Cybersécurité, une armée d’experts de tous horizons

La question n’est pas de savoir si vous allez subir une cyberattaque mais quand… C’est la petite phrase, presque un adage, qui circule dans le milieu de la cybersécurité. Les récentes attaques de systèmes d’information d’hôpitaux l’ont montré, la cybermenace se fait de plus en plus pressante. Les banques et les institutions financières ont toujours été des cibles de choix. « Historiquement, la menace était très orientée vers les clients, pour vider leurs comptes. Aujourd’hui, le risque cyber se concentre sur l’entreprise elle-même, avec la menace de divulgation d’informations internes, voire sensibles », explique Julien Berissi, responsable de la maîtrise d’ouvrage stratégique au sein du département de la sécurité des systèmes d’information du groupe Société Générale. Le groupe est engagé dans un vaste programme de trois ans de lutte contre la menace ransomware, ou rançongiciel, désignant des logiciels malveillants qui bloquent l’accès à des fichiers ou des ordinateurs et réclament le paiement d’une rançon pour les rendre à nouveau accessibles. « L’objectif est de prévoir comment reconstruire nos systèmes en cas de compromission et surtout de travailler sur la prévention, pour que cela n’arrive pas ! En tant que banque, nous sommes les tiers de confiance de nos clients, nous n’avons pas le droit à l’erreur », reprend Julien Périssi. Issu d’une formation en développement informatique, il a démarré sa carrière à la Société Générale, d’abord dans le développement et la gestion informatique, puis dans la sécurité.

Défis technologiques

Les profils techniques sont en première ligne dans ce domaine : développeurs, pentesters (qui mènent des tests d’intrusion dans les systèmes informatiques), spécialistes de la sécurité des systèmes… Pour les attirer, de nouvelles méthodes sont nécessaires, observe Philippe Trouchaud, associé chez PwC France et Maghreb, spécialiste du domaine. « Le cadre traditionnel des ressources humaines coïncide difficilement avec ce type de profils, explique-t-il. Ces personnes ne sont habituellement pas attirées par une marque employeur, elles ont besoin de défis technologiques et de mettre à jour leurs connaissances de manière constante. » Philippe Trouchaud souligne aussi que les entreprises doivent accorder du temps à ces informaticiens spécialisés pour qu’ils se forment au sein de communautés de passionnés. « Nous travaillons beaucoup pour rendre les missions attractives, en automatisant les tâches répétitives, en proposant de l’analyse et de la recherche aux salariés, témoigne Arnaud Tanguy, directeur de la sécurité groupe d’Axa. Ainsi, nous avons toujours réussi à recruter, y compris des profils rares, comme en datascience ou en attaque des systèmes. »

Mais pour protéger les systèmes d’information et les données critiques des entreprises, les informaticiens ne sont pas les seuls spécialistes sur les rangs. « La cybersécurité n’est pas qu’un sujet technique, elle fait appel à une connaissance des enjeux des systèmes financiers, des compétences en matière de continuité des opérations ou en ressources humaines », illustre Valérie Fasquelle, directrice des infrastructures, innovation et paiements à la Banque de France. L’institution coordonne le groupe de place Robustesse, qui rassemble les principaux établissements de crédit, les places de marché et l’Etat, pour réfléchir à la continuité opérationnelle des marchés en cas de crise de toute nature.

Formation interne

Des profils spécialisés dans ce domaine et des profils financiers travaillent notamment aux côtés des spécialistes des cyberattaques pour préparer des scénarios de simulation. BNP Paribas a mené en 2020 une étude sur les nouveaux métiers de l’informatique. Vingt-cinq spécialités devraient apparaître dans la cybersécurité. Le groupe se prépare à faire face à ses besoins actuels et futurs pour ces expertises. « Nous avons monté des partenariats avec des écoles pour former des salariés en interne aux métiers de la cybersécurité, en complément des recrutements externes. Nous ne recherchons pas exclusivement des mathématiciens ou des ingénieurs. Nous avons aussi besoin de personnes qui connaissent les processus de la banque et de profils généralistes », détaille Bernard Gavgani, responsable des systèmes d’information du groupe.

La cybersécurité implique un travail de sensibilisation, explique Benoît Grunenwald, expert cybersécurité chez l’éditeur de logiciels Eset. « Si les institutions financières sont plutôt bien protégées en interne, elles ne peuvent pas intervenir sur la protection du smartphone ou de l’ordinateur de leurs clients, observe-t-il. Il faut former l’utilisateur pour en faire un maillon fort de la cyber-protection. » L’éditeur fait partie d’un groupement d’intérêt public (GIP), cybermalveillance.gouv.fr, qui réunit l’Etat, des acteurs privés et différentes institutions financières, pour informer le grand public sur les risques de cybersécurité. Axa a rejoint le projet « Campus Cyber » pour travailler sur ce thème avec d’autres entreprises, des organismes de formation, des services de l’Etat, des chercheurs. Dans le domaine de la cybersécurité, la coopération est centrale. « Il est tout aussi important d’avoir des experts cyber dans tous les établissements de la place que de permettre leur mise en relation et leur éventuelle coordination », souligne Valérie Fasquelle. Un enjeu pour faire face à une menace internationale.