CYBERSÉCURITÉ & GOUVERNANCE
Évaluer et prioriser les risques. Concevoir des stratégies de sécurité alignées aux enjeux business long terme.
Définition et contexte
La cybersécurité & gouvernance, ce n’est pas juste « mettre un firewall et un antivirus ». C’est concevoir une stratégie de sécurité cohérente qui répond aux vrais risques de l’entreprise. C’est identifier les menaces, mesurer leur impact, et proposer des solutions durables.
La gouvernance, c’est la partie « comment on organise ça ». Comment on structure les décisions ? Comment on documente les normes ? Comment on s’assure que tout le monde suit les règles sans que ce soit paralysant ?
En entreprise, c’est devenu critique. Les failles de sécurité coûtent des millions (perte de données, downtime, réputation). Les régulations (GDPR, ISO 27001, NIS2) forcent les boîtes à avoir une vraie stratégie, pas juste des rustines.
Chez Sopra Steria, j’ai vu que ce n’est pas du technique pur : c’est du leadership, de la communication, de la stratégie. Un CISO qui crie « vous êtes en danger ! » stresse tout le monde. Un CISO qui dit « voici les risques, voici le plan pour les réduire » rassure et mobilise.
Éléments de preuve : Trois anecdotes
L’analyse de risque BDD (Sopra Steria)
Chez Sopra, j’analysais les risques d’un client critiques. On travaillait sur une base de données qui tournait 24/7, utilisée par plusieurs services simultanément.
Au lieu de juste cocher « BDD mal configurée » et passer au suivant, j’ai creusé la doc technique. Pourquoi ? Parce que une vraie vulnérabilité cache souvent une solution dans la doc du vendeur.
Et j’ai trouvé : une vulnérabilité de concurrence (si deux processus modifient la même donnée simultanément, ça crée des états incohérents). Pas juste du théorique : dans leur architecture réelle, ça pouvait arriver.
La solution ? Versioning des données (chaque modification = une version avec timestamp + hash). C’était dans la doc, mais personne ne la connaissait.
Résultat : Au lieu de juste signaler un risque, j’ai proposé une solution technique concrète que le client a implémentée immédiatement. Plus besoin de paniquer sur cette vulnérabilité. [Lire la réalisation complète : Sopra Steria]
La roadmap post-quantique (Sopra Steria)
Même client, même projet d’analyse de risque. On identifiait les risques présents : HTTP non chiffré, MFA manquante, etc.
Mais j’ai posé une question que personne ne posait : « Et dans 10 à 15 ans, quand les quantum computers arrivent à maturité ? »
Leur chiffrement actuel (RSA-2048) ? Ça sera du papier mâché pour une machine quantique.
Au lieu de juste noter « risque futur, peut attendre », j’ai construit une stratégie complète :
- Phase 1 (2026) : Audit des algos crypto actuels
- Phase 2 (2026-2027) : Migration des données les plus sensibles vers post-quantum (Kyber, Dilithium)
- Phase 3 (2027-2028) : Étendre à toute l’infra critique
- Phase 4 (2028+) : Évaluer l’évolution des standards
Le client a validé. Pas parce que c’était flashy, mais parce que c’était une vraie stratégie long terme.
Résultat : Le client sait où il va en matière de sécurité. Il a une roadmap, pas juste une checklist. [Lire la réalisation complète : Sopra Steria]
Les ateliers EBIOS RM (Sopra Steria)
J’animais des ateliers EBIOS RM avec des clients stressés. Pourquoi ? Parce qu’on les forçait à reconnaître qu’ils avaient des failles.
Le défi : rester honnête sur les risques sans les angoisser. Si tu cries « danger ! », ils paniquent et abandonnent. Si tu minimises, tu perds leur confiance.
J’ai appris à structurer le message : « Voici les risques mesurés, voici comment on les catégories (critique/fort/moyen/faible), voici un plan réaliste pour les réduire. »
Les clients se calmaient. Pourquoi ? Parce qu’on ne proposait pas juste du doom, on proposait une route vers l’amélioration.
Résultat : Les clients implémentaient les recommandations, même les coûteuses. Parce qu’ils comprennent pourquoi et comment. [Lire la réalisation complète : Sopra Steria]
Mon autocritique : Où j’en suis vraiment
Je me considère à un niveau confirmé sur cette compétence. J’ai acquis les bases de l’analyse de risque (EBIOS RM), du pilotage de clients, de la communication technique vers des décideurs.
Ma marge de progression : Je suis bon pour identifier les risques et proposer des solutions. Je suis moins bon pour naviguer les politiques internes (pourquoi le CISO refuse une recommandation même si c’est nécessaire ?). C’est de la soft skill, faut que je l’apprenne.
Contextualisation : La cybersécurité ne fonctionne pas pareil en toute situation. Chez une startup, tu peux proposer du radical (tout repenser). Chez une banque, tu dois respecter des régulations qui paralyse. Faut adapter.
Vitesse d’acquisition : J’ai appris ça progressivement en alternance. Chaque client était une leçon. J’ai aussi complété avec des certifications (ISO 27001, 27005 en cours).
Mon conseil : Avec ce que je sais maintenant, je dirais : la sécurité sans stratégie business, c’est juste du coût. Apprends à parler le langage du client (revenue, risk, compliance) pas juste le langage technique.
Mon évolution : Où je veux aller
À moyen terme, je veux monter en niveau de responsabilité. Passer de « analyste qui identifie les risques » à « architecte qui dessine la stratégie de sécurité ». Je vise des certifications plus avancées et des missions d’audit sur des boîtes plus grandes.
Formations en cours : ISO 27001, ISO 27005 en train de finir. Après, je regarderai du CEH (Certified Ethical Hacker) ou du OSCP (Offensive Security) pour compléter la vue attaquant.
Réalisations rattachées :
- Sopra Steria (EBIOS RM, post-quantique, BDD)