page title icon ÉPISODE 67 –  Consultant Cybersécurité, Charly Bert-Marcaz

Épisode 67 : Charly Bert-Marcaz, Consultant Cybersécurité chez Orange Cyberdéfense.

Dans cet épisode, nous avons le plaisir de recevoir Charly , Consultant Cybersécurité chez Orange Cyberdéfense. Il nous raconte aujourd’hui son parcours, comment il en est arrivé jusqu’ici, et quel sont les points forts de son travail.

Merci à Charly, pour sa participation et nous espérons que l’écoute vous plaira ! Si vous aimez l’épisode, mettez-nous 5 petites ⭐️⭐️⭐️⭐️⭐️ pour nous encourager.

Vous travaillez dans le digital et vous souhaitez faire connaître votre métier, partagez votre expérience ? 

N’hésitez pas à nous contacter pour nous proposer votre profil pour une prochaine interview en nous contactant via l’adresse legagnepain @gmail.com

La question avec la crise cyber, ce n’est plus comment ça peut arriver et comment s’en protéger, c’est quand est-ce que ça va arriver et comment réagir au mieux pour la gérer.

Charly Bert-Marcaz

Notes du podcast et liens utiles :

Notre invité : Charly Bert-Marcaz – Profil LinkedIn

Interview faite par : Madjeline Souhnoun – Profil LinkedIn

La retranscription de l’épisode 67 :

Majdeline
Bonjour Charly,

Charly
Bonjour Majdeline,

Majdeline
Merci d’avoir accepté l’invitation du Gagne-Pain et de pouvoir nous présenter ton métier. Aujourd’hui, tu es consultant en cybersécurité, spécialisé dans la gestion de crise chez Orange Cyberdéfense. On va avoir l’occasion d’y revenir en détail. Mais avant ça, est-ce ce que tu peux te présenter en quelques mots ?

Charly
Oui, bonjour, je suis Charly, j’ai 24 ans, je suis consultant en cybersécurité, spécialisé en gestion de crise chez Orange Cyberdéfense. Mon parcours, j’ai fait une école d’ingénieur avec une spécialité en cybersécurité sur mes deux dernières années. C’était une prépa intégrée, c’est-à-dire deux ans de prépa, un an où on touche un peu à tout et les deux dernières années, vraiment spécialisé sur ce domaine de la cybersécurité. Je suis lyonnais, mais je travaille maintenant à Paris.

Majdeline
Est-ce que tu peux nous présenter ton parcours professionnel et comment tu es arrivé chez Orange Cyberdéfense ?

Charly
Alors dans le cadre des études d’ingénieur, on a des stages obligatoires, donc les trois premières années, c’est des stages ouvriers, donc on fait un petit peu ce qu’on veut. Moi, j’ai le BAFA, donc j’ai pu faire ça en stage ouvrier. C’est quelque chose que je recommande parce que ça m’a permis déjà d’avoir un premier pied dans le milieu professionnel. On voit la hiérarchie des projets en équipe, de la gestion de projet sur des colonies, etc. Ensuite en quatrième année, on demande des stages plus spécifiques. Donc là, j’étais chez Cyril Groupe qui est un éditeur de solutions et hébergeur Cloud. Là, j’étais sous le RSSI, dans une petite boîte de 200 personnes. Et là, j’ai vu plein de choses, de la cyber, de la gouvernance. Ils étaient en train de se mettre en conformité face à l’exigence ISO 27 001.

Charly
En cinquième année, un stage obligatoire de six mois. Où j’ai rejoint Orange Cyberdéfense avec pour sujet de stage la gestion de crise.

Majdeline
Alors dans nos auditeurs, on a des gens qui ne sont pas du tout familiers avec les acronymes. Est-ce que tu peux nous préciser ce que c’est qu’un RSSI ?

Charly
Un RSSI, c’est un Responsable de la Sécurité des Systèmes d’Information. C’est lui, celui qui a une vision globale de tous les sujets cyber. C’est peut-être un peu technique, mais c’est une vision très globale de l’ensemble de l’écosystème cyber d’une entreprise.

