| audit ssi

PAROLE D’EXPERT : Audits, Pentests, Open Source INTelligence…Découvrez David, expert cybersécurité, Tech Lead Auditor

Du monde militaire au monde civil… Il n’y a qu’un pas !
parole-experts-Anonyme

Peux-tu te présenter en quelques lignes ? Peux-tu nous en dire plus sur ton rôle chez Synetis ?

En résumé, je viens du monde militaire !

J’ai intégré le ministère des Armées (de la Défense à l’époque) en décembre 1996 – lors de mon service national. En décembre 1997, je me suis engagé en tant que militaire du rang.
À cette époque, j’installais des réseaux de télécommunication à base de faisceau hertzien ou bien satellitaire (Système Syracuse, Spartacus ou Inmarsat) aussi bien en exercice en métropole que sur les théâtres d’opérations à l’étranger. J’ai basculé en l’an 2000 dans la desserte d’abonnés téléphonique.

Deux ans plus tard, j’ai rejoint le corps des sous-officiers d’active (cadres de l’armée française). Après cela, j’ai demandé à passer le Brevet de Spécialiste de l’Armée de Terre « Techniques de Supervision, Télécommunications et Réseau » à l’École Supérieure et d’Applications des Transmissions à Cesson-Sévigné.

Après avoir travaillé pendant 10 ans dans l’administration des « Systèmes, Télécoms et Réseaux », je me suis orienté vers la « Sécurité des Systèmes d’Information et de Communication » lorsque j’ai obtenu mon Brevet Supérieur Technique de l’Armée de Terre. Aujourd’hui, on l’appelle le BSTAT Cyber !

À l’été 2010, affecté au sein du ministère des Armées à Paris, j’ai effectué de nombreux audits sur des Systèmes d’Information très hétérogènes. Pendant cette période, j’ai enchaîné toute une série de formations très qualifiantes auprès de l’ANSSI. J’ai également pu être certifié « Certified Ethical Hacker » en 2012, et suivre les formations « SANS FORENSICS 408 : Computer Forensic Investigations » en 2015 et « Certified Security Analyst » en 2016.

Après quatre ans d’audit technique SSI, j’ai basculé dans la partie homologation des systèmes industriels. Pendant deux ans, j’ai effectué des missions d’audit qui avaient pour finalité, l’homologation des Systèmes d’Information des industriels de la défense.
À l’été 2019, j’ai intégré une unité opérationnelle au sein du COMCYBER, le commandement de la Cyberdéfense, en tant qu’analyste cyberdéfense supérieur à Saint-Jacques-de-la-Lande.

Après avoir servi mon pays pendant près de vingt-six ans, je me suis dit qu’il était temps pour moi d’enclencher une seconde partie de carrière – dans le civil cette fois-ci.
J’ai alors, en premier lieu, assisté à la présentation des différents dispositifs proposés par Défense Mobilité – au quartier Foch à Rennes. À la suite de quoi, je suis allé discuter avec la personne en charge du dispositif de la période d’adaptation en entreprise (PAE). Je suis sorti de cet entretien, persuadé que cette aide était bénéfique aussi bien pour l’employeur que pour l’intéressé. En effet, ce temps d’adaptation permet à l’employeur de jauger les capacités du candidat, de le mettre en situation et permet également au candidat, venant du secteur militaire, de pouvoir s’immerger dans ce nouvel environnement avec une meilleure assurance.

Aujourd’hui, je suis « Tech lead auditor » chez Synetis et j’apporte mon expérience en matière de cybersécurité à la « practice Audit ». Mon rôle est de superviser les équipes d’audit axé sur les questions techniques, de coordonner le travail de chaque auditeur sur les projets en cours – mais pas seulement. Je dois être aussi en lien avec les équipes marketing et commerciales. En effet, sur certains projets, les auditeurs ont besoin de travailler avec tous les corps de métier pour mettre en place les remédiations des clients ou aider sur une réponse à incident. Bien sûr, je réalise par ailleurs des audits avec mes collaborateurs.

Peux-tu nous décrire tes audits et homologations de système industriel ? Sont-ils plus critiques que d’autres SI ? Si oui, pourquoi ?

La démarche d’homologation des Systèmes d’Information au profit des entreprises de défense consistait en l’homologation des Systèmes d’Information (SI) classifiés ; ceci correspondant à une exigence réglementaire. Ces audits s’achevaient par une série de contrôles adaptés et étaient sanctionnés par la délivrance d’un avis technique d’aptitude informatique. Ce dernier dressait le bilan des capacités du SI à stocker et à traiter des informations et supports classifiés. Donc oui, par leur nature, ceux-ci revêtaient une grande importance – pour la défense nationale notamment.

Pourquoi avoir choisi cette carrière ? Quel est ton quotidien en tant que consultant chez Synetis ?

Je n’ai pas vraiment choisi la cybersécurité, car c’est un sujet qui m’a toujours passionné. Je fais partie d’une génération qui a grandi aux côtés des ordinateurs et je m’y suis intéressé dès mon plus jeune âge avec mon TO7/70.

Mon quotidien chez Synetis est très changeant, c’est pour cela que je me suis tourné vers cette entreprise à taille humaine et conviviale. Je recherchais une société qui pouvait me proposer des missions variées et pour le coup, j’ai été servi. J’ai pu au sein de l’entreprise mener de nombreuses missions de tests d’intrusion aussi bien interne, qu’externe dans le cadre du projet « France Relance » – mais pas seulement.

Besoin de conseils pour sécuriser votre entreprise ?

Comment accompagnes-tu tes clients dans l’amélioration de la sécurisation de leur SI ?

Aujourd’hui, n’importe quelle société est dépendante de son SI, et c’est encore plus vrai depuis la démocratisation du télétravail. Le SI stocke et traite de grandes quantités de données (données RGPD, fiches de paie, factures, etc.) et lorsque celles-ci se retrouvent chiffrées par un rançongiciel ou bien finissent dans la nature, ce sont des situations très difficiles pour l’entreprise. Finalement, c’est la réputation de l’entreprise qui est entachée !

Quelles que soient la taille et le type d’entreprise de nos clients, un audit offre des informations cruciales sur les vulnérabilités du système informatique ; ainsi que les risques de sécurité potentiels et les différentes solutions envisageables pour y remédier.

Les différents audits que nous réalisons chez nos clients leur permettent de se confronter à la réalité des faits concernant certaines faiblesses de leur SI, et de leur éviter des déconvenues. Les entreprises et organisations viennent chercher chez Synetis tout l’accompagnement dont ils ont besoin au sein de nos différentes « Practices ».

Quels conseils pourrais-tu donner aux personnes qui comme toi souhaitent passer du monde militaire au monde civil ?

Je leur conseille de ne pas hésiter à franchir le pas le moment venu ! La marche n’est pas si haute. Bien sûr, il faut un temps d’adaptation, mais rien n’est impossible.

En parlant d’adaptation, l’antenne « Défense Mobilité » propose différentes solutions pour franchir le pas vers le monde civil. En particulier, la période d’adaptation en entreprise (PAE). L’objectif de la PAE est de faciliter l’obtention d’un contrat de travail. Par le biais d’une convention, le candidat à la reconversion, bien que travaillant dans l’entreprise, est placé en congé de reconversion d’une durée maximale de six mois, et est donc rémunéré par le ministère des Armées. En contrepartie, le chef d’entreprise doit se prononcer sur sa décision d’embauche sous trois mois. Ce dispositif permet ainsi à une entreprise de retenir une candidature, même si le poste n’est libéré que plusieurs mois après.

  • Post published:5 octobre 2022
  • Auteur/autrice de la publication :