Consultante en cybersécurité – Marie Montuis

Les missions, salaires et parcours pour devenir Consultante en cybersécurité

La transcription de l’interview de Marie Montuis, consultante en cybersécurité

Bertrand
Merci beaucoup Marie d’avoir accepté l’invitation du Gagne-Pain. Tu es consultante en cybersécurité chez mc2i. On va avoir l’occasion d’expliquer ça dans le détail, mais avant, voudrais-tu te décrire en quelques mots ?

Marie
Merci de me recevoir et enchantée, je m’appelle Marie Montuis, j’ai 29 ans. Je vis en région parisienne où j’ai grandi. J’ai passé un Bac scientifique en 2014 et par la suite, j’ai arrêté deux années de suite mes études. Comme beaucoup d’étudiants, on se perd, on se cherche. Ensuite, j’ai finalement trouvé ma voie. J’ai commencé un BTS MUC, donc pour Management des Unités Commerciales. Ensuite, j’ai suivi un bachelor en marketing digital et communication. Et finalement, je suis arrivée sur un Double Master (DMDA) en marketing digital et analyse des data, qui m’a ensuite amenée à devenir plutôt consultante en cybersécurité. Sinon, sur un aspect plus personnel, je suis maman depuis quelques mois.

Bertrand
Félicitations Marie. Pourrais-tu nous parler de ton parcours professionnel avant l’entreprise dans laquelle tu travailles aujourd’hui ?

Marie
Oui, bien sûr. Cela fait un peu plus de 10 ans que je travaille. Comme tout étudiant, j’ai commencé par des petits boulots, par-ci, par là. Durant mon master, pendant mes deux années d’alternance, j’ai intégré Place des Éditeurs, un groupe d’édition, et qui m’a permis par la suite, d’arriver dans mon premier cabinet de conseil, Teaminside. Cette expérience a été relativement courte car je suis partie au bout de six mois. Puisque j’ai été recommandée par une ancienne camarade de classe au sein de mon cabinet actuel.

Bertrand
Par conséquent, tu fais la promotion du networking ?

Marie
Exactement, c’est tout à fait ça. Il est vraiment très important de continuer à partager avec des personnes qui ont partagé une expérience avec vous, professionnelle ou personnelle. Et, par ailleurs, d’aller à la rencontre de nouvelles personnes de manière assez régulière.

Bertrand
Développer & cultiver son réseau professionnel. C’est ça que tu dis ?

Marie
Tout à fait.

Bertrand
Merci Marie. Pourrais-tu nous décrire dans quelle entreprise tu travailles ?

Marie
Oui, ça fait bientôt quatre ans maintenant que je travaille chez mc2i et j’interviens actuellement comme manager fraîchement promu. J’ignore si tu connais ce cabinet de conseil de référence dans la transformation numérique ? On est présents dans des secteurs d’activités très variés. Ça peut aller de la banque à l’énergie, en incluant les médias, le social. On intervient un peu partout. Notre raison d’être réside dans l’accompagnement des grandes entreprises, du secteur privé comme du secteur public, à innover et à saisir durablement les nouvelles opportunités qu’offre le digital.

Bertrand
OK à présent, peux-tu nous décrire les missions quotidiennes d’une consultante en cybersécurité ?

Marie
Oui, tout à fait, j’interviens aujourd’hui chez L’Oréal comme cheffe de projet cybersécurité, dans les équipes infrastructure plus exactement. Globalement, j’accompagne L’Oréal dans l’identification, l’évaluation, mais également tout ce qui va être autour de la réduction des risques liés à la sécurité des systèmes d’information.

Bertrand
On a dit en préparant cette interview que tu étais « en régie » dans les locaux de L’Oréal. Qu’est-ce que ça veut dire ?

Marie
Concrètement, cela veut dire que je suis quotidiennement dans les locaux de L’Oréal et non pas ceux de mc2i. Évidemment, je suis amenée à aller chez mc2i parfois pour une raison X ou Y, mais quasiment 100% de mon temps, je suis chez L’Oréal.

Bertrand
Par conséquent, tu travailles dans un cabinet de conseil et celui-ci t’envoie en mission chez un de ses clients, en l’occurrence L’Oréal. C’est bien ça ?

Marie
C’est tout à fait ça.

Bertrand
Merci Marie. Concrètement, qu’est-ce que ça veut dire en termes de missions quotidiennes d’être une consultante en cybersécurité ?

