Passer au contenu

Paroles d’anciens – Antoine Boissy, consultant en cybersécurité : « C’est un challenge permanent et stimulant qui me force à me dépasser »

La cybersécurité, un domaine réservé aux ingénieurs ? Apparemment non, puisque si on cherche un peu parmi les anciens de l’IEP on trouve Antoine Boissy. Il est consultant en cybersécurité depuis un an et demi. Diplômé du master SIGR (sécurité, intelligence et gestion des risques), Antoine nous raconte comment il s’est fait une place chez Atos. 

Quelle est votre profession ?

Antoine : Je suis actuellement consultant en sécurité des systèmes d’information au sein du groupe Atos. Néanmoins « consultant en cybersécurité » est un terme consensuel qui parlera au plus grand nombre. J’occupe ce poste depuis janvier 2018, soit à peu près depuis un an et demi à l’heure où j’écris ces lignes.

Existe-t-il des « journées-type » dans votre métier ? Que faites-vous concrètement au travail ?

A : Au-delà du slogan, je travaille sur les problématiques contextuelles ou structurelles de chacun de mes clients, dès lors je dirai qu’il y a autant de journées-type qu’il existe de problèmes liés à la cybersécurité au sens large dans le secteur d’activité de mon client.

Dès lors je ne vais pas vous donner une journée-type mais deux activités principales qui peuvent constituer certaines de mes missions (non-exhaustif).

Le seul dénominateur commun sera que je commence toujours ma journée par une petite veille de l’actualité cyber (au sens macro) et technologique afin de me tenir au courant d’alertes qui sont autant de points de vigilance (aka les signaux faibles) à avoir en tête.

Dans le cadre d’une gestion de projet cyber (PMO – Project Management Officer), je vais être le centre de gravité autour duquel évoluent l’ensemble des parties prenantes du projet (on parle de gouvernance du projet).

J’aurais à la fois pour tâche de cadrer les activités menées par les différents acteurs pour réaliser le projet, fixer les priorités, donner les impulsions nécessaires à empêcher toute stagnation et de trouver des solutions aux problèmes de toute nature pouvant l’affecter en intégrant les contraintes de chacun et ménageant les susceptibilités.

Quel que soit le secteur d’activité, en l’occurrence la sécurité des systèmes d’information, le rôle de PMO ne consiste pas tant à faire (en anglais d’entreprise : être « responsible », être en charge de quelque chose) que de faire faire correctement et ainsi endosser la responsabilité (et ainsi être « accountable »).

Dans ce cadre, j’ai pour tâche d’identifier les sources d’informations nécessaire à l’avancée du projet (qui sont les bons interlocuteurs dans une organisation où l’organigramme et les responsabilités ne sont pas clairs), à collecter l’information (qui solliciter pour obtenir telle ou telle info) et à la diffuser aux bonnes personnes au moment où ils en ont besoin.

Enfin, en raison de mon « accountability », je serai en charge de l’ensemble du reporting aux échelons de Direction, avec ce que cela sous-entend de présentations powerpoint à calibrer en fonction de l’auditoire.

Dans le cadre d’un audit, mission qui n’excède en règle générale pas la quinzaine de jour, j’aurais à évaluer la conformité de l’organisation par rapport à un référentiel de normes de sécurité de l’information qui aura été convenu en amont avec le client.

L’audit demande un travail préalable : L’identification des interlocuteurs et du contexte de l’organisation dans le périmètre de l’audit, la lecture de la documentation de sécurité, la préparation d’un questionnaire lié au référentiel de normes (qui constitue le fil rouge de l’audit), la préparation des différents supports de restitution et d’organisation (par exemple une matrice avec l’ensemble des normes et un niveau de conformité associé) etc.

L’audit en lui-même fait l’objet d’un plan plus ou moins formalisé et consiste à mener des entretiens avec les responsables concernés par les normes du référentiel. Ces derniers doivent apporter les preuves de leur conformité, notre rôle consistant à les challenger sur leurs réponses. Au terme de l’audit, j’aurai alors à formaliser un rapport d’audit détaillant les écarts de conformité avec le référentiel.

C’est rare de trouver un diplômé d’un IEP qui travaille dans la cybersécurité, comment êtes-vous devenu consultant dans ce domaine ?

