Un intérêt pour les multiples facettes de la sécurité.
Mon parcours universitaire met en avant le mot "sécurité" et ses diverses facettes.
Au cours de ces années, je me suis d'abord formé sur la gestion des risques à divers niveaux : risques envers les biens et les personnes, risques industriels, risques environnementaux, ...
Ces formations m'ont amené à travailler dans des environnements variés et sur des thématiques diverses, en allant de l'évaluation du bien-être de patients dans un hôpital à la gestion de la sécurité incendie d'une salle de spectacle et d'un festival.
Afin de finaliser mon parcours en me spécialisant sur un domaine pour mon master, j'ai sélectionné la gestion des risques associés aux systèmes d'information (SI) de par mon fort intérêt personnel pour ce sujet et du caractère particulièrement porteur de ce secteur. J'ai été amené à découvrir et approfondir le monde de la cybersécurité qui se décompose lui-même en de nombreuses sous-parties qui ont toutes leurs propres spécificités et challenges.
J'ai fait mes premières armes dans ce domaine à Covéa en 2016 pour clôturer mon master. J'ai rejoint la direction risques et sécurité (DReS) en travaillant notamment sur la création d'une cartographie des équipements de sécurité SI du groupe.
Une fois mon diplôme en main, je suis revenu dans la foulée à Covéa en tant que prestataire pour accompagner la DReS dans la gestion de la sécurité opérationnelle du groupe et la supervision d'audits de sécurité.
Après 3 ans de prestation, j'ai rejoint officiellement le groupe en 2020 afin de continuer sur ma lancée et faire face à de nouveaux challenges.
Accompagner vers la sécurisation IT et sensibiliser.
Durant mon parcours à Covéa au sein de la DReS j'ai eu l'occasion de découvrir différents challenges cyber auxquels nous devons faire face, en tant que groupe mais également pour chaque collaborateur individuellement. La sécurité cyber étant l'affaire de tous, nous sommes tous amenés à rencontrer des situations porteuses de risques.
Dans un premier temps, mon rôle était d'accompagner les collaborateurs face à ces situations : Le contexte est-il effectivement risqué ? Quels sont ces risques ? Qu'est-ce que Covéa recommande et comment répondre à la situation en question de façon appropriée ?
L'important est de faire avancer peu à peu le groupe dans sa globalité vers une meilleure compréhension de ces problèmes qui sont tout de même relativement récents et qui deviennent de plus en plus omniprésents.
Par la suite, j'étais un des acteurs du plan d'audit de sécurité SI du groupe. Aucune entreprise n'étant réellement parfaite et à l'épreuve de toute vulnérabilité, l'objectif d'un tel plan est de déterminer les éléments sensibles de l'environnement SI et d'en vérifier la robustesse. De cette façon, en identifiant des points fragiles et en les corrigeant peu à peu via des plans d'actions priorisés, nous minimisons les risques auxquels nous devons faire face.
Mon poste me permet désormais d'accompagner le groupe sur de nouveaux sujets.
Je suis actuellement le référent cybersécurité sur le domaine de la sécurité physique. En effet, nos bâtiments et leurs équipements deviennent eux aussi de plus en plus connectés et apportent de nouveaux contextes à cadrer : smart building, maintenance à distance, sécurisation des bâtiments hébergeant nos Datacenters, …
Il s'agit d'anticiper ces nouveautés et de préparer le groupe à faire face à des risques cyber différents.
Ce périmètre me permet également de mettre à profit mes connaissances sur la sécurité industrielle !
Découvertes, environnements dynamiques et améliorations
Un système d'information est un périmètre en constante évolution et réunissant de très nombreux acteurs.
Cette vivacité apporte plusieurs bénéfices qui sont mes motivations principales.
- Elle nous pousse à constamment challenger la vision de notre périmètre et à nous adapter face à de nouvelles situations (projets, réglementation, etc.)
- Le périmètre n'étant pas figé dans le temps, il nous permet d'intervenir concrètement et d'avoir un impact réel sur son développement
C'est ce cycle de "Découverte > Adaptation > Amélioration" qui est particulièrement attrayant à mes yeux et un des facteurs pour lesquels je suis présent à Covéa depuis maintenant 4 ans.
De plus, en ce qui concerne directement Covéa, il faut garder à l'esprit que nous sommes composés de plusieurs enseignes ayant une histoire longue de plusieurs décennies. Plusieurs collaborateurs ont vu ces enseignes évoluer et devenir ce qu'elles sont aujourd'hui à travers les collaborations du groupe. Cette diversité de passés et de philosophies se reflète au niveau de notre système d'information et le rend par conséquent particulièrement unique et intéressant.
Et enfin, élément non négligeable, l'équipe DReS est particulièrement enthousiaste et conviviale. ;)
Soit curieux et à l'écoute !
Travailler efficacement à la sécurité SI repose fortement sur les capacités à comprendre et convaincre ses interlocuteurs.
En règle générale, l'objectif n'est pas d'imposer unilatéralement des exigences mais de trouver les bons compromis.
Pour cela, il est nécessaire d'être à l'écoute des interlocuteurs en abordant leurs contraintes et leurs besoins et de les questionner pour s'assurer d'avoir la vision la plus juste de leurs intentions.
En effet, Il est difficile de les conseiller efficacement sur la base d'informations erronées ou mal interprétées !
En s'assurant de réaliser cette démarche systématiquement, tu te construiras ta vision globale d'un système d'information qui doit s'approcher autant que possible de la réalité.
Un SI est un système complexe comportant de nombreux assets, intervenants et interconnexions : avoir une vision claire nourrie par ta curiosité te permettra de déceler des problèmes difficilement perceptibles.
Mon premier pilotage d'audit : campagne de sécurisation de sites web
En l'état, je me souviens particulièrement du premier pilotage d'audit de sécurité que j'ai réalisé.
Il s'agissait d'une campagne de tests d'intrusion des sites Internet du groupe que j'ai supervisé, de son lancement jusqu'aux traitements des recommandations associées.
Les circonstances de l'époque ont fait que j'étais en quasi-autonomie sur ce sujet qui était nouveau pour moi. Je n'avais jamais piloté d'audit par le passé, je n'en avais qu'une connaissance théorique.
Malgré cela, celui-ci s'est terminé sans accrocs (ou du moins rien de catastrophique :) ). J'ai pu gérer les quelques problèmes qui avaient fait surface lors de son déroulement et j'ai pu constater directement les améliorations que cette campagne a apportées sur nos sites web.
Bien que ce fut une période assez stressante pour moi à l'époque, j'en garde un très bon souvenir à postériori.
