Selon le rapport de l’ISC2 intitulé “Strategies for Building and Growing Strong Cybersecurity Teams”, il manque actuellement 4 millions de spécialistes du domaine de la Cybersécurité dont 300 000 en Europe. Ce métier est clairement un métier d’avenir.

Après 16 ans d’expérience professionnelle et plus de 20 ans depuis mon premier IDS, je vous présente dans cet article, mon humble avis sur les clés et les éléments à prendre en considération afin d’entamer une belle carrière dans ce domaine.

1. Etre passionné, apprendre tous les jours

Pour réussir dans ce métier, il faut être passionné. La sécurité est passée de la gestion des accès dans les Mainframes des années 1980 vers les objets connectés et l’intelligence artificielle ces deux dernières années. Les menaces et les concepts de défense évoluent tous les jours et toutes les heures.

Aussi la veille technologique, l’autoformation, la participation aux forums et colloques, l’analyse des derniers articles de recherche, etc. sont des éléments vitaux pour augmenter son efficacité et son expertise. Bouffer du code et de la documentation, cela sera et doit être votre quotidien pour plusieurs longues années.

Afin d’acquérir les connaissances fondamentales dans notre domaine, une école spécialisée de Cybersécurité pourrait être le meilleur et le plus rapide des chemins. Maintenant, si vous n’avez pas cette chance, vous pouvez atteindre cet objectif tout de même en acquérant des connaissances de bases fondamentales en réseaux/systèmes/développement etc. et puis en complétant par des formations/certifications spécifiques sécurité.

Lire aussi l’article : Infrastructures critiques vitales : Un expert en cyber-sécurité alerte!

N’oubliez pas également que la partie prenante de vos projets (c’est-à-dire vos clients internes et externes) monte également en compétence. Vos clients, suivent eux aussi des formations dédiées, participent eux aussi aux événements, communiquent et travaillent avec d’autres intervenants du même niveau que vous. Ils acquièrent donc de nouvelles connaissances et expriment de nouveaux besoins ; il faut savoir y répondre !

Une astuce simple :  se fixer comme objectif d’apprendre un nouveau concept quotidiennement, ça vous fera plus de 350 nouveautés par an.

Il faut aussi savoir être humble devant la réussite, mais aussi relativiser les “échecs”, en étant capable de se remettre en question et de solliciter de l’aide, en cas de besoin.

2. Savoir construire sa carrière

Un expert Cybersécurité qui réussit sa carrière est un étudiant qui a su, avant même d’avoir obtenu son diplôme, où il sera dans les 15 prochaines années.

Ainsi, il faudrait que la gestion de la carrière soit efficace. Malheureusement ou heureusement nous ne pouvons pas tous être des pentesters (rêve le plus cher de tous les étudiants). Dans la Cybersécurité il y a plusieurs métiers et le métier le plus noble reste selon moi au cœur des activités de sécurité défensive :).

En 2015, un groupe de travail composé de représentants de l’enseignement supérieur, du monde industriel et de l’ANSSI a élaboré une liste de « profils métiers » dans le domaine de la sécurité du numérique (ou sécurité des systèmes d’information, ou Cybersécurité, etc.) :

·    Administrateur sécurité,

·    Analyste de la menace,

·    Analyste SOC,

·    Architecte sécurité,

·    Chef de projet sécurité,

·    Consultant sécurité « organisationnel »,

·    Consultant sécurité « technique »,

·    Correspondant sécurité,

·    Cryptologue,

·    Délégué à la Protection des Données (DPD),

·    Développeur sécurité,

·    Évaluateur sécurité,

·    Expert réponse à incident,

·    Intégrateur de sécurité,

·    Juriste spécialisé en cybersécurité,

·    Responsable de la Sécurité des Systèmes d’Information,

·    Responsable du plan de continuité d’activité (RPCA),

·    Spécialiste en gestion de crise cyber,

·    Technicien sécurité.

Un exemple de parcours cohérent et pertinent pourrait être : les 5 premières années dans un contexte technique avec un titre d’« ingénieur sécurité », les 5 années suivantes dans une fonction de« consultant sécurité », puis 5 années dans un rôle de « Direction de projet / Management sécurité ».

Au début de sa carrière, il est essentiel ne pas penser « rémunération » mais plutôt technicité et pertinence des missions et projets que vous allez réaliser. Le retour sur investissement viendra un jour ou l’autre, ne vous inquiétez pas à ce sujet.