A : Sans restreindre mes recherches à un poste très spécifique (je pense personnellement que l’excès d’exigences quand on est jeune diplômé est une erreur), je m’étais fixé comme objectif de trouver un poste dans le privé, si possible en lien avec des questions de stratégie, relations internationales, défense ou sécurité, ou à défaut dans un secteur industriel stratégique (aérospatial, énergie). Les places y sont rares et chères.

En parallèle, je suivais l’avancée des recherches d’un de mes amis de la promotion SIGR passionné de cybersécurité. Il avait fait son mémoire sur la politique de cybersécurité de la Confédération helvétique. Convoqué pour deux entretiens d’embauche concluants, respectivement chez Atos en cybersécurité et CybelAngel comme analyste cyber (une grosse start-up spécialisée dans l’investigation sur le Dark Web), il a fait le deuxième choix avant de transmettre mon nom à Atos.

J’ai posé la situation sur la base d’un calcul rationnel.

Dans la colonne « Pour » : secteur d’avenir amené à exploser au cours des années à venir combiné à une pénurie lourde de main d’œuvre. Un salaire très confortable me propulsant directement parmi les 18% plus aisés du pays. Une formation accélérée propre au monde du conseil m’ouvrant la voie vers des fonctions managériales à plus ou moins court terme.

Dans la colonne « Contre » : Un secteur assez éloigné de mes ambitions initiales. La peur de ne pas pouvoir rebondir vers mon « cœur de métier » initial. Le fait que je n’y connaisse factuellement rien en cybersécurité (la fameuse sensation d’escroquerie intellectuelle qu’on a tous ressenti), etc.

Finalement, les « Pour » l’ont emporté.

Atos m’a rappelé quelques jours après pour me proposer une date d’entretien qui s’est trouvée être une vraie formalité. Début décembre 2017, j’avais une confirmation d’embauche dans ma boîte mail pour une prise de poste le 8 janvier 2018.

Quels sont les avantages de votre métier ?

A : Les avantages du métier : Un salaire élevé qui me permet de vivre à Paris sans compter trop mes sous. C’est un challenge permanent et stimulant qui me force à me dépasser. Il y a un accès immédiat à des formations certifiantes qui font monter ma valeur sur le marché de l’emploi. J’apprends un grand nombre de compétences. J’ai plus appris fonctionnellement en 3 mois que je n’en aurais appris dans toute ta scolarité. J’accède à des fonctions stratégiques chez mon client. Par exemple, je peux me retrouver à travailler pour des niveaux Comité Exécutif d’entreprise -ou équivalents dans l’administration -. Je fais du management ou du pilotage de projets à plusieurs millions d’euros…alors que je n’ai que 23-24 ans.

Quels sont les inconvénients ?

A : J’en vois trois principaux. Ils sont bien évidemment relatifs selon le cabinet ou l’entreprise dans laquelle vous évoluez, mais qui en l’occurrence, me concernent.

Je dirais que l’inconvénient premier réside dans le fait qu’il faut accepter d’être quelqu’un de mobile et d’adaptable. Je peux être amené à évoluer sur plusieurs missions en même temps avec ce que cela implique en terme de temps de transport, de déplacements, etc.

Le besoin du client est roi. Je n’ai que peu de marge de manœuvre pour négocier l’endroit où on m’enverra. Si vous préférez le secteur de l’énergie et que seules sont disponibles des missions dans le secteur de l’assurance, vous vous y retrouverez quand bien même vous détesteriez le secteur en question.

Je travaille régulièrement sous pression. C’est-à-dire hors de ma zone de confort, ce qui peut légitimement faire peur à plus d’une personne… Au départ, j’ai débarqué dans le milieu de la sécurité des systèmes d’informations. Je n’y connaissais strictement rien. On me bombardait d’acronymes, de process, d’informations techniques qui m’ont forcé à m’adapter très vite. Si vous n’aurez jamais les mêmes compétences techniques qu’un ingénieur, votre valeur réelle réside ailleurs…

 

Consultant en cybersécurité, c’est le bon métier pour vous ?

A : J’ai toujours perçu ce métier comme un accélérateur de formation et de carrière (un tremplin quoi), plus que comme quelque chose de réellement pérenne.

Cela semble extrêmement cynique dit comme ça, mais c’est pourtant le cas pour un grand nombre de personnes. Relativement rares sont les gens qui font carrière dans le conseil.

De manière générale, c’est un métier qu’on exerce jeune diplômé pour engranger un maximum d’expérience et de compétences en un minimum de temps. Ou alors en freelance, en fin de carrière quand l’expérience et le carnet d’adresse sont pleins à craquer.

Pour ma part, je ne me suis jamais vu plus faire plus de 2 ans dans ce premier métier.

“J’ai toujours perçu ce métier comme un accélérateur de formation et de carrière”

À votre avis, y-a-t-il des qualités requises pour exercer votre métier ? Et des techniques à acquérir en dehors de Sciences Po Lille ?

A : A mon sens, les qualités requises doivent plus traduire un état d’esprit qu’être purement techniques. Ce que nous ne sommes pas en sortant de Sciences Po Lille. Et ce n’est pas un tort, loin de là.

Tout d’abord, il est fondamentalement nécessaire de cocher les cases suivantes : professionnalisme, curiosité, pragmatisme, vivacité d’esprit, appétence à évoluer hors cadre etc.

Cependant, les deux modes de fonctionnement à intégrer pour exercer correctement ce métier tient à deux approches. Il y a l’approche systémique et la pensée stratégique. Soyez rassurés, notre formation pluridisciplinaire nous a parfaitement préparé à cela. De ce fait, la plupart d’entre nous excellent dans le conseil.

L’approche systémique est fondamentale là où elle permet de penser les problèmes, leurs solutions et les représentations que s’en font les différents acteurs. Et ce de manière beaucoup plus large que ne le ferait un ingénieur par exemple. Parce que nous comprenons le mécanisme et la complexité d’une prise de décision, nous sommes capables d’en comprendre les limites et de trouver les bons arguments pour la challenger.

La pensée stratégique est elle aussi fondamentale en ce qu’elle demande une élévation au-dessus des considérations purement techniques. Dans le conseil, vous ne pouvez pas passer votre temps à vous noyer au milieu des détails techniques et gérer dans l’urgence opérationnel. D’autant plus qu’en matière cyber vous ne les maîtrisez pas dans le détail.

La ligne directrice qui guide votre action (la fameuse problématique d’une dissertation) doit penser en fonction de la finalité de l’action l’allocation de chacune de vos ressources, humaines ou matérielles.

“la plupart d’entre nous excellent dans le conseil.”

Votre travail est-il compatible avec une vie de famille ? Par exemple : à quelle heure rentrez-vous le soir ?

A : Je vous avoue que pour la vie de famille je n’ai pas encore assez de recul pour vous répondre.

Mais sinon, oui, c’est clairement compatible avec une vie personnelle sans aucune réserve. Les boîtes de conseil/cabinets, qui avaient plutôt mauvaise réputation dans le domaine, sont nombreux à avoir mis en place des programmes de bien-être au travail. Ils veillent à permettre à chaque collaborateur de concilier au mieux vie pro/vie perso.

Très concrètement, cela se traduit par du travail à distance pour réduire les temps de transports, des compensations financières (ou des RTT) pour un collaborateur qui excèderait un temps donné de trajet par jour. Ou encore du télétravail à domicile.

Un conseil pour les étudiants de Sciences Po Lille qui voudraient exercer votre métier plus tard ? Ou alors pour tous les étudiants de l’école ?

A : Mes conseils : deux choses fondamentales à commencer à se constituer à Sciences Po : le réseau et l’engagement.

Tous les étudiants de l’école doivent commencer à se constituer et à entretenir un réseau. Que celui-ci soit amical, pro, semi-pro, lié à une passion, un sport ou autre. Et ce dès ses premières années à Sciences Po.

Dans les secteurs de niche dans lesquels la plupart d’entre nous sommes amenés à travailler, les offres d’emploi existent rarement. Je ne parle pas nécessairement de mon job mais du suivant.

Dès lors le bouche à oreille intervient pratiquement tout le temps. Le réseau est une des seules choses qui va vous suivre toute votre vie . Cela vous donnera accès à énormément de choses s’il est correctement entretenu. Ça va de la place de concert obtenue via le CE d’un ami, en passant par un entretien pour un travail, etc.

Quelques liens utiles pour votre orientation :

Marion Galard