Se spécialiser dans la sensibilisation

Au début de ma carrière, j’étais sapeur-pompier volontaire. Je me destinais alors à devenir officier sapeur-pompier, un grade qui demande un premier niveau d’études supérieures. J’ai alors intégré un IUT spécialisé en Hygiène Sécurité et Environnement. Après huit années de volontariat en tant que pompier, j’ai décidé de me réorienter en sécurité informatique à la fin de mon cursus à l’IUT. J’ai donc poursuivi mon parcours universitaire dans la gestion des risques et intégré, en stage, une banque qui avait besoin d’un plan de continuité. C’est là que j’ai donné mes premiers conseils en cybersécurité, notamment en gestion de crise et reprise d’activité. À l’époque, il n’y avait pas de standards, je tâtonnais. À l’occasion d’un forum spécialisé dans la cybersécurité, j’ai rencontré un expert en continuité qui a validé les idées que j’avais mises en place. Il travaillait chez Devoteam, entreprise que j’ai rejointe ensuite.

Je suis resté huit ans chez Devoteam. J’ai commencé par de la gestion de crise et de la continuité d’activité. Peu à peu, j’ai ajouté des cordes à mon arc : la gouvernance, les audits, les audits de prestataires. Je commençais aussi à faire un peu de sensibilisation. Quand je suis arrivé chez Devoteam, j’étais encore très novice. Cette expérience m’a surtout permis de me perfectionner, d’apprendre et de grandir.

J’ai commencé en tant que chef de projet spécialisé dans les audits organisationnels et le pilotage d’audits techniques, qu’on appelle aussi pentests. Cette partie technique m’a beaucoup appris, mais j’ai par la suite souhaité revenir à mes premières amours, le conseil (continuité d’activité, la gouvernance…). J’ai aussi fait de la formation et de la sensibilisation.

La direction Conseil et Audit d’Orange Cyberdefense dispose de pôles de compétences. Ceux-ci offrent aux consultants l’opportunité de se former, de partager leurs savoirs, d’échanger leurs points de vue et de créer de nouvelles offres pour nos clients. Lorsque le responsable du pôle sensibilisation et formation a quitté ses fonctions, je l’ai remplacé, pour peu à peu me concentrer pleinement sur ces deux thématiques. J’ai ainsi développé l’offre Security Game.

Sensibiliser, c’est préparer une personne à faire face à une situation difficile et/ou lui permettre d’apprendre les bons gestes pour ne pas en arriver là. Pour que les messages passent et que les participants retiennent l’information, j’essaye toujours de rajouter un petit plus. Ceci peut prendre la forme d’un effet de surprise dans le discours, une mise en situation jouée comme au théâtre, ou encore une approche de sensibilisation par le jeu. Quand j’y repense, les exercices de gestion de crise ne sont ni plus ni moins que des jeux de rôles, sans les dés, les épées ni les sortilèges. C’est aussi ça que j’aime dans la sensibilisation : partager des savoirs, faire rire, prendre au dépourvu. Je n’ai pas de problème à me mettre en scène. Au contraire, c’est une des raisons pour lesquelles je m’épanouis dans mon travail. La cybersécurité est souvent perçue comme complexe ou ennuyeuse, j’essaye de prouver le contraire.  Par exemple, j’ai créé un module e-learning où l’apprenant se retrouve dans la peau d’un agent secret, comme dans la série 24 heures chrono. Je nourris également un projet de one man show portant sur la sécurité, qui permettrait de faire connaître notre secteur un peu mystérieux de manière amusante.

Quand j’ai commencé la sensibilisation ludique il y a plus de 4 ans, j’ai commencé par développer un jeu de cartes permettant de mettre en avant les dangers d’internet. Au départ j’ai tout fait moi-même, je suis allé jusqu’à imprimer les images et les coller sur des morceaux de cartons. C’était assez artisanal. L’idée était de convaincre mes managers de débloquer du budget pour une impression professionnelle. Le projet leur a plu et j’ai pu en faire un vrai jeu de cartes. Cela m’a enthousiasmé et encouragé à continuer. Aujourd’hui, l’offre Security Game est très variée : nous proposons une dizaine d’animations, un escape game, un code de la route version cybersécurité, un stand inspiré de Questions pour un champion. Les clients sont réceptifs. L’offre plaît. C’est une belle récompense.

Aucune semaine ne se ressemble. La gestion du pôle sensibilisation et formation occupe une partie de mon temps. Bien sûr, je réalise aussi un certain nombre de missions chez nos clients ou bien je les pilote. Ce sont les sujets qui déterminent de quoi chaque journée sera faite.

Nous travaillons ensemble : personne n’est seul. En cas de doute, chacun trouve rapidement de l’aide. Et chose appréciable : personne n’est moqué ou critiqué parce qu’il ne sait pas. Il n’y a pas de questions bêtes. Nous sommes loin de l’univers parfois difficile des grands cabinets de conseil. Nous sommes une petite famille, on se respecte. Et on rigole beaucoup.

J’aime la liberté de travailler sur de multiples sujets. Chaque nouveau client m’offre la possibilité de découvrir un nouvel univers, avec ses codes, ses références. Mon métier me permet de me confronter à une multitude de visions qui m’enrichissent énormément.

Il y a quinze ans, on ne parlait pas de cybersécurité, ou très peu. Aujourd’hui, c’est un sujet que l’on retrouve quasi-quotidiennement dans les médias. Il y a eu une vraie prise de conscience, c’est positif. Aussi, ce que je retiens de toutes ces années, c’est que les risques évoluent. Il y a plusieurs années, il n’y avait que très peu d’attaques par ransomware. Aujourd’hui, c’est l’une des menaces les plus redoutées. Nous ne sommes à l’abri de rien et les pirates sont de plus en plus inventifs… et il faut nous y préparer.

Je conseillerais d’être curieux et de ne jamais hésiter à dire qu’on ne sait pas. C’est la meilleure manière d’apprendre.