SOPRA STERIA
Analyste Cybersécurité et Gouvernance | Alternance | Sept 2025 – Avril 2026
Présentation et définition
Chez Sopra Steria, j’ai intégré une équipe de consultants en cybersécurité et gouvernance. Le rôle consistait à analyser les risques informatiques d’un client stratégique et proposer une stratégie de sécurité cohérente et pérenne. Contrairement au support IT classique, il ne s’agissait pas de « corriger des bugs », mais d’identifier les failles critiques, quantifier les menaces, et tracer la route pour les éliminer en tenant compte des contraintes budgétaires et opérationnelles du client.
Objectifs, contexte, enjeux, risques
L’objectif était d’identifier et de documenter tous les risques informatiques importants du client, créer un plan d’action détaillé pour chacun, et piloter l’implémentation des recommandations.
Le contexte : une équipe de consultants en cybersécurité travaillant sur des clients stratégiques (grandes entreprises, infrastructure critique). Les analyses se faisaient via des méthodologies structurées (EBIOS RM, EGERIE) pour assurer de la rigueur et de la traçabilité.
Les enjeux réels : identifier des risques que le client ne voit pas mais qui pourraient paralyser son activité ou causer une perte de données massive. Proposer des solutions réalistes (pas de « refaire toute l’infrastructure demain », mais de proposer des phases pragmatiques). Et surtout, convaincre les décideurs (CTO, CISO, CFO) que la sécurité ce n’est pas un coût, c’est de la prévention.
Les risques : manquer un risque majeur (et que ça coûte très cher au client après), proposer des solutions irréalistes budgétairement (et qu’elles ne soient jamais implémentées), ou être perçu comme un puriste qui ne comprend pas les contraintes opérationnelles du client.
Les étapes
Ma base de travail : EBIOS RM (Expressions of Needs and Identification of Security Objectives – Risk Management), la méthodologie française de référence pour les analyses de risques, couplée à EGERIE, l’outil de pilotage et de suivi et reporting qui centralise tous les risques, les plans d’action et le suivi.
Concrètement, j’ai animé 5 ateliers EBIOS RM auprès de 2 à 3 clients différents pour identifier les risques informatiques de façon systématique. J’ai consigné chaque risque dans EGERIE avec son contexte, son impact (critique/fort/moyen/faible), et son porteur de risque. J’ai créé des plans de préconisations détaillés pour éliminer ou réduire chaque risque identifié. J’ai piloté des points réguliers avec les clients pour valider les choix techniques et négocier les priorités en fonction du budget. Et j’ai participé à la redéfinition du PASG (Plan d’Assurance Sécurité Gouvernance) – le document qui définit les normes de sécurité de toute l’entreprise.
La typologie des risques identifiés : 70% classique (HTTP non chiffré, absence de MFA, configurations faibles), 30% technique complexe. J’ai croisé des configurations faibles (protocoles non chiffrés, absence de MFA), une gestion insuffisante des accès (droits trop larges, absence d’audit), des chaînes d’approvisionnement fragiles (dépendance à des prestataires sans contrats de sécurité), et même de la fraude cyber potentielle liée à des failles d’authentification ou de logs mal configurés.
L’anecdote qui a marqué : Une vulnérabilité de concurrence sur la base de données. Durant une analyse de risque, je travaillais sur une base de données critique utilisée par plusieurs services simultanément. En creusant la documentation technique de la BDD, j’ai découvert une vulnérabilité de concurrence : si deux processus appelaient la même base de données en même temps et faisaient des modifications simultanées, on pouvait soutirer des informations sensibles (exfiltration de données via une situation de compétition), provoquer l’arrêt de la base de données ou seulement certaines valeurs, ou créer des états incohérents des données (corruption).
Le truc intéressant ? La solution existait déjà dans la documentation du fournisseur, mais le client ne la connaissait pas. J’ai recommandé l’implémentation d’un système de versioning des données – essentiellement, chaque modification crée une version de la donnée avec un horodatage et une empreinte (hash), ce qui permet de détecter les modifications simultanées et les rejeter/retry, d’avoir un audit complet (qui a modifié quoi et quand), de revenir en arrière (rollback) en cas d’anomalie.
