| GRC
Découvrez avec Sami les atouts de la GRC
Sami Feki, consultant senior GRC chez Synetis, nous fait part de son quotidien et présente les caractéristiques fortes de sa practice.
Découvrez l’aventure synetisienne de notre expert !
Peux-tu nous expliquer ton parcours avant et depuis Synetis ?
J’ai commencé mon parcours professionnel en Tunisie où j’y ai obtenu un Master en Audit et Sécurité des Systèmes d’Information (SI). J’ai, par la suite, travaillé au sein d’une multinationale spécialisée en Audit, en tant que Auditeur IT.
Cette expérience m’a permis, à plusieurs reprises, de réaliser des détachements en France et donc de découvrir le marché français. J’ai ensuite fait le choix de déménager en France afin de pouvoir monter en compétences et étendre ma carrière dans un pays plus développé en matière de cybersécurité.
Lors de mon arrivée, j’ai alors eu l’opportunité de travailler au sein d’une grande banque internationale, en tant que Coordinateur en Cybersécurité. Cette expérience m’a permis de mieux appréhender les réglementations qui gravitent autour de la Gouvernance Risques et Conformité (GRC) – notamment la loi LPM (Loi de Programmation Militaire). J’ai également pu observer le fonctionnement des autres équipes (j’ai eu l’occasion de travailler sur l’analyse de maturité applicative et le suivi d’implémentation des mesures de sécurité ainsi que plusieurs autres projets transverses), ainsi que leurs besoins en termes de sécurité.
Comment nous as-tu rejoint et quel est ton rôle, quotidien chez Synetis ?
J’ai rejoint la practice GRC de Synetis – après 6 ans d’expérience en cybersécurité – au mois d’avril 2021. J’y occupe le poste de Consultant senior GRC.
Mon quotidien chez Synetis est très stimulant, mes missions ne sont jamais les mêmes et j’en apprends tous les jours un peu plus.
Au début de mon aventure synetisienne, j’ai eu l’occasion de travailler pour plusieurs acteurs du secteur bancaire, en tant que Responsable de Conformité RGPD.
Depuis le mois d’avril 2022, toujours dans ce même secteur, je travaille au quotidien chez un client au poste de Responsable de la Sécurité du SI. Dans le cadre d’une nouvelle acquisition produit, j’accompagne mon client lors de projets d’analyse de maturité des nouvelles solutions que ce soit Cloud ou On-premise. Mon objectif est de choisir la meilleure solution qui répondra au mieux aux besoins de notre client – suivant des normes et bonnes pratiques. La décision finale, lors de ce type de projet, peut se faire grâce à des ateliers – pour identifier le besoin et la criticité des données qui vont transiter dans cette nouvelle application, mais également au travers d’analyses de risques et d’analyses de maturité.
Sécurisation des SI
Nos experts
Gouvernance, Risques et Conformité
répondent à vos questions
Qu’est-ce que la Gouvernance Risques et Conformité (GRC) ? Pourquoi ces domaines sont-ils importants pour les entreprises ?
La Gouvernance, la gestion des Risques et la Conformité sont trois éléments fondamentaux pour le bon fonctionnement d’une entreprise. Assemblés, cela nous donne la GRC :
- La Gouvernance représente l’ensemble des politiques, règles ou cadres qu’une entreprise utilise pour atteindre ses objectifs ou pour protéger toutes personnes impliquées dans son fonctionnement (ses employés, clients ou bien les fonds des actionnaires) ;
- Le Risque, comme le définit la norme ISO 27005, fait référence à l’impact d’un événement néfaste sur le bon fonctionnement d’un processus ou de l’entreprise. Une bonne évaluation des risques permettra à une entreprise de trouver ses failles de sécurité dans son SI et d’appliquer un correctif. L’impact de ces risques est calculé par la probabilité d’occurrence d’un événement néfaste et de son impact tel que financier, de réputation, opérationnel ou encore juridique ;
- La Conformité correspond, lui, au respect des textes de lois et réglementations qui sont applicables à l’entreprise. Elles diffèrent selon le secteur d’activité, la localisation, et même celle de ces clients.
Comment accompagnes-tu tes clients lors de tes missions ? Quels sont les sujets que tu rencontres le plus régulièrement ?
Tout au long de mon parcours professionnel, j’ai accompagné différents clients – dans différents secteurs d’activité – et réalisé plusieurs types de missions comme l’audit de conformité, la conformité RGPD, l’analyse des risques avec la méthode EBIOS RM ou encore l’analyse de maturité des solutions. Chacune de ces missions m’ont permis de monter en compétences, de rencontrer de nouvelles personnes et de travailler avec différentes équipes.
