CYBERSÉCURITÉ : ENSEIGNEMENTS ET RECOMMANDATIONS

Par Lydia Boudjemai, Manager & consultante en recrutement IT - Experte Cybersécurité, en collaboration avec Noemi Capell.

Hays Technology a demandé à des personnes à travers le monde ayant poursuivi une carrière dans la Cybersécurité de raconter leur parcours, de partager leurs conseils et leur vision de l'avenir du secteur. 

 

« J'adorais casser toute sorte de choses ! » 

La raison qui a poussé Hossam Eltahawy, Consultant principal et Responsable en Cybersécurité, à entamer une carrière dans la Cybersécurité est tout à fait originale. Il n'est d’ailleurs pas difficile de comprendre en quoi cet engouement a pu l’aider dans son parcours professionnel. La confiance dans un système de sécurité ne peut s’obtenir qu’à la suite de tests rigoureux. Comment savoir qu’un système est capable de résister à une attaque si ses faiblesses n’ont pas été identifiées ? 

Si le passe-temps d’Hossam Eltahawy n’est pas partagé par la majorité de la communauté, la passion est toutefois un critère primordial pour travailler dans le domaine de la Cybersécurité. 

Alexandra Mercz, Responsable sécurité informatique, déclare : « J'ai toujours été passionnée par les nouvelles technologies, et notamment par la manière dont elles peuvent être exploitées pour améliorer la vie des populations. Face au développement croissant du cloud computing, il est crucial de renforcer la protection des données des entreprises et des personnes. Cela m'a conduit sur la voie de la cybersécurité. » 

Amrah Mazhar a repris un poste après huit années passées loin du monde du travail durant lesquelles elle s'est concentrée sur sa famille. Comme elle le fait remarquer : « Je devais trouver ma passion. Lorsqu’on trouve sa passion, on peut enfin atteindre l'excellence ». Bien que cela soit relativement rare pour quelqu'un ayant un parcours professionnel comme le sien, elle a décidé d'accepter un stage pour réaliser ses premiers pas dans le secteur de la cybersécurité. 

D’autres personnes sont fascinées par le piratage informatique dès leur plus jeune âge. Taoufik Fares, responsable d'équipe en cybersécurité, travaille en France et se souvient de son premier ordinateur acheté en 2000 : un HP doté d’un processeur Pentium II. Avec lui, il a découvert qu'il était possible d’embêter ses amis en prenant le contrôle de leurs PC, de changer leurs fonds d'écran et de jouer avec leurs données. Depuis cette époque, il a travaillé comme consultant en cybersécurité dans plus de 15 pays. 

Pour d'autres, l’orientation vers la sécurité résulte d’un intérêt prononcé pour l’informatique. Sebastian Wieseler, originaire d'Allemagne, travaille aujourd'hui à Singapour en tant que spécialiste principal en sécurité et conformité informatiques. Si sa fascination pour l’informatique et les technologies est apparue dès son plus jeune âge, sa spécialisation et sa passion pour la sécurité se sont développées à l'université.  

 

Une formation ou une expérience dans le domaine de la cybersécurité n'est pas une condition préalable 

Cependant, toutes les personnes travaillant dans le secteur n'ont pas commencé leur formation à l'école ou à l'université et cela s’avère toujours très intéressant pour une carrière dans la cybersécurité. Selon Alexandra Mercz, ses études dans un domaine différent se sont révélées extrêmement utiles : « Ma formation en administration des affaires internationales combinée à mes connaissances en matière de cloud computing et de cybersécurité me permet de comprendre le point de vue des chefs d'entreprise et de veiller à ce que les solutions de cybersécurité répondent à leurs exigences. » 

L’histoire est assez similaire pour Kirt Cathey, qui a vécu à Guam et en Amérique avant de s'installer au Japon, où il travaille désormais. Il a été l'un des premiers à adopter l'ordinateur personnel dans les années 1980 et a vu le développement de l’informatique à San Francisco, où il s'est spécialisé dans les études japonaises. Ayant occupé divers emplois à Guam, y compris en tant que créateur d'un magasin de guitares, ce sont ses compétences bilingues qui se sont révélées utiles dans le secteur de la cybersécurité. Comme il le souligne, « dans ce domaine, [parler plusieurs langues] était un atout rare ». 

