Les métiers de la cybersécurité
Category
🗞
NewsTranscription
00:00Bonjour à tous et bienvenue dans l'étudiant live, on est ravis d'être avec vous aujourd'hui.
00:13Le thème de cette conférence ce sont les métiers de la cybersécurité et pour en
00:18parler je suis accompagnée d'Alexandrine Torrents.
00:20Bonjour Alexandrine.
00:21Bonjour Audrey.
00:22Donc tu es manager cybersécurité chez Waveston et on commence tout de suite par ta présentation.
00:27C'est le qui est-ce ?
00:28Alors Alexandrine déjà, quel âge as-tu ? Si je peux me permettre de te poser cette
00:39question sinon tu as le droit de ne pas y répondre.
00:41Je viens d'avoir 30 ans.
00:43Ok donc jeune manager, tu travailles depuis combien de temps dans le milieu de la cybersécurité
00:48?
00:49Depuis la fin de mes études donc bientôt 7 ans en CDI, j'avais fait un stage aussi
00:53en cybersécurité.
00:54Ok donc tu as fait ton stage c'était tout de suite la cybersécurité.
00:57Et comment tu as eu ce déclic pour la cybersécurité ?
01:00Eh bien via mon école d'ingénieur parce que j'ai fait Télécom Paris Tech et j'ai
01:06fait mon cursus en cybersécurité parce que c'était le master le plus populaire de l'école
01:13et du coup je me suis dit je vais me lancer là-dedans et puis j'ai vraiment adoré ça
01:16avec mes profs qui nous ont vraiment appris le goût de la passion de la cyber.
01:21Donc en gros tu as fait ton stage chez Waveston et ils t'ont embauché à l'issue de ton
01:25stage ?
01:26Absolument oui.
01:27Et comment tu avais trouvé ce stage ?
01:28Eh bien super intéressant vu que j'ai continué à travailler chez Waveston après, vraiment
01:34très sympa.
01:35Alors je fais des choses très techniques en cybersécurité, ce qu'on appelle des
01:38tests d'intrusion.
01:39Donc tester la sécurité des sites web, des réseaux, voilà donc on est des gentils hackers
01:45mais on est quand même là pour attaquer les systèmes et découvrir les vulnérabilités,
01:49c'était super sympa.
01:50Alors on va voir justement si vous êtes fait pour la cybersécurité, c'est la deuxième
01:54partie de l'émission, je m'oriente.
01:56Alors concrètement, sur quoi tu travailles au quotidien ? Bon maintenant tu es manager
02:06donc j'imagine que tu manages des équipes mais le métier de la cybersécurité, moi
02:09j'ai vraiment l'image de, comme tu dis, de gentil hacker, de gens comme ça dans leur
02:13système.
02:14Est-ce que tu peux nous raconter concrètement en quoi ça consiste la cybersécurité ?
02:18Oui, alors la cybersécurité c'est vraiment super large, il y en a en plus pour tous les
02:24goûts.
02:25Il y en a du plus technique, du coup ceux par quoi j'ai commencé les tests d'intrusion
02:29mais on peut aussi faire de la gestion de crise, tester des exercices de crise cybersécurité,
02:35on peut aider les entreprises à définir leur gouvernance cybersécurité, faire des analyses
02:40de risque sur leur système et puis vraiment tout le panel parce que finalement il y a
02:45de l'informatique un peu partout et du coup de la cybersécurité un peu partout, donc
02:49tout ce qui est le cloud, détecter des attaques, faire de la réponse à incidents, il y en
02:54a vraiment pour tous les goûts.
02:55Et moi, qu'est-ce que je fais ? J'ai commencé par la partie plutôt attaque, donc test d'intrusion
03:01mais finalement au fur et à mesure des années, je me suis rendue compte que ce que je préférais,
03:04ce n'était pas attaquer les systèmes mais plutôt les sécuriser.
03:08Donc maintenant, je me déplace beaucoup pour sécuriser des systèmes.
03:12Ça consiste en quoi de sécuriser les systèmes ? Qu'est-ce que tu dois faire ? Tu te déplaces,
03:17tu fais un audit, tu regardes s'ils sont bien protégés, pas trop, tu regardes les failles,
03:22comment ça se passe ?
