Chargé de préserver la confidentialité et l'intégrité des données d'une entreprise, le consultant en cybersécurité a pour mission de réduire au maximum les risques de vulnérabilité des systèmes d'information d'une société. Si tu te sens une âme de justicier, découvre vite le quotidien de ces super-héros de l'ombre, qui combattent sans cesse les cybermenaces.
au sommaire
Qu'il soit consultant en cybersécuritéconsultant en cybersécurité en cabinet de conseil ou ingénieur sécurité informatique au sein d'une entreprise, ce professionnel de la protection des données est de plus en plus recherché par les entreprises. À l'ère de la digitalisation et du tout connecté, tous les secteurs d'activité sont désormais sous la menace d'une cyberattaquecyberattaque.
Rencontre avec Baptistin Buchet, responsable des activités cybersécurité chez Wavestone aux Etats-Unis (cabinet de conseil en transformation des entreprises) et diplômé de l'EPITA.
Au quotidien, en quoi consiste votre travail pour éviter les cyberattaques ?
Aux États-Unis, nous traitons tout un tas de sujets au quotidien, allant de sujets très techniques comme du pentesting (tests d'intrusion) ou du redteaming (simulation d'attaques fictives), mais aussi de la réponse à incident (intervention sur des cas d'attaques réels). Notre objectif ici est de jouer le rôle de hackers, appelés souvent « ethical hackers », c'est-à-dire des hackers légaux dont le rôle est de jouer aux méchants pour tenter de découvrir un certain nombre de vulnérabilités. Outre cet aspect technique, mon quotidien s'articule également autour de missions qui le sont beaucoup moins. Cela concerne plutôt le management de la sécurité dans les entreprises, comme venir en aide aux responsables sécurité pour définir leur plan d'action, définir les risques qu'ils souhaitent couvrir, les aider à déployer ces plans d'action, etc. Entre ces deux principales activités, nous apportons par ailleurs toute notre expertise sur des sujets très particuliers comme la protection de la donnée, le monitoring temps réel des actions, la gestion des comportements anormaux, les moyens de détection...
Quelles sont les qualités nécessaires pour être consultant en cybersécurité ?
Pour moi, les principales qualités à avoir sont les suivantes :
- avoir une très bonne communication écrite et orale ;
- aimer le travail multi-tâches et non routinier ;
- aimer résoudre des problèmes ;
- savoir travailler en équipe ;
- avoir une véritable appétence pour les technologies de l'information ;
- être extrêmement curieux.
Quels sont les principes de base d’un dispositif de cybersécurité efficace ? Comment se prémunir d’une telle menace ?
Le NISTNIST, organisme connu dans le monde de la standardisation, préconise cinq fonctions sécurité à couvrir pour se protéger efficacement : « Identify, Protect, Detect, Respond and Recover ».
- Identify : c'est savoir identifier son écosystèmeécosystème, que l'on souhaite à la fois protéger mais aussi que l'on souhaite identifier en matièrematière de menace à couvrir. L'écosystème d'une organisation que l'on souhaite protéger est composé des équipements et des systèmes mais aussi ce qu'on appelle les assets (qui peuvent être des équipements, des processus, des personnes).
- Protect : c'est mettre en place des mesures de protection pour éviter que des attaques arrivent.
- Detect : cela concerne toutes les mesures mises en place pour détecter une attaque. Malheureusement les moyens de protection ne sont jamais éternellement suffisants, il faut toujours être capable de détecter plus. C'est un peu comme avec une porteporte d'entrée où l'on va se protéger avec une serrure mais au cas où il y aurait une intrusion et on va ajouter une caméra derrière la porte pour voir si quelqu'un est entré ou non dans la pièce.
- Respond : c'est être en mesure, en cas d'incident, de pouvoir réagir efficacement.
- Recover : c'est in fine, si l'on a été impacté par un incident, la capacité de se relever et de reconstruire son système de sécurité.
Si un responsable sécurité s'assure de couvrir ces cinq fonctions en atteignant un niveau de maturité convenable, il sera alors en bonne posture avec son plan d'action sécurité.
Y a-t-il des secteurs d’activité plus touchés que d’autres ? Cela concerne-t-il uniquement les grandes entreprises ?
