L’ampleur et la complexité des cybermenaces ont fortement évolué avec le développement des technologies, des usages numériques et des réglementations. Les cyberattaques, désormais plus sophistiquées et ciblées, exploitent de nouvelles vulnérabilités "zero-day" et tirent parti de l’imprévisibilité du facteur humain, souvent perçu comme la première faille de sécurité.

Les audits et contrôles, qui étaient auparavant des photographies figées dans le temps, ne suffisent plus face à la rapidité de l’évolution des menaces.

La sécurité doit aujourd’hui être pensée de manière dynamique, avec une analyse continue des menaces et une vigilance proactive.

Le profil d’un ingénieur en cybersécurité moderne se distingue par une combinaison d’expertise technique et de compétences analytiques approfondies. En premier lieu, il doit maîtriser les technologies complexes de sécurité et de cryptographie ainsi que les infrastructures de réseaux et systèmes d’information. Cette base technique lui permet non seulement de repérer et de résoudre les failles de sécurité dans des environnements numériques complexes, mais également d’anticiper les risques technologiques émergents. Il s'agit d'un expert capable de naviguer dans des environnements techniques changeants, adaptant constamment ses pratiques aux nouvelles menaces et aux innovations.
 
Au-delà de l’aspect technique, l’ingénieur en cybersécurité doit également comprendre les dynamiques géopolitiques et les motivations stratégiques des cybermenaces internationales. Son rôle dépasse celui de simple analyste de sécurité : il doit savoir interpréter les intentions des acteurs étatiques et criminels dans le cyberespace, des motivations géopolitiques aux impacts sur les chaînes logistiques mondiales. Cette capacité d’analyse s’accompagne d’une réflexion stratégique qui prend en compte l’environnement international, ainsi que les implications juridiques et réglementaires propres au domaine de la cybersécurité, comme les directives de l’ANSSI en France ou le RGPD en Europe.
 
Enfin, un ingénieur en cybersécurité efficace doit posséder des qualités humaines et relationnelles essentielles, car il interagit avec divers acteurs de l’entreprise, de la direction générale aux utilisateurs finaux. En plus de sensibiliser aux bonnes pratiques de sécurité, il sait travailler en équipe et communiquer avec des profils variés, traduisant les exigences techniques en termes accessibles. Cette capacité d’interaction est cruciale pour intégrer la sécurité dans la culture organisationnelle et assurer une défense collective face aux cybermenaces, une responsabilité qui lui confère un rôle de guide et de formateur.
 
Des ingénieures au féminin
 
La féminisation des métiers de la cybersécurité progresse lentement mais sûrement, portée par des initiatives qui valorisent la place des femmes dans ce domaine stratégique. En France, le Cercle des Femmes de la CyberSécurité (CEFCYS) joue un rôle important en donnant de la visibilité aux parcours féminins et en cassant les stéréotypes associés aux métiers techniques. Grâce à des événements, des réseaux de mentorat et des actions de sensibilisation, le CEFCYS encourage de plus en plus de jeunes femmes à envisager une carrière en cybersécurité. Cette dynamique contribue à transformer l’image de ces métiers techniques, enrichie la diversité des discours, des sensibilités et des approches.

 

L’audit de sécurité nécessitent une approche globale, qui va bien au-delà de la simple détection des vulnérabilités techniques. Les cyberattaquants ciblent souvent les sous-traitants, considérés comme des maillons plus faibles car ils n'ont pas toujours les moyens suffisants ou la vision bout-en-bout, pour introduire des failles dans les systèmes principaux. En réponse, la cyberdéfense française renforce la collaboration avec les entreprises pour prévenir ces risques tout au long de la chaîne logistiques.

Pour garantir une analyse impartiale des risques, les entreprises doivent séparer les fonctions de gestion des risques et des systèmes d'information. Le recours à des auditeurs externes est souvent recommandé, surtout dans les petites structures, où les ressources internes sont limitées. Cette indépendance est essentielle pour établir un diagnostic fiable des vulnérabilités et proposer des stratégies de défense adaptées.

L’ingénieur en cybersécurité, véritable stratège, est un pilier de la sécurité des organisations dans le monde numérique actuel. En intégrant des compétences multidisciplinaires, il assure une défense proactive et contribue à la résilience des entreprises. Les menaces évoluant en permanence, il est crucial pour les ingénieurs en cybersécurité de s'adapter rapidement et de travailler en étroite collaboration avec tous les acteurs de la sécurité informatique. Pour aller plus loin dans la compréhension des enjeux de cybersécurité, des ressources telles que l’Agence Nationale de la Sécurité des Systèmes d'Information (l'ANSSI) offrent des perspectives essentielles sur les meilleures pratiques en matière de sécurité informatique.
 