C’est l’essence du métier de consultant : il ne s’agit pas de réinventer la roue mais avoir l’esprit critique suffisant pour creuser la doc, trouver ce qui existe, et l’adapter au contexte du client.
Les projets du client : Où les risques se matérialisent vraiment. J’avais un client principal pour lequel j’animais les analyses et je pilotais les plans d’action. Ce client avait deux gros projets en cours qui soulevaient des enjeux de sécurité majeurs.
Le premier était une migration de datacenter. Le client quittait son infrastructure physique actuelle pour migrer vers une nouvelle. Les risques étaient évidents : interruption de service non planifiée qui paralyse le service critique, perte de données lors de la migration (corruption, oubli de fichiers), incohérence entre l’ancien et le nouveau (défaut de synchronisation des données), et surtout des attaques qui profiteraient de la fenêtre de migration quand les défenses sont baissées et l’organisation chaotique. J’ai proposé une stratégie de migration par vagues avec points de synchronisation entre ancien et nouveau, des tests de restauration pour valider qu’on ne perd rien, et des équipes de sécurité dédiées pendant la fenêtre sensible.
Le second projet était encore plus sensible : mise en place d’une API externe. Le client voulait exposer une API aux partenaires externes. Ça veut dire authentification robuste (OAuth2, JWT bien signé, pas de secrets en dur), chiffrement en transit (TLS 1.3 minimum, zéro HTTP), gestion des clés API (rotation régulière, audit complet, traçabilité), limitation de trafic (rate limiting) et protection anti-DDoS (l’API devant résister aux montées en charge), et logging exhaustif des appels (qui appelle quoi, quand, d’où).
L’une de mes premières recommandations : chiffrer les échanges entre clients et API avec des algorithmes modernes (AES-256 en plus du TLS), et surtout logger chaque changement de clé API dans un système d’audit immuable (blockchain/ledger distribué ou simplement des logs centralisés non modifiables).
L’enjeu majeur que j’ai amené : Le chiffrement post-quantique. C’est là où j’ai vraiment déployé l’esprit critique. J’ai pris conscience d’un point fondamental : la majorité des algorithmes de chiffrement actuels (RSA, ECDSA, etc.) seront cassés dans 10 à 15 ans si les ordinateurs quantiques arrivent à maturité.
Le client n’en parlait pas. Personne n’en parlait vraiment. Mais avec une infrastructure aussi critique, la continuité de service dans 20 ans, c’est maintenant qu’on la prépare.
J’ai donc amené le sujet de façon proactive : « On chiffre les données avec RSA-2048 aujourd’hui, mais dans un futur proche, ce sera vulnérable face à un ordinateur quantique. Quelle est notre stratégie ? »
Le client (qui est une grosse entreprise) a compris immédiatement l’enjeu. Nous avons donc élaboré une roadmap vers le chiffrement post-quantique : Phase 1 en 2026, audit complet des algorithmes crypto utilisés actuellement. Phase 2 de 2026 à 2027, commencer par les données les plus sensibles (cryptage de secrets, clés maîtres) et migrer vers des algorithmes post-quantiques standardisés par le NIST (Kyber pour l’échange de clés, Dilithium pour la signature). Phase 3 de 2027 à 2028, étendre à toute l’infrastructure critique. Phase 4 à partir de 2028, évaluer l’évolution des standards et adapter.
Il ne s’agit pas d’une promesse à court terme, c’est une stratégie à long terme adaptée à la maturité des technologies et aux contraintes du client.
Les acteurs
Je travaillais en équipe de consultants, chacun gérant ses clients et ses analyses. Le client principal avait plusieurs interlocuteurs : CISO, CTO, CFO, responsables de projets. Les points réguliers me permettaient de communiquer les risques, valider les choix techniques, et négocier les priorités budgétaires. Il fallait vraiment adapter le message selon l’audience : technique pointue pour le CTO, langage business pour le CFO.
