CYBERSÉCURITÉ & GOUVERNANCE

Évaluer et prioriser les risques. Concevoir des stratégies de sécurité alignées aux enjeux métier à long terme.

Ma définition

La cybersécurité et la gouvernance ne se résument pas au déploiement d’un pare-feu ou d’un antivirus. Il s’agit de concevoir une stratégie de sécurité globale, cohérente et proportionnée aux véritables risques de l’entreprise. Cela implique d’identifier les menaces, de mesurer leur impact et de proposer des solutions durables.

La gouvernance représente la structuration de cette démarche : l’organisation de la prise de décision, la documentation des normes et le déploiement des processus pour s’assurer de l’adhésion de tous, sans paralyser l’activité.

Dans le contexte actuel, cette compétence est devenue critique. Les failles de sécurité engendrent des coûts considérables (fuites de données, interruptions de service, atteintes à l’image de marque). De plus, les exigences réglementaires (RGPD, ISO 27001, directive NIS2) imposent aux organisations de définir une véritable stratégie de protection, loin du simple saupoudrage technique. Mon expérience chez Sopra Steria m’a prouvé que la cybersécurité est avant tout une question de leadership, de communication et de stratégie. Un RSSI (CISO) au discours purement alarmiste génère un stress contre-productif. À l’inverse, un RSSI capable d’exposer clairement les risques et de structurer un plan de remédiation rassure et mobilise les équipes.

Éléments de preuve : Trois anecdotes

L’analyse de risques d’une base de données (Sopra Steria)

Dans le cadre de l’analyse des risques d’un client stratégique, nous avons audité une base de données critique, hautement sollicitée (24/7) et requise par de multiples services. Au lieu de me contenter d’un constat de type « mauvaise configuration » dans le rapport, j’ai approfondi l’analyse en consultant la documentation technique du fournisseur. En effet, une véritable vulnérabilité trouve souvent sa remédiation dans la documentation officielle.

J’ai ainsi identifié une vulnérabilité de concurrence de traitement (race condition) : en cas de modifications simultanées d’une même donnée par deux processus distincts, la base pouvait générer des états incohérents. Il ne s’agissait pas d’une menace théorique, l’architecture du client rendait ce scénario hautement probable. La solution ? La mise en place d’un système de versionnage interne des données (chaque modification générant une nouvelle version avec un horodatage et une empreinte cryptographique). La solution était documentée par le fournisseur, mais le client l’ignorait.

Résultat : Au lieu d’identifier une simple faille, nous avons préconisé une solution technique immédiate que le client a implémentée, neutralisant définitivement le risque.

Ma valeur ajoutée : L’investigation au-delà du simple symptôme pour apporter une solution technique concrète et opérationnelle. [Lire la réalisation complète : Sopra Steria]

La roadmap post-quantique (Sopra Steria)

Toujours pour ce client stratégique, nous devions évaluer les risques actuels (communications non chiffrées, absence d’authentification multifacteur).

Cependant, j’ai soulevé une problématique que personne n’abordait : « Face à l’émergence de l’informatique quantique d’ici 10 à 15 ans, quelle est la viabilité de votre chiffrement actuel (RSA-2048) ? »

Plutôt que d’inscrire ce point comme un simple « risque futur à surveiller », nous avons élaboré une stratégie de transition complète. :

  • Phase 1 (2026) : Audit des algos crypto actuels
  • Phase 2 (2026-2027) : Migration des données les plus sensibles vers post-quantum (Kyber, Dilithium)
  • Phase 3 (2027-2028) : Étendre à toute l’infra critique
  • Phase 4 (2028+) : Évaluer l’évolution des standards

Résultat : Le client a validé cette approche non par simple attrait pour la nouveauté technologique, mais parce qu’elle constituait une vision stratégique à long terme. Il dispose désormais d’une feuille de route structurée et non d’une simple liste de correctifs.

Ma valeur ajoutée : La capacité d’anticipation des menaces futures plutôt que le traitement exclusif des vulnérabilités immédiates. [Lire la réalisation complète : Sopra Steria]

L’animation d’ateliers EBIOS RM (Sopra Steria)

J’animais des ateliers d’analyse EBIOS RM face à des clients souvent réfractaires à l’idée d’exposer les vulnérabilités de leur propre système. Le défi consistait à formuler un constat lucide sans générer de panique. Un discours alarmiste provoque le rejet, tandis qu’une minimisation des enjeux altère la crédibilité de l’audit.

J’ai appris à formuler un discours méthodique : « Voici les risques évalués, voici notre catégorisation (critique/fort/moyen/faible), et voici un plan de remédiation réaliste. » En structurant ainsi l’analyse, l’anxiété du client se dissipe, car au lieu d’un simple constat d’échec, nous proposions une voie d’amélioration claire.

Résultat : Les clients ont appliqué l’intégralité de nos préconisations, y compris celles impliquant des investissements lourds, car ils comprenaient les tenants et les aboutissants de la démarche.

Ma valeur ajoutée : Avoir transformé un sentiment d’anxiété en une dynamique de mobilisation et de confiance. [Lire la réalisation complète : Sopra Steria]

Mon autocritique : Où j’en suis vraiment

Je m’évalue à un niveau confirmé sur cette compétence. Je maîtrise les fondamentaux de l’analyse de risques (méthode EBIOS RM), la relation client et la vulgarisation technique auprès de comités de direction.

Ma marge de progression : Si l’identification des vulnérabilités et l’élaboration de solutions techniques sont maîtrisées, je dois encore parfaire mon appréhension des enjeux politiques internes aux entreprises (comprendre, par exemple, pourquoi un RSSI refuse d’implémenter une préconisation évidente pour des raisons organisationnelles). Cette dimension relationnelle et politique (soft skill) est un axe de développement prioritaire.

Contextualisation : L’approche en cybersécurité diffère fortement selon le contexte. Une start-up peut accepter une remise en cause structurelle totale. Une institution bancaire est en revanche contrainte par un corpus réglementaire très strict limitant l’agilité. L’adaptabilité est primordiale.

Place et importance : Il s’agit du cœur de mon profil et de mon domaine d’expertise principal.

Vitesse d’acquisition : Mon alternance a été un formidable accélérateur d’apprentissage. J’y ai complété mes compétences terrain par la préparation de certifications spécialisées (ISO 27001, préparation ISO 27005).

Mon recul et mes conseils : Avec l’expérience, je retiens qu’une politique de sécurité déconnectée de la stratégie de l’entreprise n’est perçue que comme une ligne de dépenses. Un bon expert en cybersécurité doit maîtriser le langage des décideurs (rentabilité, conformité, maîtrise des risques) et non se limiter à un jargon purement technologique.

Mon évolution : Où je veux aller

À moyen terme, je souhaite évoluer vers des responsabilités plus élevées, passant de l’analyse de risques à la conception globale de la stratégie de sécurité (Architecture Cybersécurité). Je vise à intervenir sur des infrastructures d’envergure.

Formations en cours ou à venir : Finalisation des parcours ISO 27001 et ISO 27005. À l’avenir, j’envisage d’acquérir les certifications CEH (Certified Ethical Hacker) ou OSCP (Offensive Security Certified Professional) afin d’intégrer pleinement la vision des attaquants (red teaming) à mes stratégies de gouvernance.

Réalisations rattachées :

  • Sopra Steria (EBIOS RM, chiffrement post-quantique, analyse BDD)

Restons en contact