Majdeline
Donc c’est un poste assez important ?

Charly
Oui, c’est le plus important en cyber.

Majdeline
Est-ce que tu peux maintenant nous parler d’Orange Cyberdéfense ? Tu me disais tout à l’heure en off que c’était séparé des locaux d’Orange. Est-ce que tu peux nous expliquer ce que vous faites et quels sont les différents services ?

Charly
Alors Orange et Orange Cyberdéfense, c’est deux entités différentes, même si on fait partie du même groupe. Orange Cyberdéfense fait exclusivement de la cybersécurité. Donc, on a d’autres clients. Orange est l’un de nos clients. Orange Cybersécurité est divisée en plusieurs parties dont la mienne qui est Conseil et Audit.

Majdeline
Vous travaillez pour des entreprises en dehors même d’Orange, c’est-à-dire que vous n’êtes pas spécialisé autour de la cyberdéfense d’Orange ?

Charly
Non, on travaille avec beaucoup de sociétés dans plein de secteurs. Pour ma part, je travaille dans beaucoup de secteurs différents, l’industrie, la santé, le luxe… On fait aussi des PME, donc vraiment, on touche à tout.

Majdeline
Ok, très clair. Charly, quel est ton activité et tes missions quotidiennes en tant que consultant cybersécurité ?

Charly
Je vais parler de mes activités en gestion de crise parce que comme je le disais, la cybersécurité, c’est large. En tant que consultant cybersécurité, on est amené à faire plusieurs choses. J’aimerais me focaliser aujourd’hui sur la gestion de crise. Je vais parler du cycle de vie, de la gestion de crise. Ça commence, dans les entreprises, par identifier leurs activités critiques. Qu’est-ce qui est critique et vital pour à leur activité ? On va identifier ensuite les risques inhérents à cette activité, les risques liés à la menace cyber, avec des analyses de risques. Je pourrais détailler l’analyse de risques, comment ça se passe ? Ensuite, une fois que ces activités, les risques sont menés, il faut aussi penser à sa continuité d’activité. Et évidemment, ensuite, il faut s’entraîner à la gestion de crise basée sur la documentation qu’on a pu prévoir en amont. En cas d’attaque cyber, si j’ai mon activité qui est bloquée, comment je continue mon activité, comment je gère les différents impacts, que ce soit médiatique, opérationnel, financier.

Charly
C’est tout ce cycle de la crise cyber sur lequel je travaille. Donc, il y a plusieurs process pour identifier dans l’étape 1, les actifs critiques. Il y a ce qu’on appelle un BIA, Business Impact Analysis. Là, on va demander aux différents opérationnels, aux différents métiers, on va s’imprégner de leur contexte, quelles sont leurs activités, qu’est-ce qu’ils pensent, qui sont critiques parce que ce sont eux qui ont les réponses. Nous, on est là pour les accompagner. Ensuite, on peut faire des analyses de risques. Donc pareil, nous, on apporte notre expertise cyber, mais le risque, ce sont eux qui le connaissent, même s’ils n’en ont pas forcément conscience. Donc le but, c’est de, c’est de l’écrire, c’est de le formaliser. Et ensuite dans la continuité d’activités dans les plans de gestion de crise, dans les fiches réflexes à produire pour pouvoir réagir en cas de crise. C’est essentiel. Je vais dire quelque chose que j’entends tout le temps et que je répète tout le temps c’est : La question avec la crise cyber, ce n’est plus comment ça peut arriver et comment s’en protéger, c’est quand est-ce que ça va arriver et comment réagir au mieux pour la gérer. On sait que les attaques cyber sont hyper prolifiques. Je prends l’exemple des hôpitaux parce qu’on fait pas mal aussi de gestion de crise à chaud en accompagnant les entreprises, quand ils sont victimes de cyberattaques. Donc pour eux, c’est essentiel, d’avoir la continuité des soins. Ils sont assez entraînés avec le plan blanc. Mais une crise cyber, c’est un petit peu différent, ça a des impacts différents, donc on les accompagne là-dessus pour pouvoir mettre en place des modes dégradés malgré l’absence de systèmes d’information. Et ça se prépare « en temps de paix » comme on dit. Ce n’est pas pendant la crise qu’on va mettre en place les fiches réflexes, etc. C’est déjà trop tard. La crise, c’est la prise de décision dans l’incertitude. Donc le but, c’est de se préparer pour avoir le moins de choses à penser et d’être le plus efficace possible pour contenir la menace, et éviter la propagation d’un ransomware ou limiter l’exfiltration de données par exemple.