Les résultats
Pour moi : j’ai appris que la cybersécurité et gouvernance, ce n’est pas juste de la techno, c’est du leadership. Il faut convaincre des décideurs que la sécurité ce n’est pas un coût, c’est de la prévention. Montrer l’impact en termes business (perte de données = millions d’euros, downtime = réputation en jeu).
Pour le client : j’ai livré une quarantaine de risques identifiés et loggés dans EGERIE avec des plans d’action détaillés pour chacun (technique, budgétaire, organisationnel). La majorité a été appliquée (les clients ont vraiment implémenté mes recommandations). Les plans non appliqués sont marqués en rouge (car budgétairement bloqués), mais au moins le client sait ce qu’il risque.
J’ai mesuré une réduction significative du score de risque global (avant/après mon intervention), une compliance améliorée vis-à-vis des standards (ISO 27001, ISO 27005), et une sensibilisation du client sur des menaces qu’il ne voyait pas (post-quantique, fraude cyber).
Les changements appliqués par le client incluaient l’implémentation du versioning de BDD (correction immédiate), un chiffrement renforcé de l’API (TLS 1.3, logging exhaustif, key rotation), MFA obligatoire sur tous les accès critiques, une politique de segmentation réseau (zones de confiance clairement définies), et un plan de migration sécurisée du datacenter (avec fenêtres de gel, points de validation et plan de retour arrière).
Quant aux risques bloqués pour des raisons budgétaires, ils sont documentés en rouge pour que le client sache : « Si on ne traite pas ça, on s’expose à X et Y. »
Les lendemains
Immédiat : les analyses sont livrées, les plans d’action sont en place, le client commence à implémenter.
À distance : les analyses continuent (l’équipe prend le relais après mon départ), le client applique progressivement les plans d’action, la roadmap post-quantique est validée et elle va être implémentée sur 3 à 4 ans, et les normes du PASG évoluent (elles vont être revisitées chaque année).
Aujourd’hui : les risques sont documentés, les décisions sont tracées, le client sait ce qu’il doit faire. Il est valorisant de constater que j’ai mis en place une structure qui perdure au-delà de mon intervention.
Regard critique
Cybersécurité et Gouvernance : La cybersécurité dépasse la simple technique, c’est du leadership. Il faut convaincre des décideurs (CTO, CISO, CFO) que la sécurité ce n’est pas un coût, c’est de la prévention. Montrer l’impact en termes business (perte de données = millions d’euros, downtime = réputation en jeu).
Face à l’incertitude : EBIOS, c’est une méthodologie, mais chaque client est différent. Il faut adapter : certains veulent du détail technique, d’autres veulent juste les gros risques. Il faut naviguer entre l’exhaustivité et le pragmatisme, entre « il faudrait tout chiffrer » et « on a 50k€ de budget ». Ce n’est pas appliquer une recette, c’est créer une stratégie.
Esprit critique poussé loin : Le post-quantique, c’est l’exemple parfait. Peu de consultants anticipaient ce sujet en 2025-2026. Mais une vraie expertise, c’est de voir les menaces de demain et de préparer le client maintenant. C’est de demander « et dans 10 ans ? » quand tout le monde parle d’aujourd’hui.
Gérer les réunions clients : Animer 10 à 15 points par mois, présenter les risques, défendre les choix techniques face à des objections budgétaires, c’est une compétence. Pas évident de dire « non, on ne peut pas faire que du HTTP interne » sans passer pour un puriste.
Compétences rattachées à cette réalisation
- Cybersécurité et Gouvernance (EBIOS RM, EGERIE, PASG, stratégie long terme)
- Face à l’incertitude (adaptation méthodologique, navigation budgétaire, vision future)
- Esprit critique (versioning de BDD, post-quantique, anticipation des menaces)
- Résolution de problème (identification de vulnérabilités cachées, roadmaps d’implémentation)