3. Savoir écouter

Notre métier c’est de protéger le métier des entreprises et la continuité des opérations pour lesquels nous sommes mandatés. Pour cela il faut savoir écouter la partie prenante avec laquelle nous travaillons (ses clients, ses partenaires, sa hiérarchie).

Que vous soyez auditeurs, intégrateurs ou chefs de projet, il est très important de céder la parole à vos interlocuteurs afin qu’ils expriment leurs besoins sécurité, les menaces qui les inquiètent et les solutions optimales qu’il souhaitent implémenter. Ceci vous rendra plus efficaces.

Même si vous êtes un très bon orateur, laissez parler les autres et contentez-vous de poser les bonnes questions ou d’apporter les bonnes réponses. Et rappelez vous du slogan de Kali Linux: “The quieter you become, the more you can hear »

4. Savoir communiquer

S’il y a quelque chose que j’ai réellement regretté après avoir quitté mon université, c’est de ne pas avoir été assidu et discipliné dans les cours de langues. Je n’ai jamais imaginé que dans la vie professionnelle, connaitre les derniers algorithmes de chiffrement quantique ne vaut rien si nous ne pouvons rédiger un rapport ou faire une présentation sans erreur d’orthographe ou de syntaxe.

Ainsi, plusieurs ingénieurs/consultants sont sanctionnés dans leurs carrières, même s’ils sont d’un niveau technique intéressant, à cause de la qualité de leurs rendus, de leurs présentations. Cela peut sembler injuste mais c’est ainsi !

La communication est également un point extrêmement important dans la vie professionnelle d’un expert sécurité. Expliquer à un manager ou un responsable que le site web de son entreprise est vulnérable à un Blind SQL injection ou un CSRF est un véritable défi.

Parfois vous serez confrontés à des situations de conflits : sur un livrable par exemple, sur un résultat d’un audit d’intrusion contesté par les équipes réseaux mises en cause. L’expert sécurité doit être toujours à l’écoute, et apporter toujours les bonnes réponses, aborder les sujets avec diplomatie dans un souci permanent de l’amélioration continue de la sécurité de ses clients.

En synthèse, il faut être capable de préparer un vocabulaire et une communication spécifique avec chaque profil de personnes de votre partie prenante.

 5. Savoir s’intégrer

Autre injustice : le “super techos” le “geek” qui s’enferme dans sa bulle et reste derrière son écran, sans partager ni échanger avec ses collègues, restera toujours dans sa bulle et derrière son écran même après 30 ans de carrière.

Demain vous n’allez pas uniquement configurer des Firewalls NG, vous allez gérer des hommes, des projets, des budgets. Donc, l’intégration dans l’environnement de l’entreprise est un élément extrêmement important.

6. Savoir respecter ses engagements

Le client, la partie prenante pour qui vous travaillez investissent en vous et ont besoin d’avoir confiance en vous. Le respect des engagements concernant les dates de livraison, le contenu des livrables, le déroulement des prestations, les action/services prévus sont des éléments vitaux pour maintenir cette confiance.

7. Savoir oser, créer, inventer

La mise en œuvre des mesures et concepts fondamentaux de la sécurité auxquels vous croyez et que vous défendez, n’est pas simple dans la vie réelle. Cela devient parfois plus difficile voire fortement contraignant dans une culture comme la nôtre où le « changement » des habitudes est délicat. Cependant, vous n’avez pas le choix, il faut faire avec.

Mécaniquement, Si vous n’avez pas de créativité, vous allez peiner pour évoluer et faire évoluer les choses.

8. Savoir respecter son métier

Un expert sécurité doit aimer ce qu’il fait, respecter son métier, respecter la Loi, et s’engager totalement sur un code d’éthique. Il s’agit en effet d’un métier sensible qui peut mettre l’entreprise de ses clients en péril.

A ce titre, un expert sécurité doit être neutre et intègre dans toutes ses recommandations. Il s’engage à respecter une stricte confidentialité des informations qui lui sont confiées ou qu’il peut voir, entendre ou comprendre. Il ne réalise pas un mandat pour lequel il n’a pas les compétences requises.

Pour terminer, je souhaiterai partager avec vous cette belle histoire, du meilleur formateur en Cybersécurité que j’ai eu le privilège d’assister, qui est devenu aujourd’hui CISO/RSSI d’une des plus grandes multinationales au monde, et qui a commencé sa carrière avec un diplôme en … philosophie! Nous avons la chance d’avoir un métier passionnant où tout évolue constamment et tout peut arriver. Profitons-en pour les longues prochaines années.

Helmi RAIS