Notre chroniqueur Michel Juvin revient sur ses derniers échanges avec ses pairs pour essayer de dresser le portrait d’un Expert Cyber qui change de stature dans l’organisation. Dans une ode à son métier, il passe en revue les compétences techniques, fonctionnelles, organisationnelles et les soft-skills qui peuvent créer de véritables vocations.
Même si le métier d’Expert ou Directeur Cybersécurité est récent dans l’environnement professionnel, il a rapidement évolué ces dernières années. De RSSI à Directeur Cybersécurité, il représente un avenir pour beaucoup de jeunes qui cherchent leur voie professionnelle. De nombreux autres expertises dans le domaine de la cybersécurité se sont créées (technique, compliance, cloud, …) pour une meilleure efficacité dans la protection du capital informationnel des entreprises.
Au-delà du manque d’effectif, et particulièrement des femmes, dans la cybersécurité, on se doit d’expliquer en quoi ce métier est fascinant, passionnant, et toujours en évolution pour plusieurs années encore, afin de motiver de nouvelles recrues.
Je vous propose de passer en revue toutes ces compétences techniques, fonctionnelles, organisationnelles ainsi que les compétences managériales et les qualités de type « relations humaines » que l’on pourrait rêver d’avoir (tout ou partie), pour exercer ce métier pleinement.
1. Les compétences techniques
Sans aucune hésitation, une première expérience (formation à minima) dans un environnement technique est un prérequis pour bien comprendre la cybersécurité. On peut ainsi acquérir une expertise forte dans un domaine, tout comme une appétence forte pour la technologie en général. Ainsi, une expertise en chiffrement, réseau, système, télécom ou même avoir exercé des fonctions d’administrateur Windows, GCP, Azure… donnera un excellent background à tout futur passionné de la cybersécurité.
Mais si ce dernier n’a pas de connaissance aussi poussée, il peut aussi avoir suffisamment de connaissances générales en informatique et apprendre en fonction du domaine à maîtriser. Par exemple, il peut se passionner sur de nouvelles technologies comme celles liées à l’IA, au chiffrement post-quantique ou au Web3 ; ou bien encore aux droits d’accès des données et applications.
2. Les compétences fonctionnelles
Deux grands axes fonctionnels devraient être couverts par tout expert cybersécurité :
- La compréhension de toutes les fonctions de l’entreprise,
- Une expertise sur une ou plusieurs applications majeures utilisées par l’entreprise.
Dans l’objectif de comprendre comment et dans quel but les données sont échangées dans l’entreprise, l’expert cyber doit identifier rapidement les flux de données et les départements internes (comme externes dans le cas de sous-traitance ou partenariat avec d’autres sociétés de services) qui permettent le fonctionnement de l’entreprise. Par exemple, rapidement après avoir rejoint une entreprise, l’expert cyber doit maîtriser la cartographie applicative de l’entreprise et savoir quelles sont les données échangées et avec quelles organisations, ainsi que les données les plus importantes à protéger.
Une expertise dans un domaine fonctionnel spécifique est aussi une compétence intéressante. A titre d’exemple, bien connaître l’activité principale de l’entreprise : la logistique, la distribution, la vente ou encore la finance donnera une meilleure compréhension des enjeux de la gestion des données, les points d’attention importants pour rédiger et mettre en place les procédures de sécurité nécessaires au fonctionnement de l’entreprise.
3. Les compétences organisationnelles
Avoir une compréhension globale du fonctionnement d’une entreprise avec ses différents services permet de rapidement trouver les positions clefs qui pourront aider l’expert cyber dans son rôle d’évangélisation et de motivation des employés dans la protection de l’information. Il s’agit en fait de comprendre qui fait effectivement quoi dans l’entreprise et comment sont gérées les relations hiérarchiques entre les personnes.
Ainsi, dans un service qui serait exposé aux cyber-attaques, il faut être en mesure de trouver par exemple la bonne personne qui pourra être le correspondant ou ambassadeur de la cybersécurité et qui saura apporter la première réponse à un problème ou à une cyber-attaque auprès de ses collègues.
