Consultant en sécurité chez Thales

Principales missions d’un consultant en sécurité chez Thales

Je suis consultant en sécurité des systèmes d’informations pour le groupe Thales et, dans cette entité, la partie ITS Sécurité Consulting, une entité spécialisée dans les audits en sécurité et le conseil en sécurité. C’est apporter au client notre expertise dans le domaine de la sécurité de façon à améliorer la sécurité de ses systèmes et de ses processus tout en maintenant un niveau d’usabilité de son système d’information.

Le « ethical hacking », c’est l’intrusion dans des systèmes à la demande du client. On va tenter de rentrer dans ses systèmes de façon à détecter les vulnérabilités de ses systèmes. Mes deux grandes missions sont, en premier lieu, la gestion de projets. Je vais encadrer un pool de consultants sur des projets spécifiques, gérer les interactions avec le client et coordonner ces consultants et cela, du lancement du projet jusqu’à en phase de livraison du projet.

Ma deuxième grande mission est la réalisation de missions de conseil en sécurité sur différents aspects, sur différents projets, que ce soit de façon nationale ou internationale.

Quotidien d’un consultant en sécurité chez Thales

Mes journées sont organisées suivant les projets. En ce moment, je travaille sur une architecture sécurisée pour l’un de nos clients et, l’un des objectifs dans le design d’une architecture sécurisée est d’identifier les besoins du client. Je vais rencontrer mon client, faire des interviews afin de voir ce dont les métiers ont besoin en termes d’accessibilité à l’information.

Un exemple de besoin qui pourrait être exprimé par l’un de mes clients, c’est avoir accès à un certain type d’informations, par exemple une base de clients, n’importe où dans le monde. Une fois ces besoins identifiés, on va étudier ce que fait le marché, donc l’état de l’art, en termes de solutions, puis proposer une solution. Par exemple, dans le cadre de la mobilité, d’un utilisateur qui se connecte à distance sur le système d’information du client, on va lui recommander de chiffrer son flux de données avec une technologie du type virtual priority network et avec cette surcouche de chiffrement.

Ma spécialité, c’est donc le hacking éthique, c’est la pénétration de systèmes, c’est prendre le contrôle d’un ordinateur et, derrière, en récupérer les données. Ça peut être prendre le contrôle d’un serveur, plus généralement d’un réseau et donc accéder aux données sur ces systèmes et ces réseaux.

On va avoir deux types de tests : un test de type White Box où on va vraiment avoir l’ensemble des détails du système, donc on va être très proche des développeurs du système. Par contre, dans un test de type Boîte Noire, on va avoir très peu d’informations et là, on va vraiment être dans le rôle du pirate, on va tenter de rentrer dans les systèmes avec ce type de connaissances. Une fois les vulnérabilités identifiées, on va faire un rapport à notre client en lui montrant les vulnérabilités que l’on a pu découvrir, la façon dont nous avons pu les découvrir et lui donner des voies d’exploration pour corriger ces vulnérabilités.

Avantages du métier de consultant en sécurité

Pourquoi j’ai choisi ce métier ? C’est pour une raison simple, c’est que je suis quelqu’un d’assez curieux et j’aime aller au fond des choses et la sécurité est un monde qui est extrêmement vaste donc on en finira jamais de creuser les couches.

Ce que je préfère dans mon métier à l’heure actuelle, c’est le changement d’environnement. Je travaille sur des environnements très différents, des missions très différentes et donc je vois beaucoup de choses au sein des projets. J’ai pu travailler sur de la sécurité urbaine et, à l’inverse, sur de la sécurité bancaire.

On voyage aussi avec ce métier puisque cette entité est la seule entité de ce type pour tout Thales, donc on est amené à travailler sur des projets en Arabie Saoudite, au Mexique, en Angleterre, j’ai travaillé pendant plusieurs années en Angleterre, en Allemagne, un peu partout dans le monde.

On est rarement sur des projets du début à la fin. C'est-à-dire que, typiquement dans la construction d’un système tel que la sécurité d’une ville, on ne traitera pas le sujet du début à la fin, on interviendra sur une partie de ce projet-là, je dirais que c’est l’un des inconvénients de ce métier.

Le second, qui peut être vu comme un inconvénient mais qui ne l’est pas forcément, tout dépend de la personnalité de chacun, c’est la confidentialité inhérente à notre métier puisque l’on traite des informations relativement sensibles que ce soit pour nos clients du privé comme du public.

Pourquoi choisir Thales

Thales, aujourd’hui, c’est le leader mondial dans les systèmes d’information critiques. Travailler pour Thales, ça veut dire travailler sur des sujets très variés. On va travailler aussi sur des systèmes satellites, sur des systèmes aéroportés, sur du transport, sur du militaire, c’est la branche la plus connue de Thales même si ce n’est pas forcément la seule chose que fait Thales. Cette diversité de projets, cette pépinière de projets, m’a beaucoup attiré chez Thales puisque, dans la sécurité, nous sommes amenés à travailler de manière transverse sur l’ensemble de ces projets. C’est vraiment être à la pointe de la technologie et aussi dans le progrès. C’est un peu travailler sur les produits de demain, sur notre vie de demain et je trouve ça très excitant au jour le jour.

Thales a aussi l’avantage de travailler à la pointe de la technologie, ce qui, pour un ingénieur, est quelque chose de très excitant. Travailler sur la sécurité d’un système de satellite, par exemple, est forcément quelque chose de très intéressant et que l’on ne trouvera pas ailleurs.

Personnalité requise pour être consultant en sécurité

Je pense qu’il faut surtout être très curieux. La curiosité, dans la sécurité, c’est extrêmement important puisqu’il faut vraiment aller chercher comment fonctionnent les choses, pourquoi elles fonctionnent comme ça et puis, derrière, qu’est-ce qui ne pourrait pas marcher.

Deux autres qualités à avoir pour ce métier, la première est la discrétion, on ne va pas étaler tout ce qu’on fait devant tout le monde. Dans ce domaine, on ne doit pas discuter avec tout un chacun de ce que l’on va trouver chez nos clients, puisque ce sont des données et des informations critiques. La seconde, c’est être humble. Être humble dans ce métier, je pense que c’est l’un des éléments qui permet de beaucoup progresser. Les meilleurs consultants en sécurité que je connaisse sont des gens très humbles.

Perspectives de carrière d’un consultant en sécurité chez Thales

Thales propose deux voies d’évolution, qui peuvent se rejoindre à certains moments clés. Ce sont la voie d’expertise, qui est une voie qui va nous permettre vraiment de nous spécialiser dans un domaine. En sécurité des systèmes d’information, ça va par exemple, être un spécialiste dans la sécurité des transactions bancaires. Il faut savoir qu’aujourd’hui, 70 % du trafic bancaire mondial passe par un équipement Thales à un moment donné. L’un des soucis majeurs de Thales est de s’assurer de la sécurité de ces équipements et devenir un spécialiste dans ce domaine pourrait être une voie.

Il y a la voie du management. On va d’abord être un peu comme moi, typiquement, avec de la réalisation, et puis, petit à petit, on va délaisser cette partie de réalisation pour être plus dans la gestion des projets, dans l’avant-vente aussi et dans le pilotage des projets.

Je pourrais très bien, demain, décider d’aller travailler dans une autre entité de Thales et piloter un autre type de projet.

Dans le passé, j’ai par moi-même pu évoluer à l’international puisque j’ai été basé en Angleterre pendant plusieurs années. Il y a différents types de contrat au sein de Thales qui permettent de faire ça. Il y a le contrat qu’on appelle Career1st, qui est un package avec certains avantages pour aller travailler à l’étranger.