Majdeline
Et tu disais tout à l’heure, dans tous les cas, la crise va arriver. Pour toi, toutes les entreprises vont subir un moment ou un autre une crise si jamais il n’y a pas eu d’anticipation en amont ?

Charly
Même s’il y a eu de l’anticipation en amont, il y aura peut-être une crise. Mais effectivement, la question, c’est quand ? Parce qu’on voit nous de notre côté, du côté des gentils, en cybersécurité, on met en place des défenses etc… Mais de l’autre côté, ils ont toujours un temps d’avance, donc c’est difficile de s’adapter aussi vite qu’eux. Et des erreurs, les attaques, ce sont souvent des erreurs humaines, en conséquence, on a beau se cacher derrière tous les boucliers possibles, une erreur humaine, ça arrive. C’est plus de 60 % des compromissions, c’est par une erreur humaine. Donc en conclusion, la gestion de crise, c’est aider les entreprises à se préparer au mieux le jour où ça arrivera. Pour être le plus efficace possible, éviter un maximum les erreurs liées au stress. Donc se prépare en amont de la crise.

Majdeline
Quels sont pour toi les trois principales compétences requises pour ce job ?

Charly
La première, c’est la curiosité. Être curieux de ce qui se passe, Quelles sont les nouvelles technologies ? Comment la menace évolue ? Quelles sont les situations en cours ? La deuxième. Très spécifique au métier de consultant en cybersécurité, c’est la pédagogie. Avoir une bonne communication pour expliquer d’une manière très compréhensible à différents publics ce qu’on fait, pourquoi on le fait et pourquoi c’est nécessaire de le faire. Donc ça demande beaucoup de pédagogie, se mettre à la place des autres. Parfois, j’ai encore du mal à comprendre que tout le monde ne baigne pas comme moi tous les jours dans le milieu de la cyber. Donc ça demande de la pédagogie d’expliquer à des personnes non techniques comment ça se passe une crise cyber. On a du mal à s’imaginer aussi tous les impacts que peut avoir une crise. Donc ça demande de la pédagogie, une bonne communication entre un consultant et de l’adaptabilité. Adaptabilité. Parce que je vous parle de la gestion de crise, mais on a beaucoup d’autres types de missions gestion de risques. On peut être amené à faire des pentests (Test d’intrusion), des audits, etc. Et on travaille sur des contextes très différents, dans le luxe, dans l’industrie, dans la santé. A chaque fois, il faut se réadapter à la nouvelle entreprise selon la taille de l’entreprise également. Ce ne sont pas les mêmes besoins, ce ne sont pas les mêmes dynamiques, donc beaucoup d’adaptabilité.

Majdeline
Qu’est-ce que c’est un pentest ?

Charly
Avec un pentest, on se fait passer pour les méchants, donc on essaye de rentrer illégalement (mais autorisé par le client) dans un système d’information dans le but de découvrir les vulnérabilités et les failles qui peuvent exister. On explique, voilà, on est passé par là, on a utilisé telle faille, et vous pouvez le corriger de telle façon.

Majdeline
Une sorte d’audit en fait ?

Charly
Un audit. Oui, c’est un autre nom.

Majdeline
Ok, très clair. Attention, QGP, la question Gagne-Pain. Combien ça gagne, un consultant en cybersécurité ?

Charly
Un consultant en cybersécurité junior, ça peut prétendre entre 38 et 48 K€ à ses débuts. Ça dépend des entreprises. Mais c’est une fourchette. Et un consultant senior, c’est aussi une grosse et ça dépend des spécialités et de l’entreprise. C’est entre 55 et 90K€.