03:23Alors moi, je me suis aussi spécialisée sur les systèmes industriels, donc dans les
03:27usines, sécuriser les systèmes de production.
03:30Donc oui, effectivement, je me déplace déjà pour regarder un peu le niveau de sécurité,
03:35donc en faisant des audits aussi.
03:36Et ensuite, une fois que j'ai défini ce qui n'allait pas dans l'usine, je les aide vraiment
03:41à sécuriser leur système.
03:43Donc je forme les exploitants dans les usines, je leur explique sur vos machines, comment
03:48les rendre plus sécurisés, comment configurer des comptes avec des mots de passe sécurisés.
03:53Ce genre de choses.
03:54Mais quel est le risque ? En fait, il y aurait des entreprises concurrentes qui essaieraient
03:58d'aller pirater le système de production pour paralyser la production ?
04:01Alors oui, ça existe, mais ce n'est pas ça qu'on voit le plus.
04:05Ce qu'on voit le plus, c'est ce qu'on appelle les attaques par ransomware, donc c'est des
04:10virus qui se propagent sur les réseaux et qui vont, ce qu'on appelle, chiffrer les
04:15systèmes d'information et renvoyer un message de rançon en disant si vous payez la rançon,
04:21on va vous déchiffrer vos systèmes et vous rendre votre production.
04:25Voilà, c'est ce qu'on voit le plus aujourd'hui.
04:27Des rançons.
04:28Des rançons, ok.
04:29Alors, quelles sont les qualités nécessaires pour se lancer dans la cybersécurité ?
04:33Surtout la curiosité et la motivation.
04:38Pour faire de la cybersécurité, il n'y a pas besoin d'avoir fait vraiment de la cybersécurité
04:43pendant ses études.
04:44En tout cas, ce n'est pas obligatoire pour se lancer en cybersécurité et même ce n'est
04:50pas forcément non plus obligatoire d'avoir fait une école technique ou une école d'ingénieur
04:55pour se lancer en cybersécurité.
04:57J'ai des collègues qui viennent plutôt du monde de l'école de commerce ou qui ont fait
05:02une université avec un master en gestion des risques, mais plutôt haut niveau.
05:05Donc voilà, il n'y a pas forcément besoin d'être technique pour se lancer en cybersécurité
05:12puisqu'il y a des panels de la cybersécurité qui sont moins techniques que ce que moi je
05:15fais par exemple.
05:16Ah oui, d'accord.
05:17Alors des écoles de commerce, ils vont être sur d'autres fonctions en fait, mais ils
05:20ne pourront pas être comme toi dans la cybersécurité.
05:23Alors, ils pourront être comme moi dans la cybersécurité, mais pas forcément faire
05:25des tests très techniques, mais accompagner des entreprises dans des analyses de risques
05:32pour définir justement quels sont les événements redoutés, de quoi on veut vraiment se protéger.
05:38Ce que je parlais tout à l'heure, la gestion de crise, faire un exercice de crise, il n'y
05:42a pas forcément besoin d'être très technique.
05:46Ok, alors maintenant, on va passer à un petit jeu, c'est le vrai ou faux.
05:56Alexandrine, vrai ou faux, tu étais donc très douée en informatique quand tu étais
06:00ado ?
06:01Eh bien, faux.
06:02Quand j'étais petite et quand j'étais ado, ma maman, enfin plutôt aujourd'hui,
06:09ma maman, elle se demande encore comment ça se fait que je sois arrivée là en cybersécurité
06:14parce que je n'étais pas du tout douée en informatique, les ordinateurs, comment
06:19fonctionnait Internet, tout ça, c'était plutôt ma maman qui m'aidait à débuguer
06:22les trucs quand ça ne marchait pas.
06:23Mais du coup, aujourd'hui, je fais de la cybersécurité.
06:26Toi, tu étais plutôt quoi ado ? Qu'est-ce qui te plaisait ?
06:28Alors, j'avoue que je n'avais pas du tout d'idée claire en tête quand j'étais petite.
06:34Pour être honnête, quand j'étais toute petite, je voulais faire avocate, mais c'est
06:38plutôt parce que j'avais vu des trucs à la télé et je m'étais dit, ça peut être
06:40trop cool.
