Select your country

Not finding what you are looking for, select your country from our regional selector:

Rechercher

Une histoire de talents - Aïcha Mir, Consultante et manager - Conseil & Audit

Tout au long du mois de la cybersécurité, nous vous présentons nos experts, ils vous parleront de ce qui les passionnent, de leurs expertises et comment ils contribuent à rendre la société numérique plus sûre.  

Passionnée par l’informatique et l’accompagnement de clients, Aïcha Mir, consultante et manager conseil et audit nous raconte son quotidien avec nos clients sur leurs projets liés à la cybersécurité.

Quel est votre métier ?

Je suis consultante dans l’unité Conseil et Audit, dans des missions d’accompagnement auprès des clients. Conseil, cela veut dire concrètement : de l’analyse de risques, de l’audit par rapport aux référentiels de conformité, des études préalables à la mise en place de projets, de services ou des choix de solutions technologiques et de stratégies de sécurité.

Nos clients sont très variés : petites mairies, grosses sociétés du CAC 40, grands groupes industriels, banques….

Notre mission mélange des aspects techniques, organisationnels, règlementaires.

L’objectif, c’est anticiper le risque, « anticipation avoids datastrophes ». Votre mission auprès des clients commence donc par ce que l’on appelle un diagnostic ?

Tout à fait ! On parle de diagnostic ou d’audit. On commence par-là : nous faisons connaissance avec le client et nous avons besoin de savoir ce qui est fait, ce qui n’est pas fait, quels sont les manquements et vers ou il veut et/ou doit aller.

Vous avez parlé de clients de taille très différente et dans des secteurs très variés. Est-ce là votre principal défi : vous adapter à la typologie du client ?

Oui, l’une des principales qualités nécessaires, c’est cette capacité à s’adapter au contexte du client, à sa taille, à ses contraintes, à ses besoins, à ses budgets. Je dis souvent que nous sommes un peu les psys de nos clients. Ils nous parlent de leurs problématiques, et nous, nous devons les cerner, les traduire, y répondre. Nous essayons d’analyser au plus près, d’écouter. L’écoute est primordiale. Nous faisons du sur-mesure.

Nous avons quelques services « packagés » : comme par exemple certaines opérations de sensibilisation, mais sécuriser un système d’information, c’est de l’analyse fine et des réponses adaptées.

Il y a par ailleurs un degré de conscience et de préparation différent selon le profil du client ?

Oui, on appelle cela le « niveau de maturité » Certains secteurs sont plus en retard que d’autres, l’industrie par exemple. Secteur pourtant très ciblé mais qui vient de loin. Même si la règlementation a beaucoup évolué dernièrement, avec le RGPD (Règlement -européen- général de protection des donnée), la Loi de programmation militaire, et cela a permis de rattraper le retard accumulé pendant des années. La numérisation et la digitalisation de tous les services, dans tous les secteurs, ont rendu cette mise en conformité incontournables.

Vous parlez d’accompagnement de votre client. Quelles sont les étapes qui suivent celle du diagnostic ?

Nous menons différents types de mission. Cela commence toujours par le diagnostic. Quelles sont les faiblesses ? Mots de passe faibles/absence de MFA (authentification forte) ? Gestion des accès à distance ? Ouvertures du SI non connues ? Mises à jour non effectuées ?

Absence de maturité des effectifs ? A partir de là, nous proposons un plan d’action, qui peut être repris par leurs équipes internes s’ils en ont la capacité, mais c’est rare. Nous restons donc en renfort pour mettre en place ce plan, selon un calendrier que nous mettons en place, avec des priorités. Et nous pouvons alors faire intervenir plusieurs services d’Orange Cyberdefense. Par exemple, pour ce qui est de la maturité, nous proposons plusieurs modules qui vont de la sensibilisation simple à des formations, intra ou inter-entreprises. Nous sommes centre de formation agréé.

Si l’on parle de sécurité et de maturité numérique aujourd’hui, tous secteurs confondus, quels sont les principaux points de blocage des entreprises aujourd’hui ?

Je dirais que le problème majeur est celui de l’identification des risques. Souvent, on applique les standards sans prendre le recul par rapport à nos données propres et nos risques réels. Le RGPD a beaucoup aidé à faire enfin une cartographie des risques. On doit se poser la question sur ses données : qu’est-ce qui a de la valeur ? Qu’est-ce qui n’en a pas ? Qu’est-ce que l’on doit protéger et par quels moyens ? C’est l’essentiel. L’analyse de risque doit dépasser la simple conformité, et regarder attentivement le paysage de la menace par rapport à son activité.

Nous parlions de maturité. Dans le contexte géopolitique actuel, avec les nouvelles règlementations et avec la médiatisation du cyber-risque, est-ce que l’on assiste à une prise de conscience accélérée ?

Oui, on fait de plus en plus appel à nous. Les grands groupes bien sûr, mais aussi de plus en plus de moyennes et petites entreprises. Toute entreprise est à risque aujourd’hui.

Vous avez le sentiment de mener une course contre la montre ?

Oui, les attaques sont de plus en plus nombreuses mais surtout de plus en plus complexes, sophistiquées. La filière des attaquants s’organise, se professionnalise. Plus les SI (systèmes d’information) se complexifient, plus les attaques se complexifient.

Vous évoluez dans un monde professionnel très majoritairement masculin. Ces métiers liés au numérique et à la cyber-sécurité commencent tout juste à s’ouvrir aux femmes. Quel est votre regard sur la mixité ?

Lorsque j’ai commencé à travailler il y a douze ans, il y avait très très peu de femmes. J’ai démarré dans une équipe où il n’y avait que des mecs ! Ce n’était pas forcément simple d’être la seule fille, même si mes collègues étaient très bienveillants, j’ai eu de la chance. Dans les services techniques, c’était encore pire, certains faisaient des gros yeux quand ils me voyaient arriver. Mais cela évolue maintenant. On en parle de plus en plus aux petites filles, dans les collèges, dans les grandes écoles. Et puis il existe de plus en plus de femmes auxquelles on peut s’identifier. Si mon témoignage peut servir à encourager les filles…

Quelles qualités particulières requiert votre métier ?

Une grande capacité d’écoute, la polyvalence, et une grande volonté ! Encore plus quand on est une femme…

Et quelles sont les principales difficultés, les plus gros défis à surmonter ?

S’adapter à des évolutions constantes : les menaces, les attaques, les systèmes d’information, les évolutions technologiques… Il faut se mettre à jour tout le temps, si on prend du retard, on est mort. C’est très décevant d’arriver en remédiation, quand il est trop tard. Il faut toujours garder un coup d’avance. Quand on peut !

Réponse à incident

Vous faites face à une cyber attaque ?

24/7/365 nos experts vous accompagnent réponse à incident.

CSIRT