L'interview

Est-ce un travail collectif ou individuel?

Je travaille avec beaucoup de groupes différents. Même si il y a un groupe de sécurité dédiée, je collabore avec beaucoup d'autre département au sein de l'université.

Bien évidemment j'ai ma propre équipe avec qui je travaille le plus, mais d'un jour à l'autre, selon les besoins je vais me retrouver à travailler avec le groupe chargé des paiement bancaires pour assurer le sécurité des transactions, puis avec un autre département complétement différent le lendemain.

Il y a t-il un sens de compétition?

Pas dans l'université ou le domaine éducatif en tout cas, si je travaillais dans le secteur industriel ou militaire, il y en aurait peut-être eu, mais ici l'aspect collaboratif est primordial.

Il y a une vraie communauté dans le groupe de la sécurité, on reçoit régulièrement des professionnels d'autres universités qui viennent partager leurs expériences, les attaques auxquels ils ont dû faire face, et comment les éviter. On est tous dans le même univers avec les mêmes objectifs donc on cherche à s'entre aider le plus que possible.

Encore une fois, je ne peux pas dire de même pour les autres secteurs d'activités, mais en tout cas, à Lancaster je dirais qu'il n'y a pas de sens de compétitivité.

Qu'est-ce qui vous motive à faire ce métier?

Expert en cybersécurité est un métier qui est très gratifiant. Il y a toujours du challenge, on ne s'ennuie jamais. Il faut constamment savoir évoluer et apprendre de nouvelle chose pour s'adapter.

Et bien qu'il n'y a pas de compétitivité entre professionnels de ce milieu, il y a toujours quelqu'un de l'autre côté qui trouve de nouvelle failles à exploiter et de nouveau moyen d'outre-passer ce qu'on a mis en place. Donc c'est une véritable course entre nous et les attaqueurs pour savoir qui réussira à contrer l'autre en premier.

Faites-vous du pentesting? Quels sont les différents processus?

Quand j'ai commencé ma carrière en cybersécurité, je m'imaginais devoir passer mes journées à faire du pentesting (test de pénétration/test d'intrusion, méthode qui consiste à analyser une cible en se mettant dans la peau d'un attaquant et de chercher les failles qu'une vraie attaque pourrais exploiter). Mais en réalité ce n'est pas exactement comme dans les films, il y a différents secteurs au sein de la sécurité informatique et il y a des personnes bien plus qualifiées pour ce genre de choses. Même si j'ai déjà fait et je fais toujours du pentesting, c'est plus comme un loisir et pour améliorer le réseau de mon domicile qu'autre chose. Bien que nous lançons régulièrement de tests internes et de vulnérabilité, ceux-ci sont majoritairement automatisés.

Parfois nous embauchons aussi des firmes spécialisées dans ce domaine quand les capacités de notre équipe ne sont pas suffisantes. Dans ce cas-là, pour une application web ou un système donné, on établit une liste des différents niveaux de privilèges de chaque type d'utilisateur, des fonctions qu'ils devraient et ne devraient pas avoir accès, puis nous leurs donnons accès à différents comptes utilisateurs de différents niveaux pour qu'il puisse chercher et trouver une faille potentielle dans le système.

Comment ce métier s'adapte à l'évolution constante de la technologie?

Quand j'ai commencé dans le secteur de la cybersécurité il y a près de 6 ans, personne ne s'occupait uniquement que de la sécurité informatique. Mais maintenant la taille des équipes dédiées à ce domaine a vraiment explosé, la quantité d'éléments sur lesquels nous travaillons ont surpasser de loin toutes mes attentes.

Tout change si vite, je ne crois pas qu'il y a une seule chose que je faisais il y a 6 ans et que je fais encore aujourd'hui. Les vulnérabilités changent en continue, les moyens de contrer ces failles changent aussi. Les demandes et besoins de l'université et des entreprises en termes de sécurités sont constamment en train d'évoluer. Comme je l'ai dit, on ne s'ennuie jamais.