Marie
Je dirais que j’occupe trois missions principales. La première autour de la sécurité opérationnelle, la deuxième plutôt autour de la qualification et l’identification des vulnérabilités. Et ensuite, je coordonne certaines équipes au sein de L’Oréal.

Bertrand
Ok. Si on revient sur chacune de ces missions, la première mission, « piloter les activités de sécurité opérationnelle ». Qu’est-ce que ça veut dire pratiquement ?

Marie
Concrètement, c’est de l’animation de réunions pour aider les différentes zones à remédier aux non-conformités de la politique de sécurité de L’Oréal.

Bertrand
D’accord. Donc les différentes zones, cela veut dire des zones géographiques ?

Marie
Tout à fait, exactement. L’Oréal évoluant dans un contexte international, on est répartis en zones géographiques.

Bertrand
Et toi, tu t’occupes de l’Europe ?

Marie
Exactement.

Bertrand
Ok. Après, tu as dit « identifier et qualifier les vulnérabilités ». Ça nous intéresse beaucoup. Ça sent la cyber, vraiment, non ?

Marie
Exactement, une vulnérabilité, c’est une faille qu’une personne malintentionnée peut utiliser à des fins qui sont très rarement bienveillantes. Ça peut être, par exemple, subtiliser des données.

Bertrand
D’accord. Là, on est dans le cœur de ton métier. Il faut vérifier ce qui se passe dans chaque organisation pour s’assurer qu’aucune « porte dérobée » existe par laquelle on pourrait entrer ?

Marie
Exactement. On a évidemment des outils pour nous aider à faire cela.

Bertrand
En mission 3, tu as dit « coordonner les équipes». Qu’est-ce que ça veut dire ?

Marie
Concrètement, il y a une volonté d’uniformiser, d’homogénéiser les bonnes pratiques au sein des différentes zones géographiques de L’Oréal.

Bertrand
Marie, peux-tu nous expliquer pourquoi tu as choisi ce métier de consultante en cybersécurité ?

Marie
Je dirais plutôt qu’il m’a choisi… c’est assez drôle dit de cette façon, mais il faut savoir qu’en tant que consultante on n’a pas la possibilité de choisir réellement ses missions. Bien sûr, on peut émettre des souhaits auprès de son management, mais c’est finalement la demande client qui va orienter notre prochaine mission. C’est comme cela qu’après ma deuxième mission au sein du cabinet, j’ai pu intégrer L’Oréal comme chef de projet cybersécurité. J’ai simplement passé ce qu’on appelle une audition, c’est tout simplement un entretien, et le client final a validé mon profil.

Bertrand
Et ça t’a plu ?

Marie
Ça m’a réellement plu. Oui, j’étais très contente. J’avais initialement fait une demande d’évolution sur une mission Data ou cybersécurité. Quand on m’a proposé une mission cybersécurité, j’ai donné mon feu vert immédiatement.

Bertrand
Ok. Pourrais-tu également nous dire quelles sont les trois principales compétences requises pour ce job ?

Marie
Je dirais la curiosité, l’organisation et surtout le savoir-être.

Bertrand
Ok. Si on s’arrête très rapidement sur chacune de ces compétences, pourquoi la curiosité ?

Marie
Puisque c’est un monde qui évolue très, très vite. Il faut vraiment rester en veille presque quotidiennement.

Bertrand
Par conséquent, il faut être très curieux sur tout ce qui se passe dans la cybersécurité ?

Marie
Exactement. Ensuite, il faut être très autonome parce qu’il faut aller chercher les informations soi-même.

Bertrand
Ok. Après, tu as dit l’organisation. Là, ça me mérite peut-être une petite explication aussi ?

Marie
Oui, tout à fait. On fait beaucoup de la chefferie de projets. Donc forcément, il est important d’avoir un cadre et de suivre ce cadre qu’on installe.

Bertrand
Ok. Et en dernière compétence, tu as dit le « savoir-être ». Et là, je crois que tu avais aussi envie de t’arrêter là-dessus ?

Marie
Tout à fait. Alors forcément, on est amené à être intégrés dans des équipes différentes les unes des autres sur chacune de nos missions. Donc, il faut s’adapter aux personnes que l’on a en face, à nos différents interlocuteurs. C’est très important, justement, de garder ce savoir-être, ce savoir-vivre avec les différents clients chez lesquels on intervient.

Bertrand
Est-ce que c’est quelque chose que tu as appris dans ton parcours scolaire ? On appelle cela les « soft skills » dans la formation. Est-ce que ça te rappelle quelque chose ? Est-ce que cela t’a servi à quelque chose ?