À l’horizon 2030, les métiers de la cybersécurité en France devraient donc être marqués par une demande accrue de spécialistes et une diversification des compétences. Ils devront aussi faire face à des cybermenaces de plus en plus complexes, le secteur de la cybersécurité devrait non seulement se renforcer en effectifs, mais aussi développer des spécialisations pointues, notamment en intelligence artificielle appliquée à la sécurité, en cyberdéfense offensive et en protection des infrastructures critiques. En raison de l’importance stratégique des infrastructures sensibles (énergie, transport, santé), des experts en cybersécurité industrielle seront particulièrement recherchés pour anticiper et contrer des menaces sophistiquées qui évoluent rapidement.
 
Enfin, la coopération public-privé sera primordiale pour répondre efficacement aux cyberattaques. Les entreprises, les collectivités et les organismes publics, notamment l’ANSSI, renforceront leurs partenariats pour partager les informations en temps réel et pour développer une infrastructure de cyberdéfense nationale solide. De plus, des normes de cybersécurité seront imposées dans les entreprises à travers les cyberassurances.

DT : Le mois d’octobre, dédié depuis plusieurs années à la cybersécurité, a été particulièrement intense pour moi, bien que mes activités soient restées « discrètes ». En effet, en transition professionnelle vers le secteur privé depuis mon départ du ministère des Armées le 1er septembre, je n’ai, logiquement, pas eu l’occasion d’intervenir publiquement en tant que directeur des systèmes d’information ou de la cybersécurité comme je le faisais auparavant lors de tables rondes. Toutefois, j’ai pu participer à plusieurs événements consacrés à la cyber et à un projet de podcast qui sera diffusé très prochainement afin de partager mon expérience.
J’ai consacré une partie de mon temps à renforcer mon réseau dans le secteur de la cybersécurité. Ces rencontres régulières avec des acteurs clés du domaine me permettent de me tenir informée des dernières avancées et de « rester dans le coup ».
 
Ce mois de transition a également été l’occasion de poser les nouvelles bases de mon activité professionnelle dans le domaine du conseil en cybersécurité mais aussi de la formation et du partage d’expérience..

DT : Lorsqu’on aborde la question du profil type de l’ingénieur aujourd’hui, notamment dans un domaine aussi complexe que la cybersécurité, il est clair pour moi que la vision « traditionnelle » de l’ingénieur – focalisé presque exclusivement sur la technologie – est désormais insuffisante. Le monde évolue vers des défis qui exigent une vision bien plus large et intégrée, et cela se reflète dans les compétences que doivent acquérir les ingénieurs « modernes ».
 

• Il doit pouvoir articuler des compétences technologiques avec des connaissances géopolitiques, juridiques, normatives et humaines. En effet, la technologie est un pilier essentiel, mais elle ne suffit plus pour appréhender pleinement les enjeux actuels.
• Un ingénieur doit aujourd’hui comprendre les rapports de force mondiaux et les motivations des acteurs qui se disputent le cyberespace. La cybersécurité, par exemple, se joue souvent dans un contexte international où la compréhension des stratégies des États et des grandes entreprises est cruciale.
• Dans un espace où les frontières sont parfois floues, la connaissance des réglementations et du droit appliqué au cyberespace est essentielle. Un ingénieur moderne doit comprendre ce cadre pour garantir la conformité de ses actions et la sécurité des systèmes.
• L’ingénieur doit être conscient de l’impact de ses actions sur les autres, organisations ou individus. Dans un domaine où les risques pour la vie privée et la sécurité personnelle sont élevés, cette dimension humaine est indispensable pour anticiper et gérer les conséquences des usages numériques.
• La cybersécurité, comme beaucoup d’autres domaines techniques, repose sur une collaboration étroite entre experts de différentes spécialités. La capacité de travailler en équipe et de transmettre des informations complexes de manière claire et concise est devenue un atout majeur.

 

DT : Oui, les audits et les contrôles jouent un rôle central en cybersécurité. Ils sont des outils indispensables pour établir un état des lieux de la sécurité d'un système d'information, identifier les vulnérabilités, vérifier la conformité aux normes, sensibiliser les équipes aux enjeux et, enfin, mettre en place un plan d’action adapté. Cependant, je constate aussi que ces audits et contrôles, bien qu’essentiels, ont des limites qu’il est crucial de prendre en compte pour éviter une fausse impression de sécurité.
 
