier n’a plus rien à voir avec ce que je fais aujourd’hui. Tout d’abord parce que nos outils de travaillent ont changé mais aussi parce que les problématiques ont aussi évolué. C’est toujours très enrichissant de devoir constamment se renouveler.
De plus, j’ai eu l’occasion de changer plusieurs fois de métier tout en restant dans l’informatique. Dans notre secteur d’activité il n’existe aucune limite car nous avons l’opportunité de changer facilement de discipline : j’ai commencé comme analyste programmeur, pour évoluer vers de la direction de projet.
Dans un secteur ou tout va très vite il est impératif d’être toujours en veille : se documenter, se déplacer lors des salons pour échanger avec des experts, ne pas avoir peur de contacter les éditeurs de solutions pour se renseigner sur les nouvelles technologies.

Est-ce facile de trouver un emploi dans cette branche ?

Métier au cœur de la transformation numérique des entreprises, la sécurité fait partie des métiers les plus recherchés en 2018. Il est donc assez simple pour une personne qui maîtrise de nombreuses compétences techniques de trouver un emploi. De plus, les budgets en « sécurité » ne cessent d’augmenter au fil des années car les directions informatiques sont de plus en plus conscientes des risques et des retombées dans la presse en cas d’attaque informatique.
La sécurité est d’autant plus d’actualité avec l’application de la dernière directive européenne du RGPD, les entreprises victimes de vol de données disposent de 72h pour informer les autorités ainsi que les personnes concernés. Il est clair que ces changements auront un impact sur l’emploi dans le domaine de l’IT !

Quelles sont les perspectives d’évolution dans le domaine de la sécurité ?

Les perspectives d’évolutions sont sans limites car il est possible à tout âge d’acquérir de nombreuses compétences techniques et qualifiantes pour pouvoir gravir les échelons.
L’objectif pouvait être de devenir Responsable de la Sécurité des Systèmes d’Information (RSSI) au sein d’un grand groupe français ou international, ou de devenir consultant a l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Quels conseils donnerais-tu à quelqu’un souhaitant suivre ta voie ?

Le marché est en plein boom, il y a beaucoup de demandes mais peu de profils sortant du lot. Pour se démarquer et devenir un vrai expert, il faut travailler sur son temps personnel, s’intéresser au sujet, monter en compétences sur ses points faibles comme sur ses points forts. L’auto-formation et l’entraînement sont de très bons vecteurs d’amélioration.
De plus, il est astucieux de commencer ses expériences dans « le service » afin de découvrir les différents aspects de la sécurité dans le but d’être polyvalent et de se polariser pour devenir une référence dans son domaine.

Sur quoi un client se base-t-il pour choisir son prestataire en sécurité ?

Le client se base tout simplement sur les projets réalisés et les vécues.

Avec le RGPD nous voyons apparaître des DPO externe qui viennent auditer et mettre en place des bonnes pratiques. Quelle norme ISO prend en charge cette nouvelle fonction ?

Je dirais sans aucun doute la norme ISO 27001 car il s’agit de la référence en sécurité informatique, elle facilite le management de la sécurité des informations et permet les meilleures pratiques.