De même, certaines solutions de cybersécurité doivent être mises en œuvre et portées par une personne de confiance qui saura dialoguer avec l’expert cybersécurité pour informer régulièrement du fonctionnement des procédures de sécurité.
Enfin, de bonnes connaissances fonctionnelles et organisationnelles permettra à l’Expert cybersécurité de connaître toutes les procédures de sécurité qui doivent exister dans chaque département de l’entreprise et surtout les personnes qui seront garantes de leur exécution. En effet, les procédures comme le patch-management, la gestion des sauvegarde… ou encore la gestion des droits d’accès, associée aux procédures de gestion des entrées -sorties, sont autant de bonnes pratiques que l’expert cyber doit impérativement connaître. Il doit aussi savoir identifier les personnes responsables du bon fonctionnement de ces procédures.
4. Les qualités personnelles de l’Expert Cybersécurité
C’est clairement une femme ou un homme de dialogue, de composition avec le terrain et un vrai leader au sein de son entreprise. Son charisme doit lui permettre d’enrôler, de motiver, de sensibiliser tous les employés, y compris le top management, pour protéger le capital informationnel de l’entreprise.
Il faut une certaine maturité pour réussir dans ce rôle et être compris dans cette fonction. Il faut aussi prendre le temps d’écouter et d’apprendre avant de parler. Trop souvent, on fait l’erreur de condamner ces « sages » à ne faire que donner leur avis. Cependant s’ils oublient le quotidien, s’ils ne sont plus en contact avec les utilisateurs et le terrain, ils pourraient bien se tromper et commettre des erreurs stratégiques. Ce n’est pas parce que l’on connaît la bonne pratique dans un domaine ; que celle-ci va pouvoir s’appliquer facilement ; il faut prendre le temps d’écouter et d’entrer en osmose avec le contexte pour donner la bonne recommandation qui sera facile à appliquer et sera efficace.
Le parcours professionnel d’un Directeur cybersécurité est varié et fonction de ses rôles dans différentes entreprises. Il y a toutefois des points communs dans tous les parcours de nos pairs : bien connaître la technologie, savoir faire des analyses de risque, faire des présentations synthétiques, manager une équipe de plus de dix personnes et savoir parler en public.
Selon un top 10 réalisé par Silicon Magazine, les principales « soft-skills » qui nous caractérisent seraient l’intelligence émotionnelle et l’empathie. Dans mes interviews réalisées à l’occasion du FIC 2023, quelques-uns de nos grands Experts Cybersécurité ont accepté de partager avec nous leurs parcours, formations et leçons que la vie leur a apportés. J’en résume ci-dessous les grandes lignes :
Ecouter et comprendre
Il faut écouter et comprendre pour savoir bien communiquer. Comme le dit Arnaud Martin (Caisse des Dépôts), il faut avoir la position d’un aigle : donner une vision globale ainsi que pouvoir descendre au niveau du détail précis. Il faut avoir cette capacité de produire une communication bidirectionnelle à destination du top management mais aussi des opérationnels pour une mise en œuvre.
Être humble et modeste
Une autre caractéristique de nos pairs rapportée lors de ces interviews est qu’il faut savoir rester humble et modeste. On dit souvent que l’on se bat contre beaucoup plus de cerveau que notre seule intelligence et c’est la raison pour laquelle il faut être simple et discret dans l’annonce de nos résultats par exemple. Eric Vautier (ADP) me rappelait déjà il y a presque 10 ans, lors d’une réunion interne[1] sur l’évolution des risques cyber, qu’on ne voit que les hackers qui sont moins intelligents que nous !