Pour répondre à la première question, historiquement oui. Le grand secteur, qui a été le plus touché pendant des années, a été le secteur de la banque et de l'assurance. Pourquoi ? Tout simplement car attaquer une banque, c'est un profit direct en matière d'argentargent avec forcément un retour sur investissement important. Alors que pour d'autres secteurs il va falloir récolter des données, des secrets industriels, puis les revendre pour transformer cela en argent, sachant que la cible finale reste toujours l'argent. Donc, le secteur de la banque et de l'assurance est le secteur le plus ciblé depuis des années. Mais de ce fait, c'est aussi devenu le secteur le plus mature aujourd'hui en cyberprotection et investissement en cybersécurité.
Depuis quelques années, on voit de nouveaux secteurs, notamment le secteur industriel, qui est de plus en plus ciblé. On a d'ailleurs amené un nouveau sujet en matière de cybersécurité, la « sécurité des systèmes industriels » (ou encore « ICS Security » ou « OT Security »), qui est une manière de faire de la sécurité quelque peu différente puisque, si on simplifie le sujet, on est plus sur de la sécurité des ordinateursordinateurs, des serveursserveurs, etc. Mais sur de la sécurité des machines, des robotsrobots, des automatesautomates..., cela fait appel à d'autres types d'expertises. Ce secteur est très ciblé, car il peut avoir des impacts humains considérables. Il ne s'agit plus d'argent ou de données (non tangibles) mais bien de vies humaines qui sont en jeu. Cela fait maintenant 4-5 ans que le secteur industriel est de plus en plus visé, notamment les objets connectés qui font également partie de cet ensemble-là. Cela nous amène d'ailleurs de nouveaux clients qui, en matière d'investissement, vont arriver au même niveau que les banques dans quelques années.
Autre secteur impacté depuis quelques années, celui de la santé, du fait notamment de la numérisationnumérisation des données, que ce soit des données personnelles mais aussi des données de santé d'un patient. Ces données peuvent avoir une très forte valeur et être revendues sur le marché noir de la cybersécurité, qu'on appelle Darknet, et rapporter beaucoup. Par conséquent, ce secteur est de plus en plus pris pour cible. Les hôpitaux et les grands acteurs de l'industrie de la santé ont bien compris la menace et investissent eux aussi de plus en plus en cybersécurité.
Avez-vous constaté une évolution dans les méthodes de cyberattaque ?
Des évolutions, il y en a sans cesse. C'est un secteur où notamment côté attaquant, cela n'arrête pas d'évoluer. Il ne se passe pas un mois sans qu'il apparaisse de nouvelles techniques d'attaques, de nouveaux malwaresmalwares, etc. Cela ne s'arrête jamais, cela évolue tout le temps et c'est une course sans fin où les attaquants ont toujours un pas d'avance qu'on essaie de rattraper. C'est toujours très fin, on oscille entre des attaques très sophistiquées et des attaques extrêmement simples. Mais dans les deux cas, ils arrivent à exploiter les faiblesses des entreprises, soit parce que celles-ci ont déployé des moyens de protection très aboutis mais en ont oublié les bases de la cybersécurité, soit parce qu'au contraire elles se sont uniquement concentrées sur les bases mais sont du coup victimes d'attaques plus sophistiquées. L'enjeu est de réussir à traiter les deux en même temps et de mettre le curseur au bon milieu, ce qui est loin d'être facile au quotidien.
Google, Facebook, Tesla ou encore l’État français pour l’application Stopcovid, les décideurs font de plus en plus appel à la communauté de white hat hackers via des plateformes de bug bounty pour déceler des failles de sécurité et corriger des bugs. Les « gentils hackers » seraient-ils les seuls capables à lutter contre la cybercriminalité ?
