Une histoire de talents - Aïcha Mir, Consultante et manager - Conseil & Audit

Je suis consultante dans l’unité Conseil et Audit, dans des missions d’accompagnement auprès des clients. Conseil, cela veut dire concrètement : de l’analyse de risques, de l’audit par rapport aux référentiels de conformité, des études préalables à la mise en place de projets, de services ou des choix de solutions technologiques et de stratégies de sécurité.

Nos clients sont très variés : petites mairies, grosses sociétés du CAC 40, grands groupes industriels, banques….

Notre mission mélange des aspects techniques, organisationnels, règlementaires.

Tout à fait ! On parle de diagnostic ou d’audit. On commence par-là : nous faisons connaissance avec le client et nous avons besoin de savoir ce qui est fait, ce qui n’est pas fait, quels sont les manquements et vers ou il veut et/ou doit aller.

Oui, l’une des principales qualités nécessaires, c’est cette capacité à s’adapter au contexte du client, à sa taille, à ses contraintes, à ses besoins, à ses budgets. Je dis souvent que nous sommes un peu les psys de nos clients. Ils nous parlent de leurs problématiques, et nous, nous devons les cerner, les traduire, y répondre. Nous essayons d’analyser au plus près, d’écouter. L’écoute est primordiale. Nous faisons du sur-mesure.

Nous avons quelques services « packagés » : comme par exemple certaines opérations de sensibilisation, mais sécuriser un système d’information, c’est de l’analyse fine et des réponses adaptées.

Oui, on appelle cela le « niveau de maturité » Certains secteurs sont plus en retard que d’autres, l’industrie par exemple. Secteur pourtant très ciblé mais qui vient de loin. Même si la règlementation a beaucoup évolué dernièrement, avec le RGPD (Règlement -européen- général de protection des donnée), la Loi de programmation militaire, et cela a permis de rattraper le retard accumulé pendant des années. La numérisation et la digitalisation de tous les services, dans tous les secteurs, ont rendu cette mise en conformité incontournables.

Nous menons différents types de mission. Cela commence toujours par le diagnostic. Quelles sont les faiblesses ? Mots de passe faibles/absence de MFA (authentification forte) ? Gestion des accès à distance ? Ouvertures du SI non connues ? Mises à jour non effectuées ?

Absence de maturité des effectifs ? A partir de là, nous proposons un plan d’action, qui peut être repris par leurs équipes internes s’ils en ont la capacité, mais c’est rare. Nous restons donc en renfort pour mettre en place ce plan, selon un calendrier que nous mettons en place, avec des priorités. Et nous pouvons alors faire intervenir plusieurs services d’Orange Cyberdefense. Par exemple, pour ce qui est de la maturité, nous proposons plusieurs modules qui vont de la sensibilisation simple à des formations, intra ou inter-entreprises. Nous sommes centre de formation agréé.

Je dirais que le problème majeur est celui de l’identification des risques. Souvent, on applique les standards sans prendre le recul par rapport à nos données propres et nos risques réels. Le RGPD a beaucoup aidé à faire enfin une cartographie des risques. On doit se poser la question sur ses données : qu’est-ce qui a de la valeur ? Qu’est-ce qui n’en a pas ? Qu’est-ce que l’on doit protéger et par quels moyens ? C’est l’essentiel. L’analyse de risque doit dépasser la simple conformité, et regarder attentivement le paysage de la menace par rapport à son activité.

Oui, on fait de plus en plus appel à nous. Les grands groupes bien sûr, mais aussi de plus en plus de moyennes et petites entreprises. Toute entreprise est à risque aujourd’hui.

Oui, les attaques sont de plus en plus nombreuses mais surtout de plus en plus complexes, sophistiquées. La filière des attaquants s’organise, se professionnalise. Plus les SI (systèmes d’information) se complexifient, plus les attaques se complexifient.

Lorsque j’ai commencé à travailler il y a douze ans, il y avait très très peu de femmes. J’ai démarré dans une équipe où il n’y avait que des mecs ! Ce n’était pas forcément simple d’être la seule fille, même si mes collègues étaient très bienveillants, j’ai eu de la chance. Dans les services techniques, c’était encore pire, certains faisaient des gros yeux quand ils me voyaient arriver. Mais cela évolue maintenant. On en parle de plus en plus aux petites filles, dans les collèges, dans les grandes écoles. Et puis il existe de plus en plus de femmes auxquelles on peut s’identifier. Si mon témoignage peut servir à encourager les filles…

Une grande capacité d’écoute, la polyvalence, et une grande volonté ! Encore plus quand on est une femme…

S’adapter à des évolutions constantes : les menaces, les attaques, les systèmes d’information, les évolutions technologiques… Il faut se mettre à jour tout le temps, si on prend du retard, on est mort. C’est très décevant d’arriver en remédiation, quand il est trop tard. Il faut toujours garder un coup d’avance. Quand on peut !