Découvrez le métier de consultant sécurité, avec Dylan Sadoun


Passionné par les nouvelles technologies, Dylan Sadoun, consultant sécurité chez Orange Cyberdefense a naturellement suivi un cursus d’ingénieur en informatique avant de se spécialiser dans la cybersécurité. Son expertise technique, sa rigueur scientifique mais aussi son enthousiasme sont des atouts incontestables pour son équipe comme ses clients. Rencontre.

Après une classe préparatoire aux concours des grandes écoles d’ingénieurs, tu intègres l’IMT Atlantique. Que retiens-tu de ces deux formations ?

La classe préparatoire a été un choc car le niveau attendu est très haut. Les facilités ne suffisent pas, il faut énormément travailler. En tant qu’élèves, nous apprenons ainsi à rester modestes ou à l’être plus encore ainsi qu’à étudier de manière régulière et approfondie. Pour ce qui est des matières, je me suis concentré sur les sciences fondamentales : les mathématiques, la physique et aussi l’informatique. Elles permettent de développer raisonnement logique et rigueur scientifique.

Une fois le concours en poche, j’ai intégré l’IMT Atlantique. Ce qui m’a marqué, c’est le caractère international de la composition des classes : il y avait 55% d’étrangers. Mes cours à l’école d’ingénieur étaient moins intenses que ceux de la classe préparatoire. Ça a été l’occasion pour moi de m’émanciper, de découvrir ce qui me plaisait vraiment et de participer à des activités étudiantes.

Justement, tu as fait partie de deux projets associatifs : ResEl mais aussi un club de robotique. Peux-tu nous en dire plus sur chacune de ces activités ?

Le ResEl existe depuis presque trente ans. Cette association est le fournisseur d’accès à internet de tout le campus (en dehors des équipements de l’école). Elle est entièrement gérée par les élèves, qui se transmettent les connaissances d’année en année. Grâce à cette expérience, j’ai été formé à la technique comme l’administration système et réseau sous Linux et une belle collection de logiciels libres. Le club de robotique m’a fait découvrir la programmation en équipe, l’utilisation des bases de code et leur évolution. Ces deux expériences m’ont aussi appris à gérer des situations relationnelles difficiles, qui font partie du quotidien d’une association.

Tu as effectué un semestre d’échange à Montréal. Comment était-ce ?

Cette expérience m’a beaucoup plu. L’ambiance et le modèle d’enseignement sont très différents de la France : les élèves sont très libres et les professeurs ont à cœur d’offrir des bases solides en donnant des cours peut-être moins complexes qu’ici.

Les associations étudiantes sont aussi incroyables. Parmi les nombreux clubs de robotiques, l’un construisait une voiture à énergie solaire quand un autre assemblait un véhicule sous-marin.

Toujours à Montréal, tu as rejoint PolyHack. Tu nous racontes ?

PolyHack est l’association de cybersécurité de l’école. C’est grâce à elle que j’ai découvert ce domaine. Les plus anciens partageaient leurs savoirs avec les nouveaux, comme par exemple les failles de programmation les plus courantes ou les bases du hack. Nous avons participé à MontréHack, un concours de cybersécurité comme il en existe aussi en France. Ça m’a donné envie de continuer.

Qu’est-ce qui te plaît dans la cybersécurité ?

J’ai toujours été impressionné par le pouvoir, certes parfois fantasmé, que le secteur représente. Adolescent, je lisais des livres et des mangas d’anticipation technologique qui présentaient le monde numérique comme une seconde réalité. Les hackers y étaient présentés comme des personnes libres, souvent anarchistes et indépendantes de toute autorité.

Grâce à Polyhack, j’ai rencontré des experts dont je ne parvenais pas à saisir l’étendue de leurs connaissances. Ce haut niveau de compréhension m’a vraiment impressionné.

L’idée que tu te faisais de la cybersécurité à l’époque est-elle différente de ce que tu vis aujourd’hui ?