06:41Des séries ?
06:42Voilà, c'est ça.
06:43Et en fait, c'est vraiment au fil de mes études, je me suis laissée porter par l'école,
06:49j'ai fait classe préparatoire après le bac.
06:51Donc, maths submatspé ?
06:52C'est ça.
06:53Après, je suis arrivée du coup en école d'ingénieur et c'est là que j'ai découvert
06:56la cybersécurité et je me suis dit, allons-y, je vais tester.
06:59Donc, toi, tu aimais quoi ? Je ne sais pas, tu lisais, tu étais plutôt…
07:03Alors, j'ai toujours été plutôt douée pour les maths, j'ai fait bac scientifique
07:08et j'ai toujours été douée en maths.
07:10Mais pour être honnête, aujourd'hui, je ne fais plus du tout de maths.
07:13C'est drôle parce qu'on pourrait penser qu'il y a beaucoup de codage.
07:17On peut, oui, mais c'est vrai que c'est complètement différent que ce qu'on voit
07:21aujourd'hui.
07:22En tout cas, à l'époque où j'étais à l'école, les maths, les algorithmes,
07:25tout ça, aujourd'hui, je ne fais pas du tout ça.
07:30Allez, on continue le vrai ou faux.
07:31La principale conséquence d'une cyberattaque, c'est la perturbation de la production.
07:36Alors oui, vrai.
07:38C'est ce que je disais tout à l'heure avec les attaques par ransomware.
07:42C'est donc du coup des virus, des malwares qui vont se propager sur tous les réseaux
07:47et perturber les systèmes d'information, dont pour certains, des fois, perturber les
07:52usines industrielles.
07:54Et donc oui, l'arrêt de la production, c'est ce qui touche le plus les attaques.
08:00J'ai vu qu'il y avait aussi en deuxième conséquence d'une cyberattaque, l'indisponibilité
08:05du site web.
08:06Oui, parce que du coup, il y a beaucoup d'applications web qui existent partout.
08:11Et nous, on utilise l'Internet et le web pour avoir nos applications bancaires, par
08:16exemple, ou n'importe quel site web.
08:19Donc du coup, il y a pas mal d'attaques aussi spécifiques sur ces applications web qui
08:24peuvent faire mal.
08:25Troisième conséquence d'une cyberattaque, la perte du chiffre d'affaires.
08:29Alors oui, et du coup, ça, c'est une conséquence un peu de toutes les attaques, parce que qui
08:34dit aussi arrêt de production, dit du coup moins de gains pour l'entreprise.
08:41Alors, j'enchaîne sur ça.
08:42Une cyberattaque peut coûter plusieurs millions d'euros.
08:46Vrai ou faux ?
08:47Malheureusement, c'est vrai, et notamment en 2017, il y a eu des grosses vagues d'attaques
08:54qui sont propagées sur les réseaux du monde entier et qui ont touché plusieurs grandes
08:59entreprises partout dans le monde et en France, et qui ont du coup arrêté la production
09:05pendant plusieurs semaines de certaines de nos grandes entreprises françaises, avec
09:09du coup plusieurs millions, voire même milliards d'euros de pertes.
09:14Et pourquoi les entreprises ne pouvaient plus produire, les machines ne fonctionnaient plus ?
09:17Alors oui, du coup, c'est l'attaque Ransomware dont je parlais tout à l'heure.
09:21Tout leur système d'information chiffré, pour certains, leur sauvegarde aussi, ont
09:26été impactées par ces attaques et donc du coup, il a fallu tout reconstruire de zéro
09:31et donc ça prend du temps.
09:32Et c'était une attaque malveillante, c'était ciblé contre une entreprise où ça s'est
09:37propagé ?
09:38Celle-ci, elle n'était pas forcément ciblée, mais il y a eu beaucoup de gens qui ont été
09:44touchés par cette attaque, effet de bord de l'attaque, c'est un logiciel spécifique
09:50qui a été attaqué et il s'avère que ce logiciel était utilisé un peu partout dans
09:54le monde par plusieurs grandes entreprises et du coup, ça s'est répandu.
