Retour aux actualités
Article suivant Article précédent

Revue 173 - La cybersécurité : un domaine porteur aujourd'hui et demain

Articles Revue TELECOM

-

15/07/2014



La cybersécurité :


un domaine porteur

aujourd’hui et demain

 

 

Par Charles D’Aumale (1997), Edouard Giard (1990), Frédéric Goux (1996) dans la revue TELECOM n° 173

Le domaine de la Sécurité des Systèmes d’Information (ou cybersécurité comme l’actualité tend à la renommer) est en forte expansion dans l’ensemble des entreprises et en particulier dans le domaine de la finance.

En effet, alors que le Système d’Information (SI) couvre de plus en plus de processus de l’entreprise et est donc de plus en plus vital pour son fonctionnement, il est en parallèle de plus en plus ouvert sur l’extérieur, soit par les services qu’il offre aux clients et partenaires (e-services) ainsi qu’aux collaborateurs de l’entreprise (SI anywhere, anytime, any device), soit par les infrastructures sur lesquelles il repose (Cloud). Le SI est donc de plus en plus vulnérable.

Les impacts importants de l’exploitation de cette vulnérabilité ont d’ailleurs été largement démontrés ces dernières années par de nombreux incidents de sécurité qui ont mis à mal les entreprises (destruction du parc de postes de travail de Saudi Aramco, indisponibilité de service pour 3 banques en Corée du sud, attaques DDoS dans la finance, vol de données dans les banques privées en Suisse, intrusions informatiques majeurs et durables de comptes industriels en France…). Les révélations d’Edward Snowden le 6 juin 2013 sur l’existence de programmes d’espionnages généralisés entre les Etats ont permis de sensibiliser les directions générales à la nécessité de développer la cybersécurité dans leur entreprise. Ceci a permis à la cybersécurité de garder une dynamique de développement, malgré un contexte général d’optimisation des coûtspour les DSI.
 

Une grande diversité de métiers

La cybersécurité est une discipline transverse à l’ensemble des fonctions de l’entreprise et propose à ce titre des métiers variés, dans la Direction des Systèmes d’Information (DSI) comme dans d’autres directions, ainsi que dans l’écosystème de l’entreprise.

Du fait de ses enjeux spécifiques (risques de fraude et de vol, d’indisponibilité et réglementations multiples), les métiers de la cybersécurité dans le monde de la finance sont particulièrement développés, et disposent du nombre de postes et des budgets les plus importants (Schéma 1).
Schéma 1 : métiers de la cybersécurité


Les métiers de la cybersécurité

Le RSSI, chef d’orchestre de la cybersécurité dans l’entreprise …

La filière cybersécurité est pilotée par le « Responsable de la Sécurité des Systèmes d’Information » (RSSI), chef d’orchestre de la cybersécurité. Il définit et pilote les actions de sécurisation du SI de l’entreprise : gouvernance et politique sécurité, schéma directeursécurité, audit et contrôle du respect des règles de sécurité par l’ensemble des parties prenantes de l’entreprise. Dans les banques, il s’appuie en général sur une équipe de quelques personnes à quelques dizaines de personnes. Il dispose d’une compétence sur tous les aspects de la sécurité.
 

… qui s’appuie sur un réseau d’expertise dans la DSI

Dans les banques, le RSSI s’appuie en général sur un correspondant privilégié au sein de la DSI : le RSSI Informatique (ou RSI, Responsable Sécurité Informatique). Celui-ci met en œuvre la politique sécurité au sein de la DSI et s’appuie sur différentes expertises cybersécurité.

Ainsi, il existe en général une équipe de sécurité opérationnelle : le SOC (Security Operationnal Center) qui traite des aspects opérationnels de la sécurité : veille sur les vulnérabilités, surveillance et suivi de la mise à jour sécurité des composants du SI, détection et coordination de la réponse aux incidents de sécurité... Cette équipe est aussi parfois en charge de l’administration des équipements de sécurité.

Pour la mise en œuvre de nouvelles infrastructures sécurité (accès externes, gestion des identités, supervision de la sécurité…), les chefs de projets sécurité sont à l’œuvre. Ils pilotent l’ensemble des nombreux acteurs impliqués pour garantir une bonne intégration.Ils disposent de bonnes compétences sur la sécurité, mais aussi de capacité de coordination d’acteurs multiples.

Ils s’appuient notamment sur les architectes sécurité qui valident l’ensemble des applications, infrastructures, produits et services à mettre en œuvre. Ils définissent l’ingénierie détaillée des composants à intégrer dans le SI pour en valider la cohérence globale et le respect des enjeux de sécurité. Les architectures sécurité disposent donc d’expertises sécurité pointues.