Majdeline
Charly on le disait tout à l’heure, tu es parti faire un séjour à l’étranger pour améliorer ton anglais. Est- ce que dans ton métier, l’anglais est primordial ?

Charly
La réponse est oui, l’anglais est primordial dans mon métier. Tout le monde ne l’utilise pas au quotidien, mais je l’utilise parce que les grosses boites avec lesquelles on travaille ont des filiales à l’étranger. Donc, je dirais que je travaille 33 % du temps en anglais. Quand on travaille avec des boites italiennes, quand je pars en Bulgarie bientôt, mon travail en anglais. Donc c’est primordial. On n’a pas besoin d’être bilingue en anglais, on a besoin de pouvoir exprimer ce qu’on veut dire d’une façon ou d’une autre. Pas forcément d’avoir le meilleur vocabulaire, même si ça vient avec l’expérience. Donc oui, l’anglais est super important. En plus on a plein d’acronymes, tout le meilleur contenu est en anglais, c’est vraiment un plus.

Majdeline
Tu disais que tu as fait une école d’ingénieur. Est-ce que pour toi, il y a d’autres formations pour faire ce métier ?

Charly
En termes de gestion de crise, il y a d’autres voies. Je vais prendre l’exemple de mon équipe parce que c’est un super exemple. On a dans notre équipe un géographe de formation, on a quelqu’un qui vient d’une école de communication, on a quelqu’un qui vient de la police. Donc réellement, on peut arriver aux métiers de la cyber par d’autres, par d’autres voies. Le but après, c’est d’avoir une appétence pour ce domaine très spécifique. On va, on va forcément apprendre. Après avoir fait une école d’ingé, c’est forcément un plus parce que j’ai une base technique un peu plus solide que les autres. J’ai vu plus de théorie, mais comme je le disais, le métier de consultant, ça demande de l’adaptabilité, donc on en apprend tous les jours, on en apprend beaucoup sur le terrain. Moi, si je pouvais recommander quelque chose à celui que j’étais il y a deux ou trois ans, je dirais fais de l’alternance. C’est vraiment là que l’on apprend le plus.

Majdeline
Est-ce que tu as des ressources ou des sites internet à nous conseiller pour se former en ligne ?

Charly
Il y a des très bons sites Internet pour se former à la cybersécurité. Il y a le classique OpenClassrooms que je recommande pour la cyber ou pour tout autre sujet lié à l’IT. Et il y a aussi pas mal de contenu, c’est en anglais : CompTia , ITproTV des ressources payantes mais tellement qualitatives. En français. Les livres des Editions ENI qui ont des très bons cours sur les réseaux, sur la cybersécurité. Et des contenus aussi très ludiques que j’adore, que j’écoutais beaucoup lors de mes études. C’est une chaine YouTube qui s’appelle NetworkChuck qui vulgarise et qui en même temps garde un niveau technique hyper intéressant. Donc ça ce sont des bonnes ressources. Comme je le disais, un consultant cyber, c’est curieux. On se renseigne et on passe d’une ressource à une autre. C’est vraiment ce que je recommande, si on veut aller un petit peu plus loin.

Majdeline
Et tu nous le disais tout à l’heure, c’est un métier dans lequel on doit continuellement te former, comment tu te formes et à quoi tu te formes au quotidien ?

Charly
Effectivement, il faut continuellement se former. Pas plus tard qu’il y a un mois, j’ai obtenu la certification Auditor/Lead Auditor NF EN ISO/IEC 27001, pour permettre de faire des audits. C’est quelque chose de très spécifique et c’est intéressant. On en apprend tout le temps. Chez Orange Cyberdéfense, on a la chance d’avoir 1 à 2 formations par an offertes par l’entreprise. Donc là, j’ai fait mes souhaits pour cette année. J’ai demandé une formation en pentest pour aller plus loin. Ca fait un petit moment que je n’ai pas pratiqué, même si je suis en train de faire le calendrier de l’avent du pentest…

Majdeline
Tes souhaits au Père Noël et le calendrier de l’Avent du pentest, on est dans le thème…

Charly
Il y a une autre source qui est hyper intéressante aussi. Si vous voulez toucher au pentest, Avec les sites comme TryHackMe, Hack the Box ou RootMe qui propose des petits challenges cyber pour apprendre le Pentest. C’est très ludique, surtout travailler avec des contenus éducatifs hyper intéressant. Donc si vous voulez toucher un petit peu à la cyber en vous amusant, c’est utile d’essayer.