Dominic Grunden est un RSSI basé au Myanmar qui a travaillé en Europe et en Asie. Il est tombé amoureux de l'informatique en se portant volontaire dans le cadre de l’installation d’un réseau au sein d’une école locale, une compétence qui s’est révélée particulièrement utile. « Il fallait être touche-à-tout à l'époque ! Il fallait savoir câbler, configurer les postes de travail et les serveurs. » 

Seiji Kiyokawa, Directeur en sécurité informatique et en continuité de l’activité, se souvient de son début de carrière au Royaume-Uni comme Ingénieur spécialisé dans les pare-feux : « C'était l'ère de la simplicité : un pare-feu, un antivirus, et vous étiez protégé ! ». Il a étudié l'informatique à Londres avant de se lancer dans des études plus poussées dans le domaine de la sécurité informatique.  

Bart Kulach a emprunté une voie moins traditionnelle, bien qu'elle ait débuté dans le monde de l'informatique. Tout a commencé avec son premier emploi, à 17 ans, lorsque son PDG, un ancien Développeur, était si sûr de sa sécurité qu'il l’a mis au défi de contourner les contrôles. Il n’a fallu que trois semaines au jeune employé pour remplir sa mission. Mais, il n’en était pas à son premier coup d'essai en matière de piratage : il avait déjà pénétré le serveur de son école pour accéder aux questions des examens à venir ! 

Si Bart Kulach, dont la carrière en cybersécurité l'a depuis conduit au Japon et aux Pays-Bas, a puisé son inspiration précoce auprès de son PDG, les modèles des autres intervenants varient. Dominic Grunden cite Bill Gates et Steve Jobs, tous deux considérés comme des icônes à ses débuts. Taoufik Fares souligne que de nombreux enthousiastes de sa génération considéraient le célèbre hacker Kevin Mitnick comme la figure de proue du mouvement. 

Quant à Seiji Kiyokawa, ses principales inspirations ont non seulement façonné son parcours professionnel et son comportement, mais aussi son approche du leadership. Il cite comme influence Jim Desmond, Brad Wirths et Mohamed Hafeel chez Asurion. 
 

« Aux États-Unis, pendant longtemps, le FBI n'aurait jamais embauché un candidat qui ne viendrait pas en costume-cravate. Aujourd’hui, ils ont des équipes de cybersécurité qui vont travailler en jean, en t-shirt, parfois en short. Vous devez décider si vous voulez que la sécurité de votre pays soit assurée par les meilleurs des meilleurs, ou non. » 

 

Approche de la cybersécurité à l’international 

Le secteur de la cybersécurité ne s'est pas développé à un rythme égal dans le monde entier, souvent à cause d’une différence de perspective et d’approche. Hossam Eltahawy souligne qu'au Royaume-Uni, la législation et les règlements (en particulier le RGPD) ont facilité l'engagement et le soutien des directions et a contribué à faire passer le statut des cybermenaces de simples « risques informatiques » à des « risques commerciaux ». Il note toutefois que « jusqu'à présent, il n’y a pas de législation similaire en Australie. L'accent mis sur la sécurité n'est toujours pas au même niveau ». Il perçoit cependant un changement : « Il est certain que la cybersécurité s'améliore en Australie. Je pense que c'est une question de temps. D'ici trois ans, nous serons dans une bien meilleure situation que nous ne le sommes actuellement ». 

Autre facteur clé : la pénurie de compétences. Amrah Mazhar pense que la pénurie de main-d'œuvre en Australie a des répercussions, mais quelle en serait l’origine ? Dominic Grunden a sa théorie sur la question :  « Aux États-Unis, pendant longtemps, le FBI n'aurait jamais embauché un candidat qui ne viendrait pas en costume-cravate. Aujourd’hui, ils ont des équipes de cybersécurité qui vont travailler en jean, en t-shirt, parfois en short. Vous devez décider si vous voulez que la sécurité de votre pays soit assurée par les meilleurs des meilleurs, ou non. » Comme il l'affirme, l'Australie doit s'adapter à son époque. Il reconnaît, par exemple, que les entreprises et les organismes gouvernementaux aux États-Unis et en Europe n'auront aucun problème à embaucher des citoyens étrangers pour des fonctions dans la cybersécurité, alors que le gouvernement australien est plus réticent à inviter des non-citoyens dans les espaces de sécurité. « Si l'Australie s'ouvrait, elle atteindrait la cybermaturité ». 

Kirt Cathey compare les États-Unis à son pays d’accueil, le Japon : « D'après ce que j'ai constaté, les États-Unis ont dépensé beaucoup d’argent dans des solutions, surtout au cours des dix dernières années. » « Comme toujours, les Japonais sont impassibles. Attentifs, calmes et flegmatiques, ils ont étudié la situation. Puis, il y a six ans environ, ils se sont lancés dans l'aventure. L’arrivée de la cybersécurité au Japon a souffert d'un retard de trois à cinq ans ». 

Seiji Kiyokawa explique : « Les Japonais ont tendance à penser que les gens sont bons par nature. Aux États-Unis, c'est le contraire. Non pas qu’ils pensent que tout le monde est méchant, mais que de mauvaises choses peuvent se produire. L'état d’esprit est complètement différent ». Il observe qu'au Japon, en général, les professionnels de la cybersécurité passent beaucoup plus de temps à planifier, mais que la solution trouvée est souvent parfaite. Il pense également que le Japon pourrait explorer la possibilité de former et de développer des RSSI, car jusqu'à présent, ces postes ont rarement été créés en interne : « Il me semble que cela vient des grandes entreprises qui préfèrent former des personnes en tant que généralistes et s'appuyer ensuite sur des partenaires pour les spécialisations. » 

Bart Kulach estime que la pandémie va avoir des répercussions sur le développement de la cybersécurité au Japon : « La Covid a été un formidable facteur de maturité dans le domaine de l'informatique et de la technologie au Japon. Durant mon séjour là-bas, je me suis rendu compte qu’il existait un écart spectaculaire entre la vision que les étrangers ont du Japon, comme « pays de la technologie », et la réalité à laquelle vous faites face lorsque vous parlez à des professionnels de l'informatique ou de la sécurité.  

« Aux Pays-Bas et dans les pays environnants, de nombreuses universités enseignent réellement la cybersécurité et de nombreuses personnes obtiennent un diplôme dans ce domaine ! C'est la principale différence avec le Japon ». 
 

Alexandra Mercz souligne que « la plupart des missions sont réalisées en équipe, et en collaborant avec d'autres personnes. Comprendre ces individus, saisir leurs motivations et établir des liens solides vous aidera à avancer professionnellement ». 

 

Quel avenir pour la Cybersécurité ? 

En matière de fonctions à développer, la position de Kirt Cathey reste ferme : « Je crois vraiment que nous devons nous tourner davantage vers le technoleadership », car la personne qui gère la sécurité doit avoir au moins autant de connaissances techniques que son adversaire. 

La vision de Seiji Kiyokawa n’est pas très différente. Il prédit que « d'ici trois ans, il y aura davantage de compétences issues de spécialistes internes qui auront une vision globale de la sécurité, une expérience et une compréhension vastes de tous les domaines de la sécurité. Ces personnes vont obtenir des rôles de direction de plus en plus importants ». 

Compte tenu de l'évolution constante des dangers en matière de sécurité, à quoi ces leaders technologiques devront-ils faire face ? Bart Kulach prévient que « les menaces vont changer », ce dont Alexandra Mercz se fait l'écho : « Je pense que nous continuerons à voir évoluer le paysage des menaces observé depuis le début de la pandémie de Covid-19. Le travail à distance a apporté son lot de nouveaux défis : il suffit de penser à tous les cadres (parfois supérieurs) travaillant à domicile, souvent sur des réseaux sans fil personnels insuffisamment sécurisés ou même depuis un café. » 

Comme le dit Sebastian Wieseler, « la demande augmente et le contexte se complexifie. Et la complexité, en général, entraîne une défaillance de la sécurité. Dans trois ans, nous aurons une demande encore plus importante tout au long de la chaîne d'approvisionnement ». 

 

Conseils pour une carrière dans la Cybersécurité 

Si les compétences techniques s'avèrent utiles en début de carrière dans la cybersécurité, elles ne sont pas fondamentales, selon Hossam Eltahawy, car elles ne mènent pas loin. Il déclare : « Je recommanderais à la plupart des professionnels de lier leurs compétences techniques à leurs compétences générales et de communication. Cela les aidera à parler le langage des affaires. Ils pourront ainsi obtenir le soutien nécessaire pour stimuler le développement de la sécurité au sein de leur entreprise ». 
 
Alexandra Mercz souligne que « la plupart des missions sont réalisées en équipe, et en collaborant avec d'autres personnes. Comprendre ces individus, saisir leurs motivations et établir des liens solides vous aidera à avancer professionnellement ». 
 
« La connaissance de l'environnement dans lequel vous travaillez est vitale », dit Dominic Grunden. Selon lui, ceux qui ont une vision trop étroite courent le risque de ne plus voir ce qui les entoure, et leur faire perdre conscience des répercussions que peut avoir leur travail, mais aussi des conséquences sur leur propre personne. Seiji Kiyokawa abonde dans ce sens et met l’accent sur l’impossibilité de travailler dans la cybersécurité sans comprendre la technologie et les affaires. Il conclut : « Je pense que les généralistes ont beaucoup à apporter. Leur expérience en matière de sécurité est peut-être limitée, mais ils possèdent une solide compréhension de tous les aspects d’une entreprise. C'est quelque chose qui manque généralement à un spécialiste de la sécurité. Ils peuvent réaliser un test d’intrusion toute la journée sans savoir ce qu'ils testent. Il s'agit de trouver le bon équilibre ». De la même manière, Amrah Mazhar pense qu'il est important de posséder des compétences généralistes pour gravir les échelons.
 
Alexandra Mercz ajoute : « Des études ciblées vous mettront déjà sur une bonne voie, mais je conseille vivement à tous les jeunes talents de commencer par analyser et comprendre pleinement leurs options, puis de planifier leur carrière vers une certaine fonction ». 
 
Pour Hossam Eltahawy, cela revient à un mot : « passion ». Selon lui, « si vous trouvez votre passion et aimez ce que vous faites, vous serez en mesure de surmonter vos défis professionnels et de suivre la carrière que vous avez choisie ; vous pourrez vous démarquer et réussir ». Il prévient toutefois que cela ne suffira pas : « Vous allez devoir continuer à apprendre ». 

Comme le dit Taoufik Fares, « la cybersécurité est d'abord un monde de passionnés. Alors soyez passionné. Recherchez toujours les sujets qui vous intéressent dans le cyberespace et suivez-les ». 

« Vouloir consacrer son temps personnel à comprendre les dernières technologies et se tenir au courant des nouveautés est crucial », affirme Seiji Kiyokawa. Amrah Mazhar le confirme et recommande « un état d'esprit d'apprenant pour faire carrière dans la cybersécurité. Il ne faut jamais arrêter de se perfectionner ». Elle ajoute également : « La cybersécurité, c'est LA VIE, un apprentissage constant ! » 

En fin de compte, cette exigence de formation continue est la clé d'une carrière dans la cybersécurité. Pour Bart Kulach, c'est ainsi qu'une passion est devenue une vocation. « Si vous pensez que la sécurité est quelque chose que vous pouvez faire juste comme ça, ce n'est probablement pas le métier qu'il vous faut étant donné l'évolution rapide de l'environnement et le besoin de se tenir constamment informé des compétences et des nouvelles technologies », conseille-t-il. Pour Taoufik Fares : « Ce que vous maîtrisez aujourd'hui ne sera plus rien demain, vous devez donc apprendre tout le temps ». 

Sebastian Wieseler conclut : « Il y a en fait beaucoup de choses qui vous incitent jour après jour à en apprendre toujours plus, à vous documenter davantage, pour être réellement capable de devancer les méchants ! »
 

Alexandra Mercz ajoute : « Des études ciblées vous mettront déjà sur une bonne voie, mais je conseille vivement à tous les jeunes talents de commencer par analyser et comprendre pleinement leurs options, puis de planifier leur carrière vers une certaine fonction ». 

 

Pour aller plus loin

Développeurs : trois options pour donner un nouvel élan à votre carrière 

 

À la recherche d’une opportunité dans le secteur de la cybersécurité ? Consultez toutes nos offres sur Hays Technology et ne manquez pas notre rendez-vous trimestriel Hays Tech Talk. Vous ne l'avez pas encore visionnée ? Pas de panique, retrouvez notre vidéo ci-dessous !

 

 

Auteur

Lydia Boudjemai
Manager & consultante en recrutement IT - Experte en Cybersécurité

De formation supérieure en Ressources Humaines, Lydia présente une expérience de plus de 6 ans dans le recrutement IT et de 3 ans en recrutement cybersécurité. 
Après une expérience dans un cabinet de recrutement anglais spécialisé en cybersécurité, elle intègre Hays en 2019 où elle développe le secteur de la cybersécurité au sein de la division IT en Ile-de-France. 
Actuellement consultante en recrutement senior depuis 2 ans chez Hays Technology, elle est micro-spécialisée sur les métiers de la cybersécurité. Elle aide les professionnels de la cybersécurité à développer leur carrière et s’assure que les entreprises soient soutenues par les meilleurs cyber-talents.
En parallèle, elle évolue sur des fonctions managériales et encadre l’équipe de consultants dédiés au recrutement Infrastructure IT en CDI composée de 5 personnes. 

00
Ajouter des commentaires
Veuillez confirmer pour continuer.