Marie
Tout à fait. Après, avait-on des cours dédiés au savoir-être en entreprise ? Je n’irais peut-être pas jusque-là, mais en effet, ça fait partie des soft skills d’un consultant et c’est une chose très importante pour nous, à mc2i, notamment lors des phases de recrutement. On va chercher à identifier si la personne est capable de s’adapter à ces différents contextes.

Bertrand
Ok, excellent. Si on s’arrête sur les tâches quotidiennes, pourrais-tu nous dire quelles sont les tâches ou quelle est la tâche quotidienne qui te plaît le plus et celle qui te plaît le moins ?

Marie
Indéniablement, je dirais que celle qui me plaît le plus, c’est le suivi de projet de A à Z. Je suis quelqu’un de très organisé, aussi bien dans le monde professionnel que dans le monde personnel. C’est quelque chose que j’adore et je pense que c’est toujours apprécié d’avoir quelqu’un qui est très carré dans ce qu’elle fait et qui respecte aussi ses engagements. Sur la partie de ce que j’aime le moins, c’est un peu difficile à dire, mais je dirais, justement, les personnes qui ne respectent pas leurs engagements. Qui ne respectent pas les deadlines sur lesquelles ils se sont engagés. Également, je pense, les personnes réfractaires au changement, sans vraiment de raison. Ceux qui traînent les pieds. On est dans un monde qui évolue tellement que la conduite du changement, c’est très important. Ainsi, il est parfois dur de faire adhérer au changement, mais il faut aussi donner de sa personne et être positif au changement.

Bertrand
On sent ce côté carré dans notre entretien. Ça me semble effectivement essentiel dans ton caractère, je me trompe ?

Marie
Ce n’est pas étonnant et je pense que si tu demandais à n’importe qui autour de moi, je pense que c’est la première compétence qu’on te donnerait en ce qui me concerne.

Bertrand
Ok, pour organiser, mais parfois aussi diriger ?

Marie
Oui, tout à fait. Alors peut-être un peu trop, parfois. Se sentir « lead » alors qu’il n’y en a pas besoin. Mais oui, sans conteste, je pense que ça en fait partie.

Bertrand
Marie, attention, QGP, la question ne Gagne pain. Combien ça gagne une consultante en cybersécurité ?

Marie
Je suis assez d’accord avec ce qui avait été partagé dans l’épisode 67 par Charly Consultant Cybersécurité chez Orange Globalement, je dirais, pour un junior entre 38 et 50K€ brut annuel. Pour les postes plus senior, pour quelqu’un à partir de 5 ans d’expériences, de 50K€ brut annuel à des sommes parfois astronomiques pour certaines entreprises. Donc, je dirais autour de 90 à 100K€ brut annuel, peut-être même plus.

Bertrand
Ok, excellent. Après, peux-tu nous parler d’un défi ? Ou plutôt, quel a été le plus grand défi que tu as dû relever en arrivant dans ce métier ?

Marie
Un sacré défi, et pas des moindres, c’était celui d’arriver sur une mission de cybersécurité sans avoir le moindre parcours en cybersécurité. Ça a été vraiment très challengeant. Concrètement, la difficulté, résidait surtout dans le fait de devoir maîtriser très rapidement un vocabulaire qui était assez technique. Et, de dialoguer avec des personnes qui, pour la plupart, sont des ingénieurs IT, qui ne sont souvent pas particulièrement pédagogues. Et, pas forcément très patients et qui attendent de toi, donc une expertise que tu n’as pas forcément.

Bertrand
Il y avait aussi dans l’échange qu’on avait eu en préparant cet entretien l’idée que c’est un univers très masculin ?

Marie
Exactement, tout à fait. Pour donner un chiffre, on est à 80% d’hommes, 78% pour être exact, et donc 22% de femmes. Donc, ce n’est pas énorme et nous sommes parfois un peu sous-évaluées…

Bertrand
Ok, je comprends. Est-ce qu’il y a quelque chose que tu changerais dans ton parcours ? Et, si oui, quoi ?

