Consultant Sécurité et Risk Management chez Solucom

Principales missions d’un consultant en sécurité et risk management chez Solucom

C’st quelque chose qui est assez challengeur parce que, justement, on doit conseiller des clients et ça veut dire aussi monter en compétence très vite sur les sujets. Je suis consultant en sécurité au sein du cabinet Solucom depuis 4 ans maintenant. 

Cette activité va consister à s’occuper de l’ensemble des problématiques de sécurité que peuvent avoir nos clients sur les systèmes d’information. On va avoir, pour parler des problématiques récentes, des questions autour de la sécurité de la virtualisation, des réseaux sociaux, des smartphones. Au niveau des technologies qu’on peut aborder, c’est très vaste puisque ça couvre l’ensemble du système d’information. 

Il y a deux manières d’approcher les choses, soit on va réfléchir en amont avec notre client pour qu’il mette en place une situation sécurisée à la base, ce qui va constituer la majorité des missions de conseil, et parfois on va intervenir lorsque le client a déjà mis en place sa solution ou son organisation et, avec un audit, on va venir contrôler le niveau de sécurité qu’il a réussi à atteindre sur ce périmètre.

« Qu’est-ce qu’on fait au -2 ? »

Les sites de banque en ligne sont un très bon exemple puisqu’il y a un enjeu de sécurité qui est très fort. Ça va être de savoir si, dans tous les champs de saisie, quand on tape son code, quand on tape le nom d’un bénéficiaire pour un virement, si en mettant des caractères spécialement conçus, on va pouvoir faire faire au site des actions qui sont complètement non voulues par les développeurs.

Quotidien d’un consultant en sécurité et risk management chez Solucom

On est souvent amené à se déplacer parce qu’on a besoin de rencontrer des gens ou de faire les tests techniques de manière proche. Dans ce genre de mission, on va passer une semaine souvent pour finalement étudier de fond en comble cette structure, que ce soit en terme technique : est-ce qu’ils sons bons techniquement, est-ce qu’ils ont des antivirus, des niveaux de patches de sécurité suffisants ?, et également comment ils gèrent la sécurité parce que la sécurité n’est pas que technique, c’est aussi un ensemble d’organisations et de procédures, donc là, ça va être d’interviewer le responsable de la sécurité des systèmes d’information ou d’autres personnes qui, finalement, contribuent au niveau de sécurité de l’entreprise et de leur demander ce qu’elles ont dans leurs obligations, comment elles gèrent tel ou tel point de la sécurité. 

« - Là, on est dans les constats. On fait un audit, c’est des constats.

- Et donc là, du coup, au niveau des constats, ça se passe bien sur cet audit ?

- Oui, très bien.

- Vous en êtes où ?

- On a bientôt fini. »

Lorsque l’on travaille sur une mission, on a rencontré ensemble le client, on lui a posé des questions, on a réalisé des tests techniques et donc on a fait une première version du rapport. Maintenant on va échanger dessus, on va regarder l’ensemble des points qui ne vont pas, les améliorer jusqu’à ce que l’on puisse rendre le livrable au client.

« C’est dans la synthèse. On a ces deux parties-là qui sont très importantes mais, ce qui serait intéressant je pense, c’est de faire apparaître davantage les risques auxquels sont exposés nos clients. »

Dans les fonctions du consultant et d’une société de conseil, ça va souvent être d’appeler le client pour faire des points réguliers, soit sur le suivi de la mission, soit pour prendre les prochains rendez-vous.

« On va valider de toute manière le staffing lundi matin, donc on verra ça à ce moment-là au plus tard. »

En fin de mission, très souvent, on a une restitution à faire au client. On y arrive avec quelques diapositives pour présenter l’ensemble de la mission, ce que l’on a vu, ce que l’on a constaté et puis, après, ce que l’on préconise en matière de sécurité pour augmenter le niveau de sécurité ou pour mettre en place une solution sécurisée. Là, ce qui est intéressant, c’est qu’il y a vraiment une diversité des personnes côté client qui peuvent être invitées. 

On va d’abord présenter la technologie, pourquoi la virtualisation est en plein essor et on va dérouler notre travail de recherche et d’investigation sur les risques liés et on va lui présenter un ensemble de mesures ou son niveau d’exposition aux risques s’il utilise tel ou tel technologie.

On a parfois le directeur général qui est là et si on lui parle d’injection SQL et autres choses très techniques, il ne va pas comprendre, il va s’ennuyer. Donc c’est vraiment quelque chose qui est important, c’est adapter le message et le discours aux personnes qui sont présentes lors des restitutions.