La sécurité doit aussi être assurée dans les applications. C’est le rôle de la cellule sécurité applicative : formation des développeurs, revue de code, recette sécurité des applications… Souvent aujourd’hui parent pauvre de la sécurité, cette cellule est en plein développement car c’est là que se trouvent aujourd’hui de nombreuses vulnérabilités.

Enfin, le RSSI Informatique est parfois en charge du « Plan de Continuité Informatique », qui garantir la résilience du SI en cas de sinistre majeur (destruction d’un centre informatique par exemple).
 

… et dans les métiers


Le RSSI s’appuie également sur des correspondants dans les différents métiers, qui ont un double rôle. Ils doivent tout d’abord identifier les besoins en matière de sécurité pour leur direction métier (analyse de risques de chaque métier, qualification des critères de sécurité des applications…) et jouent à ce titre un rôle de « maitrise d’ouvrage sécurité » pour faire le lien entre le métier et la DSI. Ils ont également un rôle de déclinaison de l’application des règles de sécurité dans leur métier, avec notamment un rôle fort en matière de sensibilisation des collaborateurs à la cybersécurité.



Schéma 2 : Le choix d’un métier plutôt qu’un autre dépend ainsi
des compétences et des personnalités de 
chacun


Un écosystème autour du monde bancaire

De nombreux fournisseurs offrent également des carrières dans le domaine. Ils viennent en support aux différentes fonctions citées ci-dessus : apport de force de travail sur des projets spécifiques, d’expertises et de solutions.

Dans le domaine du service, le conseil adresse plutôt les aspects stratégiques et projet de la sécurité : aide à la définition de cibles, structuration des équipes, accompagnement des projets sécurité, expertises d’architecture… Les banques font aussi largement appel à la réalisation d’audits et tests d’intrusion qui requièrent une forte expertise. Les intégrateurs adressent eux la mise en œuvre des solutions et produits de sécurité.

Quant aux éditeurs et constructeurs, ils offrent à la fois des perspectives dans la vente de solutions (technico-commerciaux ou commerciaux) qui nécessitent souvent les compétences de l’ingénieur, et dans le développement des solutions.
 

Quel métier choisir ?

De nombreux métiers s’offrent donc à un ingénieur dans le secteur sécurité et finances. Alors, lequel choisir ? Une telle question appelle plusieurs réponses.
 

Mix technicité et relationnel

Pour aider nos camarades ingénieurs à trouver leur voie, nous sommes partis de deux axes : (1) axe technicité et (2) axe relationnel. Le premier axe porte sur les enjeux techniques du métier. Le deuxième porte sur les relations humaines en interne de l’entreprise et/ou en externe (clients, fournisseurs, partenaires).

Par exemple, un développeur R&D d’un fabricant de carte à puce pour le secteur bancaire ou un « pentester » qui réalise des tests d’intrusion doivent être très bons en technique sécuritaire avec de fortes capacités de développement. A contrario le RSSI et son équipe doivent certes avoir une bonne culture de la sécurité, mais doivent avant tout disposer de solides capacités relationnelles pour coordonner et fédérer tous les acteurs en charge d’appliquer les bonnes pratiques de sécurité (Schéma 2).

Le choix d’un métier plutôt qu’un autre dépend ainsi des compétences et des personnalités de chacun.

Quelques exemples et conseils :

• Si vous êtes très technique avec une expertise ou un souhait de spécialisation, nous vous suggérons de rejoindre une équipe de tests d’intrusion ou un département R&D ou un SOC, avec, pourquoi pas, la responsabilité de la représentation de votre entrepriseauprès d’organismes professionnels (ETSI, Groupement Carte Bancaire, OWASP…) ;

• Si vous aspirez à un poste avant tout technique mais permettant d’interagir avec plusieurs personnes, tournez-vous vers les postes d’architecte, de chef de produit ou de chef de projet sécurité

• Si en plus des enjeux techniques, vous souhaitez développer une forte compétence relationnelle, choisissez des postes de RSSI, de consultant ou d’auditeur

• Enfin, si vous souhaitez être dans un avion toutes les semaines pour déco uvrir le monde, voici quelques possibilités : auditeur / coordinateur de filiales dans une banque multinationale, support technique international ou commercial export dans le domaine.
 

Évolution de carrière

On constate quelques grandes lignes en fonction de la typologie des entreprises :

  Institutions financières : la mobilité est souvent encouragée dans les grandes entreprises. Le collaborateur est ainsi amené à changer de poste tous les 3 à 4 ans, en restant dans le domaine de la sécurité informatique ou en évoluant dans d’autres domaines.

•  Conseil : la mobilité porte avant tout sur le changement de clients et sur les types de missions auxquelles va être confronté le consultant. Il bénéficie aussi d’un environnement où les changements de niveaux hiérarchiques sont fréquents (junior, senior, manager, senior manager, partner).