Je ne me rendais pas compte du travail titanesque que la cybersécurité représente et minimisais aussi fortement l’impact du facteur humain. En tant que consultants, nous nous retrouvons face à des personnes qui ont beaucoup de mal à changer leurs habitudes, bien que celles-ci soient dangereuses. La sensibilisation est primordiale dans la cyber, ce que je n’avais pas anticipé à l’époque.

Aussi, point plus positif, je me suis rendu compte de la transversalité du domaine. La cybersécurité se trouve à la croisée de chemins commerciaux, politiques, géopolitiques… On ne s’imagine pas tout ça quand on est gamin.

Durant tes études, tu as effectué plusieurs stages. Tu commences en tant qu’intégrateur et développeur web pour finir au sein d’une équipe conseil. Pourquoi être allé vers des postes de moins en moins techniques ?

J’ai en réalité l’impression que mon travail de consultant est plus technique que mes postes précédents. Nous mettons moins la main à la pâte, mais la compréhension des enjeux techniques reste bien présente. Le métier de consultant m’a aussi attiré par la diversité des tâches qu’il offre. Il me permet de développer d’autres compétences comme le relationnel et la communication, que nous n’apprenons pas vraiment à l’école.

En avril 2017, tu rejoins l’équipe Conseil et Audit d’Orange Cyberdefense en tant que consultant stagiaire. Peux-tu nous décrire tes missions de l’époque ?

Je travaillais sur le Règlement Général sur la Protection des Données (RGPD), qui, à l’époque, restait assez nouveau. Les informations sur le sujet n’affluaient pas comme aujourd’hui. Il a fallu étudier le Règlement, page après page, pour essayer de le comprendre. J’ai construit un outil pour nous aider en interne mais aussi pour apporter des réponses à nos clients, notamment sur les spécificités qui imposent aux entreprises de mener des analyses de risques. Ce stage m’a aussi permis de découvrir le terrain, car j’accompagnais des consultants seniors dans leurs missions.

En octobre 2017, tu es embauché par Orange Cyberdefense. Comment ton poste a-t-il évolué ?

J’ai d’abord réalisé des missions de cadrage : je me rendais chez nos clients pour faire un état des lieux de leur conformité au RGPD. Souvent, ils partaient de zéro. Il fallait alors les aider à prioriser les sujets les plus urgents. J’ai ensuite réalisé des analyses de risques pour Orange Business Services ainsi que pour des clients externes sur des sujets d’organisation ou d’architecture. Enfin, j’ai réalisé une étude sur le chiffrement en base de données.

A quoi ressemble ton quotidien aujourd’hui ?

Je réalise des analyses de risques pour Orange. Mon quotidien consiste à décrypter un grand volume de documentation, notamment sur l’architecture, et de conduire un certain nombre d’entretiens. J’essaye aussi de faire de la veille technologique tous les jours.

Travailles-tu en équipe ?

Je travaille seul, mais suis régulièrement en contact avec mes collègues, notamment sur des sujets que je ne maîtrise pas complètement.

Qu’aimes-tu le plus (et le moins) dans ton métier ?

Ce que j’apprécie le plus, c’est l’aspect transverse de mon métier. Je suis amené à rencontrer des gens de tout horizon : des managers, des techniciens, des avocats, des RH, des maîtres d’ouvrage… Et mon travail impacte toutes ces personnes. La cybersécurité peut-être une question de vie humaine : un système d’urgence qui ne se déclencherait pas aurait des conséquences catastrophiques par exemple. C’est en cela que nos métiers ont du sens. C’est aussi une profession où tout évolue très vite : ce qui est vrai une année peut devenir faux la suivante. Il faut donc réussir à comprendre la technique. Cela est très ancré dans la culture Orange Cyberdefense : les experts aiment la technique et en saisissent bien les enjeux.

Ce qui reste difficile, c’est, comme je le disais, la lente prise de conscience de certains. Parfois, les clients font aussi de la rétention d’informations, ce qui rend notre travail plus difficile et moins efficace. C’est le rôle du consultant d’instaurer un climat de confiance avec ses clients et ses interlocuteurs pour pouvoir les conseiller au mieux.

