Rechercher

Connaissez-vous le métier de consultant IAM ?

Découvrez le quotidien d’Alexandre Debrie, consultant IAM chez Orange Cyberdefense.

D’où t’es venu ton goût pour la cybersécurité ?

J’ai toujours été passionné par l’informatique et ai compris très tôt que la cybersécurité était l’un des enjeux majeurs de notre époque. C’est un domaine qui évolue constamment, où l’on ne s’ennuie jamais.

Tu as effectué une partie de ton cursus au Mexique. Que retiens-tu de cette expérience ?

Je ne voulais pas choisir la facilité et aller vers les Etats-Unis ou l’Angleterre par exemple. Je souhaitais un dépaysement total et je l’ai eu. Par ailleurs, l’enseignement au Mexique est totalement différent de ce que nous connaissons. A l’université, les cours sont donnés au sein de petites classes, ce qui offre une vraie proximité avec les professeurs, la possibilité d’échanger, de poser des questions. L’apprentissage est très orienté projets. Ça m’a permis de consolider mes bases en informatique, en particulier Java et Linux, incontournables dans le monde de l’IAM.

Tu as rejoint Orange Cyberdefense en 2018, en tant que consultant IAM. Si tu devais expliquer l’IAM à un néophyte, que dirais-tu ?

Au travail, un salarié va utiliser une multitude de comptes pour accéder aux différentes ressources qu’il utilise. L’IAM, pour Identity and Access Management, consiste à automatiser la gestion de ces comptes pour donner les bons accès, au bon moment, à la bonne personne. Cela prend en compte la gouvernance du cycle de vie de l’employé et sous-entend, par exemple qu’il ait accès à certaines ressources dès son arrivée. S’il évolue, s’il monte en grade, ses accès vont aussi évoluer avec lui. Enfin, lorsqu’il quitte l’entreprise, il faudra tous les révoquer. Pour cela, on définit un modèle de rôles qui, pour chaque métier, accordera tous les accès nécessaires pour travailler. Certains de ces rôles sont mutuellement exclusifs : on interdira par exemple à la même personne de pouvoir à la fois soumettre une demande et la valider. Aussi, avec des campagnes de certification, les accès sont périodiquement revalidés par les managers : il n’y a plus de comptes « dormants ». L’IAM prend également en compte la fédération des identités, qui permet par exemple d’ouvrir son système d’entreprise à des partenaires. Enfin, l’authentification renforcée (comme l’envoi d’un SMS ou la biométrie) et la gestion des comptes à privilèges (pour surveiller les actions des administrateurs) sont aussi du ressort de l’IAM. C’est un domaine mal connu et pourtant crucial en cybersécurité. Une stratégie d’IAM efficace, c’est un niveau de sécurité renforcé, l’assurance d’être en conformité avec les régulations existantes et aussi, une réduction des coûts, car tout est automatisé.

C’est pour ces raisons que tu as choisi de te spécialiser dans l’IAM ?

J’ai découvert l’IAM lors de mon stage de fin d’étude, ça m’a beaucoup plu et j’ai eu l’opportunité de rester. J’étais consultant IAM, métier que j’occupe toujours aujourd’hui.

En quoi consiste ton métier ?

Notre service est organisé en deux équipes, celle de Build et celle de Run. L’équipe Build conçoit l’architecture, définit le modèle de rôles, les processus métiers, établit la stratégie de migration, pour enfin intégrer la solution choisie par le client dans son infrastructure. L’équipe Run s’assure de la bonne exploitation de la solution créée par l’équipe Build : sa maintenance, les réponses aux incidents de sécurité, le développement des évolutions demandées par le client. J’ai commencé au Run. Aujourd’hui, je travaille au sein de l’équipe Build.

Qu’est-ce que tu aimes le plus dans ton métier ?

L’IAM est une discipline très transverse. C’est une brique qui s’interface avec de nombreux types de systèmes. Il faut donc bien connaître tous ces systèmes pour pouvoir développer les connecteurs qui les relieront à l’IAM. Cela me permet de monter en compétences sur plusieurs sujets en même temps. Aussi, j’aime le fait d’avoir deux casquettes, l’une technique (développement, analyse de logs…) et l’autre fonctionnelle (conseil, formation…).

Travailles-tu en équipe ?

Oui ! La taille dépend des projets. En général, nous travaillons à trois ou quatre sur un projet dont la durée évolue entre plusieurs mois et plusieurs années.

Si tu devais décrire la culture d’entreprise d’Orange Cyberdefense, que dirais-tu ?

L’atmosphère d’une petite entreprise règne même si nous sommes une grande structure. Les équipes sont très soudées, le management très humain. Nous sommes accompagnés et encadrés dans notre projet professionnel. Les équipes sont très jeunes, c’est aussi l’un des points forts qui m’a fait choisir Orange Cyberdefense.

Comment vois-tu les prochaines années de ta vie professionnelle ?

A court terme, j’aimerais poursuivre ma montée en compétences techniques. A plus long terme, j’envisage de devenir architecte sécurité.

Quels conseils donnerais-tu à quelqu’un qui souhaiterait travailler dans la cybersécurité ?

Je conseillerais d’être passionné et curieux. Aussi, avoir un bon relationnel, être capable de construire et d’entretenir une relation de confiance avec son client est essentiel.