Effectivement, lancée par les GAFA, la notion de « BugBug bounty » a fait un boom, et c'est un mouvementmouvement très intelligent de la part des grandes entreprises de se dire que l'on va donner de la valeur à cette notion de recherche de vulnérabilités et de payer les meilleurs techniciens de la planète pour essayer de nous hacker. Et s'ils y arrivent, de le faire savoir en contrepartie d'une récompense monétisée. Plus la vulnérabilité à trouver est compliquée et plus la récompense est élevée. Cette approche est vraiment gagnant-gagnant car si la vulnérabilité était trouvée par des hackers mal intentionnés, cela coûterait beaucoup plus cher aux entreprises que le montant de la récompense accordée aux hackers éthiqueshackers éthiques, même si celle-ci peut parfois atteindre des millions de dollars. Cette forme de collaboration reste malgré tout un bon investissement pour les entreprises. Maintenant est-ce que ce sont les seuls à pouvoir lutter, la réponse est non. C'est une des techniques qui fonctionne, mais il y a une multitude d'autres activités à lancer qui ne passeront pas par des activités de type « bug bounty » : par exemple de la prestation de consulting, de la formation interne, du recrutement, de la présence d'ingénieurs sécurité, etc. C'est important de le faire notamment quand on a une marque exposée comme GoogleGoogle ou FacebookFacebook et des services très exposés, mais ce n'est malheureusement pas suffisant.
Quelles sont les différentes motivations d’une cyberattaque ?
La réponse courte, c'est l'argent. Il y a systématiquement, que ce soit directement ou indirectement, de l'argent à se faire quand on attaque une entreprise. Comme je le disais précédemment, le secteur de la banque a été le premier ciblé pendant des années parce que l'argent est direct. Faire une attaque qui se termine par une fraude, c'est récupérer directement de l'argent sur un compte quelque part dans le monde, mais il y a aussi des moyens plus indirects de le faire. C'est le cas notamment avec le ransomwareransomware, qui consiste à bloquer les données sensibles et indispensables pour une entreprise en les chiffrant et en demandant une rançon à l'entreprise si celle-ci veut pouvoir récupérer ses données. Cet argent est d'ailleurs souvent transféré sur un compte bitcoinbitcoin car il est plus difficile de savoir d'où vient l'argent et où va l'argent. Il existe d'autres motivations que l'argent, bien que celles-ci soient plus rares mais qui pourtant arrivent. C'est le cas de la motivation idéologique. Je pense notamment à Anonymous, qui pendant des années pour des raisons politiques et pour l'idéologie de manière générale, lançait des cyberattaques pour faire passer des messages. Ce sont souvent des attaques destructrices, ou qui vont impacter l'image d'un site InternetInternet ou autre pour faire passer un message. C'est donc purement idéologique, il n'y a aucun gain d'argent derrière. Mais cela peut aller beaucoup plus loin avec les guerres étatiques. Je pense notamment à Sony Pictures, qui a priori a été piraté par la Corée du Nord obligeant la société américaine à annuler la sortie mondiale du film « The interview » parodiant le leader nord-coréen Kim Jong-Un. Le pays n'en a tiré aucun gain d'argent mais a lancé un fort message politique, notamment aux États-Unis.
À l’heure du tout numérique et du tout connecté, les enjeux en matière de cybersécurité et de cyberattaques doivent être considérables ?
En effet, et ce n'est pas le fait de la cybersécurité mais bien de la digitalisation de notre société. Aujourd'hui, il y a très peu de business qui ne tirent pas profit et qui ne sont pas drastiquement reliés au monde de l'IT (information technology), à l'informatique et à la digitalisation. Tous les secteurs se sont mis à tirer profit de ces technologies et des nouvelles technologies pour améliorer la performance, l'expérience utilisateur et créer de nouveaux services. Et dès que l'on rend son activité dépendante de la technologie et de l'informatique, c'est toute l'entreprise qui prend un risque en matière de cybersécurité et non plus qu'une seule partie comme cela pouvait être le cas avant. Aujourd'hui toute l'activité repose sur l'informatique pour fonctionner donc si cette informatique est attaquée ou impactée, c'est l'activité entière de l'entreprise qui prend un coup.