09:57Mais il y a une rançon qui a été demandée à quelqu'un ou à plusieurs entreprises ?
10:01Alors oui, mais il me semble que sur cette attaque-là en particulier, le virus n'était
10:07pas très bien designé et la rançon n'a pas fonctionné.
10:11Bien fait.
10:12Ok, vrai ou faux, il y a une parité en cybersécurité, il y a 50% de femmes, 50% d'hommes ?
10:20Alors malheureusement non, et ça, ça vient aussi du coup des choix post-bac, il y a beaucoup
10:28plus d'hommes qui se dirigent plutôt sur des écoles d'ingénieurs, des métiers scientifiques
10:34et même si je disais tout à l'heure qu'il n'y a pas forcément besoin d'avoir fait
10:37une école d'ingénieurs pour faire de la cybersécurité, du coup, on voit aussi pas
10:41mal de fans qui viennent des écoles de commerce mais même du coup aujourd'hui en cybersécurité,
10:46il y a quand même relativement peu de femmes et dans mon entreprise par exemple, on est
10:51moins de 30% de femmes mais on est quand même malgré ça dans la fourchette haute du pourcentage.
10:57Oui, parce que j'ai une slide là, vous allez sûrement la voir à l'écran si tout va bien.
11:02Est-ce que vous la voyez ? Vous la voyez ? Il y a pas mal de chiffres dessus mais justement,
11:16on parle des femmes dans la cybersécurité, il y a 11% de femmes en cybersécurité et dans
11:22ton entreprise, 30% c'est ça ? Un petit peu moins. Oui, donc fourchette haute, donc si vous avez
11:27envie, les filles, allez travailler avec Alexandrine dans ses milieux. Petite dernière
11:32question pour ce vrai ou faux, le nombre d'emplois en cybersécurité stagne depuis 5 ans ? Alors non,
11:38pas du tout, il augmente et si je dis pas de bêtises, il a même doublé là ces dernières
11:43années. Oui, exactement, on le voit d'ailleurs sur cette diapo. Non, non, effectivement,
11:47on recrute et la cybersécurité, je pense que comme vous le voyez, de plus en plus de systèmes
11:54informatiques, de plus en plus d'attaques aussi, de plus en plus de réglementations à l'échelle
11:59française, européenne et mondiale qui font que du coup, on n'est pas prêt d'être à court de
12:04travail. Oui, donc ça, c'est un truc en plus mais justement, ça me permet de rebondir sur
12:08notre section, le truc en plus. On va donner d'autres raisons justement de se lancer dans
12:19la cybersécurité. Qu'est-ce qui, toi, te plaît le plus dans la cybersécurité ? Quelle est pour
12:24toi la plus-value de ce secteur ? C'est le fait qu'on s'ennuie jamais parce que ça bouge
12:30énormément en termes de technologie, en termes de typologie de système à sécuriser et puis même
12:36ce que je disais tout à l'heure, le fait que la cybersécurité, ce soit un métier ultra large,
12:40finalement, on n'est pas obligé de rester cantonné à un mini secteur. On peut vraiment changer de
12:46métier au sein du métier même, si je puis dire. Et du coup, c'est vraiment ça que j'aime, la
12:50diversité et le fait qu'on ne s'ennuie jamais. Ça doit être sympa aussi pour ton entourage parce
12:56que je suis sûre que les gens te demandent des conseils en fait. Le truc en plus d'être amie
13:00avec toi ou proche de toi, c'est qu'on doit avoir des conseils. Quels conseils tu donnes à ton
13:05entourage pour protéger les données ? Justement, oui. C'est vrai que moi, je travaille beaucoup
13:10plus pour les entreprises, mais c'est vrai qu'à titre personnel, on me demande parfois « Mais
13:13alors toi, comment tu fais de la cybersécurité au quotidien ? » Le truc le plus que je fais en
13:19cybersécurité, c'est la protection des mots de passe. Par exemple, j'utilise un gestionnaire de
13:24mots de passe pour gérer tous mes mots de passe en ligne de mes différentes applications sur les
13:30réseaux sociaux, les banques. Ça se passe comment ? Il s'appelle comment ce gestionnaire ? J'imagine
13:34qu'il y en a plusieurs. Il y en a plusieurs. Moi, j'utilise KeePass, mais il y en a d'autres en
13:38ligne comme LastPass ou autre. Et du coup, comment ça se passe quand on te demande de créer un mot
13:42de passe ? C'est une base de données qui est protégée. Donc moi, je n'ai qu'un seul mot de
13:47passe à retenir pour déverrouiller ma base de données. Et après, j'ai toute une liste avec tous
13:51mes sites web, tous mes logins et mes mots de passe. Et du coup, ça peut générer des mots de
13:56passe complètement aléatoires. Je n'ai pas forcément besoin d'en rentrer un. L'application
13:59en choisit un pour moi. Donc en gros, tu vas sur Instagram, tu veux changer ton mot de passe,
14:02tu te mets sur nouveau mot de passe. Et là, comment tu ouvres ton application ? Et là,
14:06après, je fais des copiers-collers tout simplement. Ou alors après, il y a des raccourcis que je peux
14:11utiliser pour se connecter automatiquement à partir de ma base de données. Et comme tu as un
14:17seul mot de passe, tu n'as pas peur de te faire craquer ce mot de passe qui contient du coup ?