Si tu devais décrire la vie chez Orange Cyberdefense, que dirais-tu ?

Orange Cyberdefense jouit d’une forte expertise. Certains collègues ont participé à la réflexion de la méthode d’analyse de risques de référence EBIOS élaborée par l’ANSSI. En tant que junior, on ne peut pas imaginer mieux.

L’entreprise a aussi deux aspects : elle fonctionne à la fois comme une start-up, avec beaucoup de souplesse mais dépend aussi d’un grand groupe, ce qui peut ralentir certains procédés. La culture de l’équipe Conseil reste intéressante : notre dress code interdit la cravate. C’est une manière de nous dissocier des cabinets de conseil ainsi qu’un petit clin d’œil pour nous rappeler de mettre l’accent sur l’expertise et non sur l’image.

Tu t’intéresses beaucoup aux nouvelles technologies et à leurs impacts sur nos vies, notamment les conséquences de l’automatisation. Penses-tu que ton métier sera modifié par l’IA ?

Je ne suis pas sûr que l’IA touchera beaucoup le métier de consultant. C’est un peu comme pour les médecins, même si de nouveaux outils les aident dans leurs diagnostics, les patients voudront toujours parler à un être humain.

Pour nous aussi, le téléphone ou la visioconférence ne remplaceront jamais le présentiel. Parfois, nous arrivons chez les clients et nos premiers échanges prennent la forme de longues heures où ils exposent toutes leurs difficultés. C’est aussi notre travail de les écouter. Plus nos tâches seront automatisées, plus nous pourrons nous concentrer sur ces aspects humains.

Tu es particulièrement sensible à la tendance de l’OpenSource. Peux-tu nous en dire davantage ?

Je l’ai découverte avec l’association ResEl. Nous offrions internet et de nombreux services à plus de 800 étudiants sans dépenser un euro en licence logicielle. Ça m’a impressionné et fait réaliser que des milliers de personnes dans le monde entier effectuent un travail commun pour construire quelque chose de plus grand qu’eux, qu’ils ne pourraient pas réaliser de manière individuelle. L’OpenSource porte des valeurs de collaboration, de partage et de liberté. C’est vraiment beau. Dans la cybersécurité, il joue un rôle primordial, notamment grâce à la transparence qu’il apporte. Guillaume Poupard, directeur de l’ANSSI, l’a d’ailleurs récemment rappelé.

Comment vois-tu ton avenir ?

J’hésite encore entre plusieurs voies. A court ou moyen terme, j’aimerais acquérir de nouvelles connaissances techniques, notamment dans le développement. Sur le long terme, je souhaiterais acquérir un MBA. Je ne sais pas encore de quelle manière je poursuivrai ces buts, mais ce sont deux objectifs qui me tiennent à cœur. Ce qui est certain, c’est que je souhaite faire carrière dans les nouvelles technologies :  la cybersécurité devient tellement importante que je suis sûr de la retrouver quel que soit mon futur poste.

Quels conseils donnerais-tu à quelqu’un qui veut devenir consultant sécurité ?

Il faut vraiment s’intéresser à la sécurité, avoir un esprit qui y est sensible. Il ne suffit pas d’accumuler les connaissances, c’est une vraie gymnastique mentale qu’il faut acquérir pour dégager facilement les risques les plus importants.

Orange Cyberdefense Nantes recrute son équipe de consultants !

Si comme Dylan, vous souhaitez devenir consultant sécurité pour Orange Cyberdefense, envoyez votre candidature à cette adresse : recrutement.ocd@orange.com.

A propos du blogueur

Diplômé de l’IMT Atlantique, Dylan Sadoun est aujourd’hui consultant sécurité pour l’antenne rennaise d’Orange Cyberdefense. Il a travaillé sur le RGPD, le chiffrement en base de données ainsi que sur des sujets d’organisation et d’architecture.

Dylan, consultant en cybersécurité chez Orange Cyberdefense