Éditeur : on peut à la fois monter les échelons au sein de sa filière (R&D, Opérations, Commerce/Marketing) voire évoluer de l’une à l’autre (exemple : ingénieur R&D vers chef de projet intégration puis avant-vente et chef de produit) ; les changements sontnéanmoins moins structurés que dans la banque ou le conseil.

Un passage par une entité étatique peut être un plus, notamment pour les fonctions les plus techniques : l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ou la DGA (Direction Générale de l’Armement) proposent de nombreux postes en sécurité informatique avec des contrats de quelques années (3 à 6 ans).
 

Et pour le salaire ?

En France, l’évolution des salaires dans le secteur finance et sécurité est équivalent aux autres secteurs de l’ingénieur : les salaires débutent pour les juniors à 35 K€ / 40K€. En fonction des profils et des métiers, les salaires varient entre 60K€ et 90K€ au bout de 10/15 ans de carrière. Ils peuvent aller au-delà pour les responsables d’équipe et pour ceux qui ont des variables importants (commerciaux, consultants, etc.).

Par ailleurs, contrairement aux idées reçues, les agences publiques ont revu leurs grilles de salaire à la hausse depuis quelques années pour attirer de nouvelles recrues, du moins pour les débutants.

A l’international, le rapport de (ISC)2 [The 2013 (ISC)2 Global Information Security Workforce Study] mentionne que le salaire moyen des membres, professionnels de la sécurité quel que soit le diplôme, aux US est 80 000 $.

Et pour faire beaucoup plus – ou beaucoup moins ? Créer son entreprise et essayer de la revendre à Intel, Google, ou Cisco !
 

L’offshore menace-t-il l’emploi dans la sécurité ?

L’offshore, ou l’utilisation de ressources à coût moindre que la France, est utilisé par de nombreuses entreprises en dehors du secteur public. Les grandes entreprises anglo-saxonnes ont été en priorité en Inde, et c’est donc en Inde que l’on trouve facilement des équipes formées, et en particulier formées à la pratique de la sécurité pour la finance.

Les services rendus concernent la surveillance, l’administration des équipements, les tests et contrôles techniques. L’approche est structurée, et répond à des cahiers des charges précis.

Cependant, une part significative des activités liées à la sécurité n’est pas transférée par les entreprises de la finance. Le pilotage des projets, le conseil, les appels d’offre et le test d’innovations, les audits, l’analyse de risques des projets, la recherche des incidents de sécurité…

Dans le schéma précédent, les métiers positionnés hauts sur l’échelle relationnelle ou nécessitant une expertise technique distinctive sont moins concernés par l’offshore.

Cette distribution des activités pourrait évoluer vers un retour complet des activités opérationnelles vers la France, sous la pression des pouvoirs publics. En effet l’ANSSI considère que la surveillance de la sécurité informatique relève de la souveraineté nationale, tant les conflits entre nations débordent sur l’espace Internet. Les entreprises de la finance sont prises à partie comme par exemple en 2012 avec les attaques DDoS à répétition sur les banques Américaines attribuées à l’Iran.

Pour les éditeurs de logiciel, l’offshore pourrait aussi concerner les activités de développement, mais là aussi la localisation de centres de développement est importante pour les clients, en particulier pour l’armée et autres services sensibles. Ce n’est donc pas une option ouverte à toutes les sociétés. Et l’expérience des sociétés basées aux US montre que les innovations sont surtout produites sur le territoire.

Carrières internationales dans la finance et la sécurité

Nous avons autour de nous de nombreux exemples de carrières internationales, et les carrières dans la finance semblent avoir deux particularités : une volonté de maîtrise des risques en faisant intervenir des personnes venant de France, et la volonté de développerles cadres en les exposant à l’international pour des périodes de 2 à 3 ans.

Cela concerne en particulier les banques et assurances, moins les sociétés de service car elles ne portent pas les risques. Les éditeurs peuvent utiliser des expatriés pour développer l’international pendant les phases de croissance hors de France, mais à terme les recrutements sont faits pays par pays.

Pour les débutants, le contrat VIE est une bonne opportunité, mais il n’y a que quelques postes, et encore moins dans la sécurité. La consultation des offres est simple, ces postes sont gérés par le siège et disponibles sur les sites RH. Il faut cependant savoir que les équipes RH privilégient les ex-stagiaires de leurs viviers qui ont été particulièrement appréciés par leurs responsables.

Le retour d’expérience des camarades semble montrer qu’il y a peu de différences entre les carrières en France ou à l’étranger, et avec un diplôme de Telecom ParisTech il est plutôt plus facile de progresser dans un contexte Français, en France ou à l’étranger.