Majdeline
Charly, est-ce que tu as une journée type en tant que consultant cybersécurité ?

Charly
Je n’ai pas vraiment de journée type. Comme je le disais, c’est assez varié et c’est aussi ce que j’aime dans le métier. On a plein de clients, plein de projets différents. On a quand même quelques réunions régulières, notamment pour s’organiser sur ne serait ce que la charge de travail et sur les projets en cours, les projets qu’on va avoir en visibilité dans les prochains mois. Après, ce que j’aime bien faire en début de journée, je regarde quel call clients j’ai et en fonction de la charge de travail que j’ai, qu’est-ce que je dois produire entre chaque call ? Je me cale 1 h intensive sur tel sujet. Après j’ai un call, ensuite, je change de sujet. D’où le fait que une des qualités c’était adaptabilité parce qu’on switch d’un contexte à un autre trois ou quatre fois dans la journée.

Majdeline
Ok. Et est-ce que dans ton métier, on peut travailler de l’étranger, être à distance ? Est-ce que c’est possible alors que vous traitez quand même des données sensibles ?

Charly
On peut tout à fait faire du télétravail, travailler depuis chez soi. Il y a une politique chez Orange Cyberdéfense qui dit qu’on ne peut pas travailler depuis l’étranger. Mais je pense que ce sont plus des critères RH. Parce qu’en soi, quand on se connecte sur nos ordinateurs qui sont sécurisés, chiffrés via un VPN, les données sensibles sont chiffrées et sécurisées. Donc oui, on peut tout à fait travailler à distance. Le télétravail, c’est quelque chose dont on aurait du mal à se passer. Et puis de temps en temps, je vais chez le client, mais je me fixe quand même de venir au bureau voir les collègues, 1 à 2 fois par semaine. Mais le travail à distance est tout à fait possible.

Majdeline
Est-ce qu’il y a une différence entre le métier de consultant cybersécurité que tu fais maintenant et ce que tu imaginais avant de le faire au quotidien ?

Charly
Alors avant de le faire au quotidien, j’avais une mauvaise connaissance de celui-ci. Parce que le domaine cyber, c’est très large. Donc même à la fin de mes études, je ne savais pas où j’allais aller exactement. J’ai trouvé ce travail lors de mon stage. J’ai essayé plusieurs choses et c’est vrai que du coup, je suis resté, car on testait plein de choses et c’est hyper intéressant dans le métier de consultant. Mais si je devais vous donner un conseil, essayez d’avoir une vision la plus globale possible du domaine cyber et de chercher ce qui vous plaît. Qu’est-ce qui vous fait lever le matin ? Parce que la cyber, c’est large. Il y a des « Red Team », donc ceux qui font les tests dont je parlais plus tôt, il y a la « Blue Team », ceux qui détectent les incidents et qui vont les corriger. Il y a ceux qui font de la gouvernance comme moi. Je sais que ça en attire moins au début parce que c’est moins connu. C’est peut-être moins fun sur le papier, mais hyper intéressant quand même. Donc non, je n’avais pas idée de ce que j’allais faire chez Orange Cyberdéfense.

Majdeline
Et puis c’est un secteur aussi qui est large, il y a plein de métiers et de sous métiers dans un même secteur. Est-ce que tu as des films, des séries, des livres, des podcasts en rapport avec ton métier à nous conseiller ?

Charly
Une super série sur les hackers qui est connue. C’est Mister Robot que j’ai, que j’ai apprécié, que j’ai découvert après être rentré dans le métier de la cyber mais qui est top aussi. Sinon, un film bien et réaliste, je vois pas trop.