14:21Ben non, parce que du coup, vu que je n'en ai qu'un seul à retenir, j'en ai un, mais très,
14:25très gros et qui fait plus de 25 caractères. Allez, on passe aux en pratiques.
14:31Alors Alexandrine, en pratique, qu'est-ce qu'on peut faire ? Est-ce que tu peux nous faire un petit
14:41résumé des formations pour travailler dans ton milieu ? Alors oui, complètement. Déjà, vous
14:47tenir au courant sur Internet de la cybersécurité. Il y a pas mal de vidéos en ligne, de cours
14:54spécifiques. Après, du coup, vous êtes au bon endroit aujourd'hui pour aller vous renseigner
14:58sur la cybersécurité. Il y a plein d'écoles qui proposent des cursus spécifiques si vous voulez
15:03vous lancer là-dedans. Et pour les plus techniques d'entre vous, parce que c'est ce que je faisais
15:08quand j'étais à l'école, je me suis inscrite sur des sites de challenge en ligne pour du coup,
15:13faire un peu la hacker, mais tester la sécurité des sites web ou autres. Et donc, pour citer
15:20des exemples, il y a RootMe, HackTheBox, pour les plus techniques d'entre vous. Donc challenge en
15:25ligne, ça veut dire que tu dois essayer de trouver une faille dans un système de sécurité ? Alors
15:30oui, c'est ça. Du coup, c'est une plateforme web où il y a plusieurs petits challenges. Et du coup,
15:34on clique, ça nous lance un environnement virtuel où on est censé attaquer un système. Et si on
15:41réussit à attaquer le système, ça nous fait gagner des points. Il sert à quoi ces points ? Il y a un
15:47classement en règle générale sur ce type de site web. Moi, je faisais un peu la compétition
15:53avec mes amis de l'école à l'époque. C'est à celui qui hackait le plus de sites et puis
15:58réussissait le plus vite à trouver les failles des différents challenges. Et est-ce que tu crois
16:03que ça joue sur l'employabilité ? Par exemple, à un entretien d'embauche, tu dis « j'ai tant de
16:08points », donc ça prouve que tu es compétente dans ton domaine ? Alors oui, ça peut. Effectivement,
16:12chez Wavetone, notre équipe d'audit et de tests d'intrusion, c'est vrai que quand je fais des
16:17rendez-vous de recrutement et quand les gens sont intéressés par ce domaine-là en particulier,
16:22je leur demande justement s'ils sont inscrits sur des challenges en ligne, c'est quoi leur
16:27pseudo et du coup, quel score ils ont sur le site. Donc, il n'y a pas de challenge financier
16:33quand tu participes à ça, mais il y a un côté prestigieux en fait, gratifiant. Oui, en tout cas,
16:37ça montre qu'on est curieux, qu'on a envie de se lancer dans ce sujet. Alors du coup,
16:41ça c'était pour la partie études. C'est plutôt école d'ingénieur, donc c'est au niveau du coût
16:48de ta formation. Alors oui, effectivement, moi j'ai fait du coup bac plus 5, donc après les
16:53classes prépa, j'ai fait trois ans d'école d'ingénieur avec un master en cybersécurité. Mais
16:58aujourd'hui, pour faire de la cybersécurité, il n'y a pas forcément besoin d'être bac plus 5,
17:01il y a d'autres métiers qui sont accessibles à bac plus 3, notamment tout ce qui est architecte
17:08cybersécurité, donc comment designer un peu des réseaux ou ce qu'on appelle aussi analyst
17:13SOC. C'est pour Security Operations Center, donc c'est les systèmes de détection d'événements