Il y a cependant une exception notable, le secteur des éditeurs reste beaucoup plus dynamique en Californie ou Israël pour les produits de sécurité informatique en particulier. Les éditeurs mondiaux sont souvent basés dans ces pays. Un expert en Californie pourra rapidement prétendre à 100 000 $ par an.
 

Les nouveaux métiers de la sécurité

La transformation numérique de l’entreprise et en particulier des banques n’est pas terminée, loin de là ! Et avec elle, de nouveaux métiers apparaissent et les métiers actuels se transforment.

Ainsi, le métier de Digital Officer commence à apparaître dans les entreprises pour accompagner sa transformation numérique : ouverture du SI aux clients, ajout des nouveaux produits et services comme par exemple des applications mobiles ou sur les réseaux sociaux. Gartner a évalué en 2014 à 7% le nombre d’entreprises avec un Chief Digital Officer, avec une augmentation rapide prévue. Ce métier doit essentiellement définir et piloter la stratégie de l’entreprise en la matière, mais la composante cybersécurité y est importante.

Le RSSI devra donc travailler en collaboration avec le Digital Officer pour accompagner la transformation afin notamment de permettre l’accès au SI aux millions de clients de l’entreprise et plus uniquement aux milliers de collaborateurs.

En parallèle, les préoccupations de plus en plus renforcées des citoyens quant à la l’utilisation et la protection de leurs données personnelles se traduisent par le renforcement de la réglementation (ex : obligation prochaine en Europe de notifier les incidents portant sur les données personnelles) et le renforcement des contrôles des partenaires.

De manière corrélée apparaît le métier de Chief Privacy Officer, apparu d’abord chez les géants du Web. Celui-ci témoigne à l’extérieur et travaille à l’intérieur de l’entreprise pour s’assurer que les données des clients sont protégées et utilisées à bon escient. Les compétences comprennent le commerce (business), la sécurité informatique et le droit. L’importance de ces 3 composantes varie selon les entreprises, le poste peut être confié à une personne du métier principal, de l’informatique ou à un juriste. En France, il existe déjà les CIL (correspondant à la protection des données personnelles pour la CNIL) qui verront leur métier évoluer.

Des métiers variés qui peuvent offrir un bon mix de capacités techniques et relationnelles, un secteur porteur, des métiers en mouvement… Autant de raisons de rejoindre une carrière dans le domaine de la cybersécurité ! 


 


La sécurité est au cœur des métiers financiers. C’est pourquoi BNP Paribas a participé en 2013 à la création de la Chaire Valeurs et Politique des Informations Personnelles sous l’égide de la Fondation Télécom. Philippe Laulanie nous explique l’objectif de cette Chaire pour BNP Paribas :

« Pour BNP Paribas, l’accès et l’utilisation de certaines informations personnelles s’inscrit dans une réflexion globale d’innovation tout en maintenant un haut niveau de sécurité des données de nos clients. Il s’agit à la fois de renforcer notre valeur ajoutée auprès de nos clients entreprises et renforcer la satisfaction et l’expérience de nos clients particuliers dans leurs besoins au quotidien. Notre engagement dans cette chaire est alors tout naturel afin de participer à une réflexion pluridisciplinaire sur les opportunités et les conditions à mettre en oeuvre dans la banque et dans la société pour favoriser l’émergence de nouveaux services et continuer à améliorer nos relations avec nos clients dans la durée.»

Philippe Laulanie

Directeur, Distribution 
Marchés Domestiques

 

 

Les auteurs
 


Charles D’Aumale (1997), 
est directeur vente et marketing des produits de sécurité chez ERCOM. Il a rejoint ERCOM en 2008 après avoir travaillé chez Orange (MVNO, NFC réglementation), chez Bouygues Telecom (responsable desobjets communicants) et dans des jeunes pousses (stockage de données et traitement des images). Il est membre du groupe projet du Plan Gouvernemental de relance industrielle cybersécurité.







Edouard Giard (1990),
 est responsable de la sécurité informatique depuis 2011 au sein Credit Agricole Corporate and Investment Bank. Il a rejoint CA-CIB en 2007 après avoir été successivement chez IBM, BCG (Boston Consulting Group), BT, Cap Gemini, La Poste dans les métiers du service et du conseil, dans les domaines du e-commerce, de la relation client et du management des systèmes d’information.












Frédéric Goux(1996), 
est directeur de la Practice Risk Management et Sécurité de l’Information (200 consultants) au sein du cabinet de conseil Solucom. Il a rejoint Solucom en 1997 et est intervenu sur des missions de conseil pour des grandes entreprises françaises et internationales dans les domaines des télécoms, de l’architecture et de la sécurité SI.

810 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Quels rôles jouent les technologies numériques dans l’évolution de la médecine du travail ? Groupe Santé#196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

Le numérique au service de la décarbonisation #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

DC Brain nommé au prix de la croissance #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril