06/05/2016
Helmi Rais | Senior Manager | Alliacom, France
Bonjour Securinets Nabeul et Félicitations pour le lancement de votre activité. Je suis content de voir des passionnés et des moruds de la cybersécurité organiser leurs activités un peu partout en Tunisie.
Je me permets, avec ma petite expérience en cyber-sécurité de partager quelques conseils à vous étudiants et membres du club pour réussir votre carrière d'experts en sécurité des systèmes d'information.
1. Respecter son métier
Un expert sécurité doit aimer ce qu’il fait, respecter son métier, respecter la Loi, et s’engage totalement sur un code d’éthique. Car il s’agit là d’un métier très délicat qui peut mettre le business de ses clients en péril.
A ce titre, un expert sécurité doit être neutre et intègre dans toutes ses recommandations. Il s’engage à respecter une stricte confidentialité des informations qui lui sont confiées ou qu’il peut voir, entendre ou comprendre. Il ne réalise pas un mandat pour lequel il n’a pas les compétences requises.
2. Etre passionné, apprendre tous les jours
Pour réussir dans ce métier, il faut être passionné. La sécurité est passée de la gestion des accès dans les Mainframes des années 1980 vers le threat modeling sur les équipements post-pc en 2013. Les menaces et les concepts de défense évoluent tous les jours et toutes les heures.
On est donc d'accord que la veille technologique, l'autoformation, la participation aux forums et colloques, l’analyse des derniers articles de recherche, etc. sont des éléments vitaux pour persévérer son efficacité et son expertise.
N’oubliez pas également que la partie prenante de vos projets monte également en compétence. Vos clients, participent eux aussi à des formations de haut niveau, participent eux aussi aux évènements, communiquent et travaillent avec d’autres prestataires du même niveau que vous. Donc ils acquièrent de nouvelles connaissances et expriment de nouveaux besoins ; il faut savoir y répondre !
Tout simplement il faut se mettre comme objectif d'apprendre un nouveau concept quotidiennement, ça vous fera plus de 350 nouveautés par an.
Il faut aussi savoir être humble devant la réussite, mais aussi relativiser les "échecs", en étant capable de se remettre en question et de solliciter de l'aide, en cas de besoin
3. Savoir écouter
Notre métier c'est de protéger le business et la continuité des opérations dans un contexte protégé. Pour cela il faut savoir écouter la partie prenante avec laquelle nous travaillons (ses clients, ses partenaires, sa hiérarchie). Que vous soyez auditeurs, intégrateurs ou chefs de projet, il est très important de céder la parole à votre partie prenante afin qu'elle exprime ses besoins sécurité, les menaces qui l'inquiètent et les solutions optimales qu'elle souhaite implémenter. Ceci vous rendra plus efficaces.
Même si vous êtes un très bon orateur, laissez parler les autres et contentez-vous de poser les bonnes questions ou d'apporter les bonnes réponses. Et rappelez vous le slogan de Backtrack : "The quieter you become, the more you can hear »
4. Savoir communiquer
S'il y a quelque chose que j'ai réellement regretté après avoir quitté l'INSAT, c'est de ne pas avoir été assidu et discipliné dans les cours de langues (Arabe, Français, Anglais). Je n'ai jamais imaginé que dans la vie professionnelle, connaitre les derniers algorithmes de chiffrement quantique ne vaut rien si ne pouvons pas rédiger un rapport ou faire une présentation sans erreurs d'orthographe ou de syntaxe.
Ainsi, plusieurs ingénieurs/consultants sont sanctionnés dans leurs carrières, même s'ils sont d'un niveau technique intéressant, à cause de la qualité de leurs rendus, de leurs présentations. C'est injuste mais c’est ainsi !
La communication est également un point extrêmement important dans la vie professionnelle d'un expert sécurité. Expliquer à un manager ou un responsable que le site web de son entreprise est vulnérable à un Blind SQL injection ou un CSRF est un véritable défi.
Parfois vous serez confrontés à des situations de conflits : un conflit sur un livrable par exemple, sur un résultat d'un audit d'intrusion contesté par les équipes réseaux. L'expert sécurité doit être toujours à l'écoute, et apporter toujours les bonnes réponses.
A vrai dire il faut préparer un vocabulaire et une communication spécifique avec chaque profil de personnes de votre partie prenante.
5. Savoir s'intégrer
Autre injustice : le "super techos" le "geek" qui s'enferme dans sa bulle et reste derrière son écran, sans partager ni échanger avec ses collègues, restera toujours dans sa bulle et derrière son écran même après 30 ans de carrière.
Demain vous n'allez pas uniquement configurer des Firewalls NG, vous allez gérer des hommes, des projets, des budgets.
L'intégration dans l'environnement de l'entreprise est élément extrêmement important.
6. Respecter ses engagements
Le client, la partie prenante pour qui vous travaillez investissent en vous et ont besoin d'avoir confiance en vous. Le respect des engagements concernant les dates de livraison, le contenu des livrables, le déroulement des prestations, les action/services prévus sont des éléments vitaux pour maintenir cette confiance.
7. Oser, Créer, Inventer
La mise en œuvre des mesures et concepts fondamentaux de la sécurité, en quels vous croyez et que vous défendez, n’est pas simple dans la vie réelle. Cela devient parfois plus difficile dans une culture comme la notre où le « changement » des habitudes est délicat. Mais bon, vous n’avez pas le choix, il faut faire avec.
Mécaniquement, Si vous n'avez pas de créativité, vous allez peiner pour évoluer et faire évoluer les choses.
8. Construire sa carrière
Un expert qui réussit sa carrière est un étudiant qui a su, le jour où il a eu son diplôme, où il va être dans les 15 prochaines années.
Au début de sa carrière, il est essentiel ne pas penser « rémunération » mais plutôt les missions et les projets que vous allez réaliser. Le retour sur investissement viendra un jour ou l’autre, ne vous inquiétez pas sur ce sujet.
Il faut que la gestion de la carrière soit efficace, en moyenne 5 années dans la phase « ingénieur sécurité », 5 années dans la phase « consultant sécurité », 5 années dans la phase « Direction de projet / Management sécurité ». Il faut également bâtir un plan de certification pour consolider chaque phase (Certifications produits, ISO, ISC2, SANS, ISACA, PMI, etc.).
Je vous souhaite beaucoup de réussite et à la prochaine !
Helmi RAIS | Senior Manager | Alliacom, France