Marie
C’est une bonne question. Je dirais à la fois tout et rien. Tout pour la simple et bonne raison que cette expérience en cybersécurité m’a permis de revoir mon parcours. Ainsi, de me dire si je devais refaire les choses, est-ce que je n’irais pas forcément en cybersécurité ? Ça, je pense que c’est quelque chose qui m’intéresserait beaucoup. Et si c’était à refaire, je le referais dans ce sens. Et en même temps rien, parce que finalement, toutes les étapes, toutes les personnes qui m’ont accompagnée durant ces cinq dernières années font que je suis arrivée là où j’en suis aujourd’hui. Donc d’ailleurs, un grand merci à elle.

Bertrand
Par conséquent, cela veut dire qu’il est possible de faire de la cybersécurité sans l’avoir apprise à l’école ?

Marie
Tout à fait. Je pense qu’il y a une multitude de façons de se former et de changer de métier en plein milieu de sa carrière.

Bertrand
Justement, Marie, quelles sont les ressources disponibles les plus intéressantes, selon toi, sur ce métier de consultante en cyber ?

Marie
Il en existe de nombreuses. Il y a notamment une plateforme collaborative qui regroupe des communautés de sachants et de personnes qui souhaitent se former, qui s’appelle GitHub. On a aussi de nombreuses formations en ligne, donc des MOOC, des cours structurés, singulièrement sur OpenClassrooms. D’ailleurs, pour la petite anecdote, j’ai récemment reçu en entretien quelqu’un qui s’était autoformé sur OpenClassrooms.

Bertrand
Donc c’est possible ?

Marie
C’est tout à fait possible. Ensuite, il a aussi d’autres outils, des plateformes comme TryhackMe qui là sont plus orientées apprentissage par la pratique ou encore HackTheBox. Là, cette fois-ci, plus orientées sur la partie hack.

Bertrand
Et, toi continues-tu à te former et si oui, comment ?

Marie
Oui, tous les ans, j’ai presque envie de dire au quotidien. Mais, ce qui est très bien au sein des cabinets de conseil, c’est qu’il y a plusieurs façons de se former. On a forcément les formations en interne. Souvent, ce sont des formations qui sont animées par des consultants pour des consultants. On a également des formations externes. Là, ce sont des formations qui sont proposées par des tiers et qui sont très régulièrement certifiantes. On a également la formation continue au sein de sa propre mission. Ce qui est surtout très intéressant dans les cabinets de conseil, et particulièrement chez mc2i, c’est ce qu’on appelle les centres d’expertise. Ce sont des incubateurs d’innovation où vont venir converger nos expertises métiers, sectorielles et les besoins clients.

Bertrand
D’accord. Ça, ça te permet de régénérer tes connaissances en permanence ?

Marie
Exactement. Particulièrement au sein de ces clubs. On peut intervenir sur des activités diverses, de la rédaction de newsletters à la réponse à un appel d’offres, au tournage d’une vidéo ou d’un podcast, par exemple aussi. Donc, c’est très intéressant.

Bertrand
Tu as parlé de certification. Des certifications professionnelles sont importantes pour ce métier ?

Marie
Oui, évidemment. On en a notamment autour de la GRC, la gouvernance risque et conformité, avec la ISO 27001 qui est plutôt assez connue dans le métier. Également, EBIOS-Risk Manager (RM). Et on a aussi des formations sur le cloud ou des certifications et des formations sur la protection des données, la gestion de crise, le RGPD, etc.

Bertrand
Ok. Une autre question nous est souvent posée par la communauté du Gagne-Pain, c’est l’anglais. Est-il important de bien maîtriser l’anglais à l’écrit et à l’oral pour ton métier ?

Marie
Oui. Ce qui est assez drôle, c’est que je faisais partie de ces personnes qui avaient un peu peur, qui étaient un peu effrayées par l’anglais dans le monde professionnel. Je craignais finalement de ne pas être à la hauteur. Après, on s’aperçoit que finalement, ce qui est important, c’est le fait de pouvoir comprendre et surtout de répondre à la personne qui est en face sans avoir forcément un vocabulaire très recherché. Notamment, on s’aperçoit aussi que finalement, neuf Français sur dix ont un accent vraiment à couper au couteau. Par conséquent, je pense qu’on revoit un peu ces exigences à la baisse en s’apercevant de tout ça. Mais globalement, pour donner quelques chiffres, sur les trois missions que j’ai pu occuper, je dirais que 30 à 40% de la mission se déroule en anglais, à l’écrit comme à l’oral. C’est simultanément écrire des e-mails ou animer des réunions en anglais. Ce n’est pas forcément très grave si on n’est pas bilingue, mais il faut quand même savoir s’exprimer et comprendre l’anglais.

Bertrand
Marie, est-ce qu’il y a une journée type comme consultante cyber ?