Pas de cursus spécifique, mais réfléchir pour anticiper
Une autre caractéristique est que leur vie professionnelle leur a donné la chance d’apprendre beaucoup et rencontrer des personnes extraordinaires. A ce propos, nous avons convenu avec Guillaume Poupard (Docaposte, ex-Anssi) que la chance est aussi quelque chose qui n’arrive pas par hasard. Il n’y a pas de parcours spécifique qui mènerait à ce rôle d’expert cyber et cette qualité de leader charismatique capable de motiver toute son assemblée, c’est l’opportunité de prendre des fonctions à haute responsabilité comme nous dit Edouard Jeanson (ACN) ainsi que de savoir faire une synthèse homogène tout en déroulant un scénario simple et donnant une vue sur le long terme. Parfois, comme Thierry Olivier (Société Générale) et Benoît Fuzeau (Clusif), une formation de type école de commerce est aussi intéressante que celle plus orientée d’ingénieur. Tous les parcours, issus d’école ou d’université dans la technologie ou non, comme nous le rappelle Jean-François Louapre (Cesin), mais avec une capacité de réflexion et hauteur de vue, donnent les clefs de cette fonction.
Développer la confiance
La confiance est aussi primordiale. Pour notre collègue Benoît Fuzeau, il faut appliquer une règle simple : je dis ce que je fais et je le fais. J’ajouterai qu’il faut définir les moyens de contrôler que ce que l’on dit reflète la réalité. A ce titre, Philippe Loudenot (Bluefiles) estime à raison qu’il est nécessaire d’accepter d’être audité voir même de solliciter un audit de ses actions et analyses de risques pour être sûr de soi devant un comité de Direction.
Savoir gérer le stress
Enfin, comme le rappelle Vincent Juquel (Solocal), au-delà des formations spécifiques de management, il faut être capable de bien gérer le stress au quotidien et gérer une situation de crise en sachant rassurer les équipes. Pour cela, il faut bien connaître son environnement professionnel ; avoir adopté les valeurs et posséder une bonne connaissance de la culture de l’entreprise.
La partage de l’expérience acquise
J’ajouterai aux remarques de mes pairs que nous avons la chance d’avoir beaucoup d’entreprises et les clubs d’experts cyber qui nous rassemblent et nous font témoigner des problèmes auxquels nous sommes confrontés ainsi que des solutions mises en place. Il n’existe pas d’autre communauté aussi soudée que celle de la cybersécurité. J’en profite pour remercier les animateurs de ces grands événements et les médias qui nous aident à partager nos idées et nos bonnes pratiques.
Un métier de passionné
Cette fonction est exercée par des passionnés. L’intensité du travail et la responsabilité dans la survie de l’entreprise est un enjeu majeur dans un contexte ou aujourd’hui aucune entreprise n’est à l’abri d’une cyber-attaque.
Heureusement, l’expert cyber est toujours entouré d’une équipe animée par l’objectif de réduire les risques et protéger le capital informationnel de l’entreprise. Beaucoup de fonctions sont maintenant définies dans le domaine de la cybersécurité : l’analyse SOC, les architectes réseau et applicatifs, les responsables de la gouvernance et le contrôle, les responsables juridiques et DPO, … et la direction technique de la DSI. Toutes ces personnes ont des fonctions directement opérationnelles dans la protection du capital informationnel de l’entreprise.
La MindMap ci-dessous, permet de se rendre compte des différents domaines de connaissance actuels de la cybersécurité :
Vous l’aurez compris, portée par la technologie, cette fonction de niveau managérial est devenue hautement importante dans toutes les entreprises. Tous les profils techniques sont amenés à intégrer la cybersécurité dans leurs actions respectives et potentiellement, à gagner des fonctions de responsabilité dans la cybersécurité.
Cette fonction est passionnante car il faut toujours écouter et apprendre de ses pairs en contribuant aux communautés ainsi qu’effectuer une veille technologique régulière pour ne pas être distancé par les organisations de hackers.
C’est aussi un vrai sujet de société que de protéger les informations, et travailler dans ce domaine vous apporte de la confiance en soi et une écoute attentive de son entourage professionnel ainsi que personnel.
Enfin, c’est un domaine où il faut réfléchir continuellement pour tenter d’anticiper les attaques ennemies et apprendre en effectuant une veille technologique régulière.
[1] J’avais rassemblé lors de ces réunions de réflexions : trois de nos pairs, un juriste, un humaniste et une milléniale.