Avantages du métier de consultant en sécurité et risk management

Ce qui me plaît dans ce métier, dans un premier point, c’est la diversité des interlocuteurs qu’on va avoir, que ce soit en interne, parce qu’on va travailler avec différents consultants, différents chefs de projet ; la diversité des interlocuteurs côté client puisqu’on travaille avec plein d’entreprises différentes, depuis quatre ans, j’ai dû travailler pour 30 ou 35 clients différents ; et la diversité des sujets qu’on va aborder, ça peut être des problématiques très techniques, des problématiques très organisationnelles.

Ce qui me motive pour me lever le matin, ce qui me motive à revenir la semaine d’après, ça va être vraiment de continuer à apprendre, à découvrir de nouvelles problématiques, que ce soit techniques, organisationnelles ou autre, tous les jours ou presque. C’est l’idée.

Quand on sort de l’école, il reste encore beaucoup à apprendre, mais, maintenant, le consultant n’est pas lâché seul devant le client, il est toujours accompagné de son chef de projet qui est là depuis plus longtemps et qui, lui, maîtrise les problématiques sur lesquelles on lui demande de travailler. 

En termes de contraintes, c’est plus finalement une qualité importante qui va être nécessaire, c’est la facilité d’adaptation sur les mêmes thèmes que précédemment, c’est savoir travailler en interne avec différents consultants, différents chefs de projet. Certains chefs de projet vont préférer être informés toutes les heures, d’autres toutes les semaines, il faut trouver la manière de travailler avec eux.

Il faut une facilité d’adaptation au nouveau contexte parce que sur une mission qui dure 15 jours, si on met 20 jours à s’adapter, il y a un problème.

Une mission de conseil, c’est une part non négligeable de temps passé à rédiger des livrables, des documents, des documents de synthèse, des présentations PowerPoint, c’est quelque chose qu’il faut être prêt à vouloir faire volontiers.

Pourquoi choisir Solucom

Je me plais à Solucom et je trouve que Solucom est une bonne entreprise, surtout pour des jeunes diplômés quand on commence le métier, et même après, parce que justement Solucom, bien que ce soit une entreprise jeune, a accès à des projets très importants et donc ça peut être l’intérêt de traiter des problématiques qui concernent des entreprises parmi les plus grandes entreprises françaises et, de ce fait-là, lorsque l’on parle d’un projet de migration, c’est pas 10 postes, ça peut être 100 000 postes. 

L’esprit Solucom, pour moi, c’est assez proche de la camaraderie dans le sens où l’on travaille vraiment de manière proche avec nos collègues et puis même, finalement, que ce soit les responsables de département, le tutoiement est de rigueur, ils sont jeunes aussi, ils restent sur des missions opérationnelles dont c’est vraiment une proximité avec tout le monde dans l’entreprise que ce soit stagiaires, consultants, seniors, managers de département et finalement toute la population de l’entreprise.

Personnalité requise pour être consultant en sécurité et risk management

La personne idéale, ça va être quelqu’un de dynamique, qui a un bon relationnel parce qu’on est toujours en contact avec le client, que ce soit à l’oral, en direct, au téléphone et puis également dans les écrits que l’on peut avoir le client. 

Ça va être quelqu’un qui rentre très vite sur les nouvelles problématiques parce que l’on a des missions qui sont parfois courtes et il faut vraiment être efficace tout de suite. Il faut savoir apprendre rapidement et s’adapter à de nouveaux contextes, aux équipes en interne, aux équipes chez le client. Il faut également une facilité d’apprentissage sur les nouvelles technologies puisque ça reste un milieu qui évolue très vite.

Perspectives de carrière d’un consultant en sécurité et risk management chez Solucom

Un consultant au sein de Solucom va rentrer consultant plutôt junior et, au fur et à mesure de son apprentissage, il va pouvoir passer chef de projet, donc sur de l’encadrement de mission.

Il y a d’autres éléments qui peuvent être l’encadrement d’équipe, ça peut être en tant que responsable de petite structure, ça peut également être en tant que responsable de département et, un peu plus loin dans l’encadrement, ça peut être tout simplement en tant que directeur de practice ou plus largement d’un cabinet.

D’autres évolutions possibles sont notamment de changer de changer de practice. Moi, je travaille dans le practice Sécurité mais ça peut être de passer dans la practice Télécoms ou Architecture logiciels et ça peut être également de changer de typologie de métier en étant ingénieur d’affaires avec qui on travaille souvent.