Dans le cadre de nos missions, nous sommes amenés à travailler avec d’autres équipes cyber tel que l’équipe CSIRT (CERT) ou encore les équipes d’audit opérationnel – afin de réaliser des missions PenTest de scans de vulnérabilités. Ce fut une expérience très enrichissante !
J’estime qu’avoir des connaissances techniques permet à un consultant GRC d’avoir plus de visibilité sur ses missions et de mieux comprendre son secteur d’activité. Ces compétences permettent également d’orienter son travail et de mieux répondre aux besoins de son client.
As-tu déjà passé des certifications ? Pourquoi est-ce important ?
Au cours de ma carrière professionnelle, j’ai eu la chance d’obtenir quatre certifications :
- CISCO CCNA 1.2.3 : trois certifications transmises par l’entreprise CISCO, société américaine spécialisée dans le matériel de réseau et serveur. Celles-ci sont reconnues comme la norme industrielle en matière de conception et d’assistance réseau et garantissent de hauts niveaux de spécialisation et de crédibilité.
- ISO 27001 : norme internationale décrivant les bonnes pratiques à suivre dans le cadre de la création d’un système de gestion de la sécurité de l’information (ISMS – Information Security Management System) ;
- ISO 27005 : norme contenant des lignes directrices relatives à la gestion des risques en sécurité de l’information. Celle-ci vient en appui des concepts généraux énoncés dans l’ISO/CEI 27001. Cette norme est conçue pour aider entreprises et organisations à la mise en place de la sécurité de l’information basée sur une approche de gestion des risques ;
- CyberArk Defender : cette certification délivrée par CyberArk, nous aide à renforcer nos connaissances et compétences en ce qui concerne les couches critiques de sécurité afin de protéger les comptes à privilèges.
Selon moi, il est important pour des consultant.e.s d’obtenir des certifications. Celles-ci sont nécessaires pour gagner en technicité et être reconnu.e auprès des professionnel.le.s que nous rencontrons en missions. Ces certifications approuvent aussi notre expertise dans un domaine spécifique, et permettent un maintien à jour de nos connaissances dans un monde cyber en constante évolution.
L’obtention de ces certifications me permet de maintenir un esprit évolutif et, ainsi, de pouvoir rester compétitif dans mon domaine.
Pour toi, quel est le top 3 des conseils à donner à une entreprise pour maîtriser efficacement ses risques ?
Voici les trois conseils que je donnerai à une entreprise pour qu’elle puisse maîtriser efficacement ses risques :
- L’évaluation des risques encourus : cette étape permet de comprendre les vulnérabilités, les menaces qui sont confrontées à l’entreprise. Cette évaluation permet également d’estimer les risques et de les catégoriser selon leurs impacts potentiels. Finalement, ces analyses permettront aux entreprises de traiter leurs risques plus efficacement, et de pouvoir y faire face efficacement grâce à une préparation adaptée ;
- La mise en place de politiques et chartes de sécurité : afin de maîtriser ses risques, une entreprise doit aussi mettre en place des politiques, procédures et chartes de sécurité. Il est nécessaire de les partager à tous les employé.e.s de l’organisation – afin qu’ils puissent en prendre connaissance et les appliquer. Ces politiques doivent être revues périodiquement dans le cadre d’un processus d’amélioration continue ;
- La sensibilisation des employé.e.s : il est très important de sensibiliser ses équipes et de les former aux bonnes pratiques cyber pour qu’ils puissent appliquer correctement ces règles de sécurité.
Peux-tu nous citer un sujet d’actualité qui peut avoir un impact important pour la gestion des risques cyber ?
Plusieurs sujets me viennent à l’esprit. Tout d’abord, le sujet des ransomwares est toujours un sujet d’actualité dans le monde de la cybersécurité. Ce type d’attaque qui permet de bloquer le Système d’Information d’une entreprise peut avoir un réel impact pour la gestion des risques cyber. L’activité de celle-ci pouvant être, en cas d’attaque, totalement à l’arrêt.
De nos jours, nous pouvons constater une prolifération des logiciels centrés sur l’Intelligence Artificielle (IA), avec comme exemple l’apparition de la plateforme ChatGPT. Ce type de plateforme permet une augmentation des attaques cyber car, grâce à elles, les hackers peuvent s’introduire plus aisément dans un SI vulnérable.