D’une part, les audits ne peuvent pas couvrir de façon exhaustive tous les risques. Les réglementations et les normes évoluent constamment, tout comme les technologies et les usages, et la vitesse de ces changements rend difficile la prévision de toutes les menaces potentielles. Par exemple, les attaquants exploitent des vulnérabilités dites "zero-day" – c’est-à-dire des failles non encore connues ou publiées au moment de l’audit – échappant ainsi à toute prévision.
 
Ensuite, le facteur humain est difficilement quantifiable, même si abordé dans périmètre des audits . Or, l’erreur humaine représente l’un des risques majeurs en matière de cybersécurité. Aucun audit ne peut garantir qu’un employé ne cliquera pas sur un lien malveillant ou ne commettra pas une erreur conduisant à une fuite d’information. Il est donc essentiel de compléter l’audit par des actions de sensibilisation régulières et adaptées aux comportements à risque.
 
De plus, les audits et contrôles offrent une image figée dans le temps . La cybersécurité doit évoluer au rythme des nouvelles menaces ; ainsi, un audit réalisé à un moment donné peut vite devenir obsolète. Afin de maintenir un niveau de sécurité élevé, il est recommandé d'effectuer ces évaluations de manière fréquente. Cela permet de s’assurer que les mesures de sécurité restent efficaces face aux évolutions rapides du paysage des cyber-menaces.
 
Enfin, l’objectivité des audits peut parfois poser problème s’ils sont exclusivement réalisés en interne et par des équipes rattachées à la direction des systèmes d’informations. Il faut éviter d’être trop « juge et partie ». Faire appel à des auditeurs externes est souvent une solution judicieuse pour garantir une évaluation impartiale du niveau de la sécurité.
 
Les audits et contrôles apportent beaucoup d’éléments mais ils ne répondent pas à tout et ne garantissent pas qu’une attaque ne pourra pas être réalisée avec succès. Ils ne sont qu’une partie d'une stratégie globale de gestion des risques, laquelle inclut aussi :
 

• Une veille technologique et une analyse continue des menaces, pour anticiper de nouvelles formes d’attaque.
• Des actions de sensibilisation régulières à l'intention des collaborateurs, afin qu’ils adoptent les bonnes pratiques de sécurité.
• Des tests d’intrusion réalisés par des équipes internes ou externes, voire sous la forme de « bug bounty ».
• La mise en place de dispositifs de sécurité dynamiques , tels que la surveillance des flux réseau, la détection d'intrusions et des procédures de réponse aux incidents.
• Le développement d'une culture de la sécurité au sein de l’entreprise, pour que chaque employé comprenne l’importance de la cybersécurité dans ses activités quotidiennes.

DT : La vision élargie des ingénieurs en cybersécurité se traduit concrètement dans la réalisation des audits et des contrôles de sécurité par une approche plus globale et plus contextuelle (quels sont les « événements redoutés » par les métiers). Cela Permet de rédiger des rapports plus complets et plus pertinents, les rapports de sécurité ne doivent pas se limiter aujourd’hui à une liste de vulnérabilités techniques, il faut intégrer aussi celles liées à l’humain, aux organisations et aux processus. Ils doivent prendre en compte les facteurs géopolitiques, juridiques et humains. Les recommandations formulées doivent être adaptées au contexte de l'entreprise et à ses objectifs stratégiques.

DT : C’est un sujet complexe qui concerne avant tout le secteur privé, et non l’Armée car l’État ne s’assure pas. Mais cela peut être inspirant dans la dynamique positive que cela induit.
 

• Audits préalables : Les assureurs, avant de proposer une couverture contre les cyber-risques, réalisent des audits pour évaluer le niveau de protection des systèmes d'information de l'entreprise. Cela permet de déterminer le niveau de risque et d'adapter les primes d'assurance en conséquence.
• Évolution des pratiques : Au début, certains assureurs ont accepté de couvrir les cyber-risques sans avoir une vision claire de l'impact potentiel et des coûts associés. Face à l'augmentation des cyberattaques et des demandes d'indemnisation, ils ont dû revoir leurs pratiques et mettre en place des audits plus rigoureux.
• Dilemme de l'assurance et du paiement des rançons : La question du paiement des rançons est un dilemme important pour les entreprises victimes de cyberattaques. Payer la rançon peut sembler être la solution la plus rapide pour récupérer ses données et préserver sa réputation, mais cela alimente le business des cybercriminels et encourage de nouvelles attaques. C’est donc à proscrire. Les assureurs ont un rôle pédagogique à jouer dans ce débat en incitant les entreprises à mettre en place des mesures de prévention et en les accompagnant dans la gestion des crises.