Majdeline
Charly, quels seraient les conseils pour, par exemple, ta petite sœur qui souhaiterait se lancer dans le métier ? Tu nous as parlé tout à l’heure de l’alternance, est-ce que tu as d’autres conseils à donner ?

Charly
Alors j’ai donné un très bon conseil. L’alternance est une bonne façon de rentrer dans le milieu cyber. Parce que j’en viens à mon deuxième conseil, c’est d’explorer toutes les possibilités. Le milieu de la cyber, c’est très large, donc on peut, on peut vite s’y perdre. Bien se renseigner sur les différentes branches de la cybersécurité, trouver qu’est-ce qui nous fait le plus envie ? Ensuite c’est d’essayer. La cyber, ce n’est pas figé, on peut rebondir, on peut essayer plein de choses. Alorsne pas hésiter à essayer quelque chose qui peut nous faire vibrer sur le moment. Et finalement, on se rend compte que finalement, c’est l’outil que j’aime bien. Il est hyper facile de changer. Une fois qu’on a un pied dedans, on peut faire un petit peu tout. Après, le but, c’est de se spécialiser un petit peu.

Majdeline
Pour trouver justement cette alternance. Est-ce que tu as des conseils à nous donner ?

Charly
La cyber, c’est un métier qui recrute. Donc des offres d’alternance, il y en a beaucoup. Il y a plein d’études intéressantes. Si vous voulez rentrer dans le domaine de la sécurité, je recommande d’avoir une base un petit peu technique, en réseau notamment. Ça va vous aider. Je sais ce que je dis parce que j’avais un petit retard là-dessus dssus. J’ai dû le rattraper.

Majdeline
pour conclure Charly, quelles évolutions envisages-tu pour la suite de ta carrière ?

Charly
Ce que je vise prochainement, c’est de faire de la gestion de crise à chaud. J’ai vu toute la théorie. Je commence à connaître beaucoup de choses sur la gestion de crise. Donc maintenant, j’aimerais accompagner les entreprises lorsqu’elles sont réellement attaquées. C’est vers là que je vais orienter mes prochains efforts.

Majdeline
Super, ça a l’air hyper passionnant. Merci à toi.

Charly
Avec plaisir.

Majdeline
Merci à tous pour votre écoute et surtout d’être resté jusqu’ici. Pour conclure, la vision éclairée de Charly nous incite vraiment à prendre conscience de l’évolution constante des attaques cyber qui exigent une adaptation continue des stratégies de défense interne. Donc en fin de compte, la cybersécurité ne se résume pas seulement à des lignes de code et à des pare feu, mais repose également sur la vigilance et l’éducation. Comme nous l’a dit Charly, une fois qu’une attaque arrive, c’est déjà trop tard.

Majdeline
Nous vous encourageons, chers auditeurs, à mettre en pratique tous les conseils et les bonnes pratiques partagées au cours de cet épisode afin de renforcer votre propre posture de sécurité interne. Encore une fois, un grand merci à Charly, notre invité, pour avoir partagé ses connaissances et son expertise avec nous. Nous espérons que cet épisode vous a fourni des informations précieuses et vous a incité à approfondir votre compréhension de la cybersécurité.

Majdeline
C’est un domaine qui recrute. Alors surtout n’hésitez pas, si vous aussi, vous faites partie du monde de la cybersécurité et que vous souhaitez faire une interview avec nous, n’hésitez pas !

Majdeline
Nous recherchons des ingénieurs en sécurité, des applications, des analystes en sécurité, des informations, des experts en réponse aux incidents ou encore des responsables de conformité. Cela permettra à nos auditeurs de mieux comprendre vos métiers.

Majdeline
Si l’épisode vous a plu, n’hésitez pas à nous mettre cinq étoiles via votre application d’écoute et je vous donne rendez-vous très bientôt pour un nouvel épisode.

L’épisode 67 du Gagne-Pain, métier « Consultant Cybersécurité », est également disponible sur :

le podcast le gagne-pain sur Deezer

Laisser un commentaire