Marie
Non, absolument pas. Aucune journée n’est type. Les journées défilent et ne se ressemblent pas. Évidemment, on a une fiche de poste à notre entrée et à notre arrivée sur la mission. Mais, on évolue dans un contexte qui est vraiment très évolutif. Et, dans ce cadre-là, qui dit évolution dit changement de priorité assez fréquent. Par conséquent, la journée type n’existe pas.

Bertrand
Cela fait aussi partie du charme du métier ?

Marie
Exactement, tout à fait. Moi, en tout cas, c’est ce qui me plaît encore aujourd’hui et qui fait que je reste dans le consulting. C’est vraiment ce côté journée, ou on ne sait jamais à quoi s’attendre.

Bertrand
Alors justement, Marie, est-ce qu’il y a une différence entre le métier de consultant cyber que tu fais et celui que tu imaginais avant de le faire ?

Marie
Complètement, j’avais cette vision du consultant qui intervient uniquement sur des aspects très stratégiques. En fin de compte, toutes les missions que j’ai pu occuper sont sur un aspect beaucoup plus opérationnel. Évidemment, en fonction de l’entreprise qui vous emploie, il y pourra y avoir des missions beaucoup plus stratégiques, mais ce n’est pas nécessairement le cas.

Bertrand
Marie, pourrais-tu également nous conseiller des films, des séries, des livres ou des podcasts qui sont en rapport avec ton métier ?

Marie
J’ignore si tu connais la série de livres Pour les Nuls, mais je sais qu’il existe une édition dédiée à la cybersécurité. Ça peut être vraiment un bon début. Côté série, tout de suite, je pense à Black Mirror. Ce n’est pas forcément une série dédiée au sujet de cybersécurité, mais, très souvent, sont abordées les questions de sécurité des informations, des données personnelles. Je pense que il est intéressant de la citer.

Bertrand
C’est-à-dire que là, on est plutôt du point de vue du grand public et on essaie de comprendre un peu comment ces données, il faut les protéger.

Marie
Exactement. Et, comment protéger l’ensemble des systèmes numériques modernes.

Bertrand
Marie, l’intelligence artificielle a-t-elle déjà un impact sur ton métier ? Et, si oui, comment ?

Marie
Oui, je pense comme pour beaucoup d’entre nous, finalement. À titre personnel, j’utilise aujourd’hui l’intelligence artificielle comme un véritable compagnon. Finalement, un copilote qui optimise mon quotidien dans des tâches de rédaction de comptes rendus, de traduction de textes, par exemple, ou même à la conception de supports, finalement.

Bertrand
Donc, c’est très opérationnel. Et, si on se projette un peu plus loin, disons 2030. Vois-tu des évolutions arriver avec l’IA ?

Marie
Je pense que d’ici 2030, on entrera dans l’ère d’une cybersécurité hybride et presque autonome. Ici, le rôle de chef de projet de cybersécurité, il passera certainement d’un profil technico-organisationnel, si je puis dire, à un profil plus de chef d’orchestre des agents intelligents.

Bertrand
Ce chef d’orchestre, il fera jouer ensemble des humains et des agents d’intelligence artificielle. C’est ça que tu dis ?

Marie
Exactement.

Bertrand
Ok. Il faudra trouver une bonne symphonie pour que ça marche ?

Marie
Tout à fait. On n’aura pas le choix.

Bertrand
En conclusion, est-ce qu’il y aurait des conseils que tu souhaiterais donner à ceux qui nous écoutent et qu’on n’a pas encore évoqués ou sur lesquels tu souhaiterais insister ?

Marie
Je pense que ça va être une redite, mais évidemment, dans le fait d’être curieux, de se faire confiance. C’est aussi très important. J’ignore si on nous le dit assez souvent, mais se faire confiance, c’est quand même très important, surtout comme femme. On est légitime, donc c’est vraiment essentiel. Également développer ses compétences continuellement et particulièrement sur des sujets de cybersécurité.

Bertrand
Ok, excellent. Si certains ont apprécié cette interview, et je pense qu’ils seront nombreux, et s’ils souhaitent te contacter ou te poser des questions, comment ils peuvent le faire ?

Marie
Bien sûr via mon compte LinkedIn, je dirais que c’est la façon la plus simple. N’hésitez pas à m’envoyer un message, j’y répondrai avec plaisir.

Bertrand
Merci beaucoup Marie.

Marie
Merci beaucoup Bertrand.