17:21de sécurité. Du coup, c'est des personnes qui vont analyser un peu en temps réel les événements
17:25sur des systèmes pour pouvoir détecter des attaques. Ok, donc ça c'est pour le coût des
17:31études. On voit qu'il y a plusieurs formations possibles. Et concrètement, niveau salaire,
17:34est-ce que tu peux nous parler du salaire en cybersécurité ? Alors il peut y en avoir assez
17:41différents, mais si je prends mon exemple, donc WaveZone, c'est un cabinet de conseil,
17:45donc que des bacs plus 5, là pour le coup, dans ce type de métier, on est embauché aux alentours
17:52de 40K. Oui, c'est pas mal. Ok, et toi tu peux nous parler de ton salaire ou c'est privé ? Oui,
17:59je peux en parler effectivement. Donc comme tu disais tout à l'heure, moi je suis devenue manager,
18:03ça fait sept ans que je suis chez WaveZone bientôt, et là j'ai atteint presque 80K.
18:09Donc jolie réussite. Au niveau des perspectives d'évolution, toi donc tu as commencé avec des
18:15tests d'intrusion. Au bout de combien de temps tu es passée manager ? Au bout de 5-6 ans,
18:20je suis passée manager. Ok, et tu gères combien de personnes ? Difficile à dire. En fait j'ai
18:26plusieurs missions en parallèle, mais disons que je travaille avec une dizaine de personnes. Et du
18:32coup tu t'es détachée un petit peu de l'opérationnel ? Alors pas forcément. Moi ce que j'aime bien faire
18:37aussi, c'est former les jeunes. Donc ce que j'aime bien faire dans mes missions, c'est du coup
18:41apporter l'expertise et l'expérience que j'ai, et du coup former les plus jeunes sur comment sécuriser
18:48des systèmes ou comment les attaquer. Est-ce que tu as une anecdote à nous livrer, un moment où
18:53vraiment là tu as senti ton cœur battre et tu t'es dit « waouh, j'adore ce métier ». Eh bien oui,
18:58du coup quand j'ai pu sécuriser des systèmes, je me suis beaucoup déplacée sur des usines. Et
19:05en l'espace de un an, un an et demi, j'ai pu passer quasi du niveau zéro à un niveau plutôt pas
19:12mal. Et même ces systèmes ont reçu une sorte de tampon pour dire « ok, vous avez un bon niveau
19:18de sécurité ». Du coup j'étais plutôt contente. Donc tu dis que tu t'es déplacée en France sur
19:22plusieurs sites d'une même entreprise ? Oui, et puis même à l'étranger, j'ai fait aussi des audits
19:28et des déplacements à l'international, notamment aux Etats-Unis, mais aussi dans plusieurs pays
19:32d'Europe. Ok, donc un métier, comme tu disais, où on ne s'ennuie pas. Effectivement, en tout cas moi
19:37je ne m'ennuie pas. Merci mille fois d'avoir participé à cette conférence. Je vais quand même
19:41te laisser le mot de la fin, c'est notre dernière séquence.
19:50Eh bien du coup, si vous avez envie de faire de la cybersécurité, n'hésitez pas à venir me parler
19:55juste après. Mais en tout cas, voilà, n'ayez pas peur. Même si vous êtes une femme, il y a largement
20:01de quoi faire en cybersécurité. C'est un métier ultra passionnant et il y en a pour tous les goûts.
20:07Merci Alexandrine Torrens d'avoir été avec nous. Merci à vous d'avoir suivi la conférence.
20:12Merci à vous également. Vous retrouverez d'autres conférences sur la chaîne YouTube de l'étudiant.
20:17A très vite.