 
La question de l'objectivité des audits et de la nécessité d'une évaluation indépendante pour garantir la fiabilité des résultats est essentielle. C’est pourquoi il est essentiel de séparer la fonction DSI (Direction des Systèmes d'Information) de la fonction de gestion des risques et de la cybersécurité, afin d'éviter les conflits d'intérêts. Quand cela n’est pas possible, par exemple du fait de la taille réduite de l’organisme et du manque de spécialistes numérique / cyber, alors il faut mettre en place des processus sécurisant l’impartialité de l’auditeur et l’évaluation de ses performance, par exemple directement par le directeur général et non uniquement par le directeur des SI.

DT : Le mois d’octobre, dédié depuis plusieurs années à la cybersécurité, a été particulièrement intense pour moi, bien que mes activités soient restées « discrètes ». En effet, en transition professionnelle vers le secteur privé depuis mon départ du ministère des Armées le 1er septembre, je n’ai, logiquement, pas eu l’occasion d’intervenir publiquement en tant que directeur des systèmes d’information ou de la cybersécurité comme je le faisais auparavant lors de tables rondes. Toutefois, j’ai pu participer à plusieurs événements consacrés à la cyber et à un projet de podcast qui sera diffusé très prochainement afin de partager mon expérience.
J’ai consacré une partie de mon temps à renforcer mon réseau dans le secteur de la cybersécurité. Ces rencontres régulières avec des acteurs clés du domaine me permettent de me tenir informée des dernières avancées et de « rester dans le coup ».
 
Ce mois de transition a également été l’occasion de poser les nouvelles bases de mon activité professionnelle dans le domaine du conseil en cybersécurité mais aussi de la formation et du partage d’expérience..

DT : Lorsqu’on aborde la question du profil type de l’ingénieur aujourd’hui, notamment dans un domaine aussi complexe que la cybersécurité, il est clair pour moi que la vision « traditionnelle » de l’ingénieur – focalisé presque exclusivement sur la technologie – est désormais insuffisante. Le monde évolue vers des défis qui exigent une vision bien plus large et intégrée, et cela se reflète dans les compétences que doivent acquérir les ingénieurs « modernes ».
 

• Il doit pouvoir articuler des compétences technologiques avec des connaissances géopolitiques, juridiques, normatives et humaines. En effet, la technologie est un pilier essentiel, mais elle ne suffit plus pour appréhender pleinement les enjeux actuels.
• Un ingénieur doit aujourd’hui comprendre les rapports de force mondiaux et les motivations des acteurs qui se disputent le cyberespace. La cybersécurité, par exemple, se joue souvent dans un contexte international où la compréhension des stratégies des États et des grandes entreprises est cruciale.
• Dans un espace où les frontières sont parfois floues, la connaissance des réglementations et du droit appliqué au cyberespace est essentielle. Un ingénieur moderne doit comprendre ce cadre pour garantir la conformité de ses actions et la sécurité des systèmes.
• L’ingénieur doit être conscient de l’impact de ses actions sur les autres, organisations ou individus. Dans un domaine où les risques pour la vie privée et la sécurité personnelle sont élevés, cette dimension humaine est indispensable pour anticiper et gérer les conséquences des usages numériques.
• La cybersécurité, comme beaucoup d’autres domaines techniques, repose sur une collaboration étroite entre experts de différentes spécialités. La capacité de travailler en équipe et de transmettre des informations complexes de manière claire et concise est devenue un atout majeur.

 

DT : Oui, les audits et les contrôles jouent un rôle central en cybersécurité. Ils sont des outils indispensables pour établir un état des lieux de la sécurité d'un système d'information, identifier les vulnérabilités, vérifier la conformité aux normes, sensibiliser les équipes aux enjeux et, enfin, mettre en place un plan d’action adapté. Cependant, je constate aussi que ces audits et contrôles, bien qu’essentiels, ont des limites qu’il est crucial de prendre en compte pour éviter une fausse impression de sécurité.
 
D’une part, les audits ne peuvent pas couvrir de façon exhaustive tous les risques. Les réglementations et les normes évoluent constamment, tout comme les technologies et les usages, et la vitesse de ces changements rend difficile la prévision de toutes les menaces potentielles. Par exemple, les attaquants exploitent des vulnérabilités dites "zero-day" – c’est-à-dire des failles non encore connues ou publiées au moment de l’audit – échappant ainsi à toute prévision.
 
Ensuite, le facteur humain est difficilement quantifiable, même si abordé dans périmètre des audits . Or, l’erreur humaine représente l’un des risques majeurs en matière de cybersécurité. Aucun audit ne peut garantir qu’un employé ne cliquera pas sur un lien malveillant ou ne commettra pas une erreur conduisant à une fuite d’information. Il est donc essentiel de compléter l’audit par des actions de sensibilisation régulières et adaptées aux comportements à risque.
 