Toutes les entreprises n'ont pas de direction ou de conseil d'administration qui considèrent la menace cybersécurité comme une menace importante pour leur business, mais il s'agit là d'une question de maturité et d'éducation. Et d'ailleurs en tant que consultant cybersécurité, on passe beaucoup de temps non pas sur des sujets technologiques mais sur l'éducation des hauts décideurs des grandes et moyennes entreprises pour qu'ils comprennent pourquoi la menace cybersécurité doit être considérée au niveau de l'activité globale et non uniquement par le responsable informatique tout seul dans son coin. C'est un travail de longue haleine dans notre métier de consultant en cybersécurité, qui nous prend une bonne partie de nos journées avec certaines personnes qui comprennent cet enjeu plus facilement que d'autres.
De nombreuses affaires de piratage nous montrent que les pirates ne s’arrêtent pas aux frontières. Existe-t-il une coopération internationale en matière de lutte contre la cybercriminalité ?
Oui. Je pense que la communauté internationale a bien compris qu'on ne peut pas s'en sortir seul. Tous les pays et toutes les entreprises sont concernés et si l'on veut lutter contre ça, il va falloir se souder. Pour autant, on en est qu'au début car la cybersécurité reste un domaine assez jeune et on a mis plusieurs années à comprendre qu'il fallait se souder et se mettre en équipe pour pouvoir lutter contre cette menace. Je pense que les bons exemples se situent notamment au niveau de la régulation. Les régulateurs ont en effet sorti des régulations autour de la cybersécurité de plus en plus à l'échelle internationale. Celle qui me vient tout suite à l'esprit concerne la réglementation de la vie privée, qui tourne beaucoup autour de la protection de la donnée et donc forcément de la protection face à des attaques cybersécurité qui pourraient générer des vols de données à caractère personnel, etc.
On voit également les équipes de réponses à incident, qui sont un peu les « pompiers de la cybersécurité », qu'on appelle des CERTCERT (Computer emergency response team) discuter et échanger énormément d'informations entre eux, qu'ils viennent d'Europe, des États-Unis ou encore d'Asie. Le but est d'échanger les informations dont ils disposent pour pouvoir être de plus en plus forts et toujours plus au fait de ce qui se passe, afin de pouvoir aider les entreprises qui se font attaquer de manière plus efficace. On appelle ça le renseignement de la menace ou encore « Threat IntelligenceIntelligence ». De nombreux organismes connus et ayant une certaine renommée lancent par ailleurs de nombreuses initiatives comme l'ISA qui a lancé le Global Cyber Security Alliance. Autre exemple, la directive NIS qui, au niveau européen, rassemble tous les pays sur ces sujets de cybersécurité, etc.
On est qu'au début de cette coopération, il y a de bonnes initiatives et de bonnes intentions mais on ne sait pas encore s'il y a vraiment une bonne coalition efficace en matière de retombées, c'est encore trop tôt pour le dire mais l'intention et les efforts sont là, et ça risque de payer dans les cinq à dix prochaines années si l'on continue dans cette direction.
Comment répondent les pays d’un point de vue légal et réglementaire ?
Sur le légal, lorsqu'il y a une attaque, on récupère un certain nombre de preuves après investigation. Cette preuve digitale devient de plus en plus officialisée et reconnue. On voit notamment beaucoup de cabinets d'avocatsavocats spécialisés dans le milieu de la cybersécurité avec des techniques d'investigations très ciblées pour pouvoir, au niveau de la loi, reconnaître qu'une attaque a eu tel ou tel impact. En fait, la loi et les représentants de la loi s'adaptent. On peut également porter plainte auprès de la police suite à une attaque. La plupart du temps, évidemment, c'est contre X puisqu'il est très difficile de pouvoir identifier qui est derrière, sauf s'il y a de grosses erreurs de faites. Mais l'anonymisation de la cybersécurité est assez facile.
On a parlé précédemment des réglementations et des régulateurs historiques, notamment les régulateurs financiers, qui se sont mis à sortir des régulations spécifiques à la cybersécurité, ou de la directive NIS pour les opérateurs d'importance vitale (OIV). Aux États-Unis, des régulateurs financiers comme la Fed ou la FINRA ont chacune produit leur régulation liée à la cybersécurité. Et qui dit régulation dit obligation d'être en compliance (c'est-à-dire en conformité), et si ce n'est pas le cas, alors des amendes peuvent être exigées. La loi suit très bien le sujet et construit toutes ces règles et régulations pour obliger à terme toutes les grandes, voire les moyennes entreprises à investir dans la sécurité.