De plus, les audits et contrôles offrent une image figée dans le temps . La cybersécurité doit évoluer au rythme des nouvelles menaces ; ainsi, un audit réalisé à un moment donné peut vite devenir obsolète. Afin de maintenir un niveau de sécurité élevé, il est recommandé d'effectuer ces évaluations de manière fréquente. Cela permet de s’assurer que les mesures de sécurité restent efficaces face aux évolutions rapides du paysage des cyber-menaces.
 
Enfin, l’objectivité des audits peut parfois poser problème s’ils sont exclusivement réalisés en interne et par des équipes rattachées à la direction des systèmes d’informations. Il faut éviter d’être trop « juge et partie ». Faire appel à des auditeurs externes est souvent une solution judicieuse pour garantir une évaluation impartiale du niveau de la sécurité.
 
Les audits et contrôles apportent beaucoup d’éléments mais ils ne répondent pas à tout et ne garantissent pas qu’une attaque ne pourra pas être réalisée avec succès. Ils ne sont qu’une partie d'une stratégie globale de gestion des risques, laquelle inclut aussi :
 

• Une veille technologique et une analyse continue des menaces, pour anticiper de nouvelles formes d’attaque.
• Des actions de sensibilisation régulières à l'intention des collaborateurs, afin qu’ils adoptent les bonnes pratiques de sécurité.
• Des tests d’intrusion réalisés par des équipes internes ou externes, voire sous la forme de « bug bounty ».
• La mise en place de dispositifs de sécurité dynamiques , tels que la surveillance des flux réseau, la détection d'intrusions et des procédures de réponse aux incidents.
• Le développement d'une culture de la sécurité au sein de l’entreprise, pour que chaque employé comprenne l’importance de la cybersécurité dans ses activités quotidiennes.

DT : La vision élargie des ingénieurs en cybersécurité se traduit concrètement dans la réalisation des audits et des contrôles de sécurité par une approche plus globale et plus contextuelle (quels sont les « événements redoutés » par les métiers). Cela Permet de rédiger des rapports plus complets et plus pertinents, les rapports de sécurité ne doivent pas se limiter aujourd’hui à une liste de vulnérabilités techniques, il faut intégrer aussi celles liées à l’humain, aux organisations et aux processus. Ils doivent prendre en compte les facteurs géopolitiques, juridiques et humains. Les recommandations formulées doivent être adaptées au contexte de l'entreprise et à ses objectifs stratégiques.

DT : C’est un sujet complexe qui concerne avant tout le secteur privé, et non l’Armée car l’État ne s’assure pas. Mais cela peut être inspirant dans la dynamique positive que cela induit.
 

• Audits préalables : Les assureurs, avant de proposer une couverture contre les cyber-risques, réalisent des audits pour évaluer le niveau de protection des systèmes d'information de l'entreprise. Cela permet de déterminer le niveau de risque et d'adapter les primes d'assurance en conséquence.
• Évolution des pratiques : Au début, certains assureurs ont accepté de couvrir les cyber-risques sans avoir une vision claire de l'impact potentiel et des coûts associés. Face à l'augmentation des cyberattaques et des demandes d'indemnisation, ils ont dû revoir leurs pratiques et mettre en place des audits plus rigoureux.
• Dilemme de l'assurance et du paiement des rançons : La question du paiement des rançons est un dilemme important pour les entreprises victimes de cyberattaques. Payer la rançon peut sembler être la solution la plus rapide pour récupérer ses données et préserver sa réputation, mais cela alimente le business des cybercriminels et encourage de nouvelles attaques. C’est donc à proscrire. Les assureurs ont un rôle pédagogique à jouer dans ce débat en incitant les entreprises à mettre en place des mesures de prévention et en les accompagnant dans la gestion des crises.

 
La question de l'objectivité des audits et de la nécessité d'une évaluation indépendante pour garantir la fiabilité des résultats est essentielle. C’est pourquoi il est essentiel de séparer la fonction DSI (Direction des Systèmes d'Information) de la fonction de gestion des risques et de la cybersécurité, afin d'éviter les conflits d'intérêts. Quand cela n’est pas possible, par exemple du fait de la taille réduite de l’organisme et du manque de spécialistes numérique / cyber, alors il faut mettre en place des processus sécurisant l’impartialité de l’auditeur et l’évaluation de ses performance, par exemple directement par le directeur général et non uniquement par le directeur des SI.