Quel parcours un étudiant doit-il suivre pour pouvoir prétendre à un poste de consultant en cybersécurité ?
La cybersécurité, qu'on le veuille ou non, nécessite de connaître la technique, l'informatique, les systèmes d'information. Même si l'on travaille sur des sujets qui ne sont pas techniques mais qui vont plutôt être de l'ordre de la stratégie ou de l'organisation, c'est mon cas aujourd'hui, c'est une nécessité car ces sujets sont en effet très vite abordés dans la réalité. Cela aidera toujours de commencer par de la technique puis de monter et prendre de la hauteur sur des sujets plutôt que l'inverse. Je conseille donc aux étudiants de partir sur une école d'ingénieur, notamment une école d'ingénieur informatique, idéalement avec une spécialisation en sécurité et cybersécurité pour avoir un premier niveau de théorie sur le sujet avant de rentrer dans le monde du travail. L'école d'ingénieur du numériquenumérique EPITA, et sa majeure SRSSRS (Système, Réseau et Sécurité) que j'ai suivie en est le parfait exemple. Si la spécialisation sécurité n'est pas couverte, dans un autre programme de formation, cela peut s'apprendre sur le tas mais la première option est préférable. Je recommande également de commencer sa carrière avec des sujets assez techniques pour valider les acquis et accumuler de l'expérience. Une fois qu'on a développé une expérience technique solidesolide, c'est alors le moment de prendre du recul et de partir sur des sujets plus stratégiques et organisationnels. Il s'agit pour moi du parcours idéal, mais je connais des personnes sortant d'écoles de commerce et finir sur des applicationsapplications cybersécurité dans le monde du conseil et réussir également un très beau parcours. Les écoles de commerce apportent en effet des moyens de réflexion sur la définition de sujets stratégiques, sur les business models, sur comment conduire un projet par son retour sur investissement, qui seront forcément très utiles dans le milieu de la cybersécurité. Mais, à mon sens, ils manquent d'expertise et font face à des problèmes où parfois ils ne comprennent pas tout et ont besoin de supports d'experts.
À quel salaire peut prétendre un consultant en cybersécurité junior puis en tant que senior ?
En tant que junior, un consultant en cybersécurité peut prétendre à un salaire compris entre 3.000 et 3.500 euros brut par mois. Au bout de quelques années d'expérience, sa rémunération peut atteindre facilement les 4.500 à 5.800 euros brut mensuel, selon s'il exerce en cabinet de conseil ou chez un client final. Après plus de dix ou quinze ans d'expérience, beaucoup de consultants terminent responsable de la sécurité des systèmes d'information (RSSI) et peuvent toucher des salaires autour des 8.000 euros brut par mois, là aussi, en fonction bien évidemment de l'entreprise dans laquelle ils évoluent. Dans tous les cas, le secteur de la cybersécurité est très déséquilibré en matière d'offre et de demande. Il y a énormément de demande et malheureusement très peu d'offres, même si de plus en plus d'écoles proposent des formations. C'est donc un secteur qui paye bien, où les entreprises sont prêtes à offrir beaucoup d'argent pour récupérer de bons profils en cybersécurité. C'est un secteur intéressant, et qui permet de mener une très belle carrière dans sa vie professionnelle.
Mon métier expliqué à ma mère
Par Baptistin Buchet, responsable des activités cybersécurité chez Wavestone aux Etats-Unis :
Mon rôle, c'est d'osciller entre la police et les pompiers. Au même titre que la police va aider à se protéger d’une menace criminelle et les pompiers vont intervenir après la réalisation d’un crime ou autre pour aider, j’essaie à la fois de faire respecter la loi et de protéger les gens, mais aussi de venir aider en cas d'incident. Les menaces auxquelles je dois faire face sont non visibles, ce sont des menaces cyber, digitales, informatiques mais le résultat est le même. Je dois faire respecter des règles pour réduire au maximum le risque de menace, et si ces règles ne sont pas respectées, on risque l’accident. Contrairement à ce que beaucoup de gens pensent, je ne fais pas qu’installer des antivirus sur des ordinateurs !