22/10/2022
Actualité
Tous les chemins mènent à la cyber : de Responsable Com à Auditeur en cybersécurité
La cybersécurité : une filière qui recrute… et pourtant tous les professionnels du secteur vous le diront : recruter des talents en cybersécurité relève parfois du parcours du combattant . Alors comment susciter la vocation ? C’est le sens de cette mini-série d’interview. Avec « tous les chemins mènent à la cyber », nous allons partir à la découverte d’hommes et de femmes qui n’ont pas emprunté un chemin classique pour y arriver. Découvrez pour cette première interview le témoignage d’Alexis qui œuvrait il y a encore peu de temps dans le marketing et qui aujourd’hui a trouvé sa voie en tant qu’Auditeur en cybersécurité. Focus sur un parcours atypique.
Bonjour Alexis, tu as récemment intégré le pôle Audit et Conseil chez AMOSSYS en tant qu’Auditeur. Peux-tu nous en dire plus sur les missions que tu es amené à réaliser ?
Bonjour AMOSSYS ! En tant qu’Auditeur en cybersécurité, je suis amené à réaliser des missions d’audits auprès de différents types de clients. Chez AMOSSYS, ces missions prennent généralement différentes formes (revue de code, audits d’architectures, etc.), mais en ce qui me concerne, j’interviens pour le moment plus spécifiquement sur des tests d’intrusion : une discipline qui consiste à éprouver la sécurité d’applications et systèmes d’informations pour dénicher d’éventuelles vulnérabilités. C’est un domaine très technique, très concret : je pense que c’est ce qui me plait dans ce poste.
Qu’est-ce qui t’a donné envie de te diriger vers les métiers de la cybersécurité et plus particulièrement vers le métier de consultante ?
Je dirais que c’est arrivé naturellement au travers de mes différentes expériences avec, au démarrage, une prise de conscience de l’importance primordiale, dans le domaine de la santé, de la qualité et de l‘intégrité des données.
Garantir la sécurité des données, des informations et des échanges électroniques est en effet un must, particulièrement quand cela sert à prendre des décisions parfois vitales pour des patients ou à établir de futures orientations de traitement en santé. En ce sens, la cybersécurité représente simplement pour moi un nouvel angle de travail sur un engagement qui me motive depuis toujours : celui d’être au service de la santé des patients. Comment améliorer la vie des patients à l’hôpital ? Comment améliorer les traitements ? Comment s’assurer d’avoir des bases de données suffisamment solides pour réagir vite quand on a une pandémie sur une pathologie émergente qui touche tous les pays du monde ?
L’humain ayant toujours été au cœur de mes préoccupations, j’apprécie donc tout particulièrement la richesse des contacts dans le métier de consultant mais aussi la diversité des projets que l’on me confie et des contextes clients que je rencontre. Au-delà de ça, partager mon expérience et promouvoir les bonnes pratiques restent parmi mes motivations principales.
On me dit dans l’oreillette que tu n’as pas toujours été Auditeur en cybersécurité. Quel métier exerçais-tu avant de venir ? Peux-tu nous décrire quelles étaient tes missions ?
C’est vrai. Avant d’entreprendre cette reconversion, j’occupais le poste de Responsable Marketing et Communication digitale au sein d’une PME familiale composée de plusieurs entités et avec plusieurs activités : transport de personnes, agences de voyages, organisation de voyages d’affaires…
Et moi dans tout ça ? J’avais en charge la création de contenus pour chacune des entités, la gestion des projets web, l’animation des sites internet et le suivi des campagnes de communication. Un poste central certes, mais finalement très transverse, qui réclamait une grande créativité, de la disponibilité et un sens aigu de la communication.
Qu’est-ce qui t’a donné envie de te diriger vers les métiers de la cybersécurité et plus particulièrement vers celui d’auditeur ?
Cette envie est surtout partie du fait de ne pas me sentir à ma place, de ne pas me reconnaître dans les qualités exigées pour le poste que j’occupais. Progressivement, j’ai acquis la conviction que ce type de poste n’était pas fait pour moi et qu’il fallait que je fasse autre chose, plus en accord avec ma personnalité et mes envies.
En parallèle, la crise du Covid-19 m’a permis de prendre conscience des enjeux primordiaux de la cybersécurité dans notre société. Notamment lorsque de nombreuses attaques informatiques ont touché les hôpitaux, déjà fortement ébranlés par l’arrivée massive de malades. La mise en lumière de ces problématiques m’a donné envie de me renseigner davantage, et de fil en aiguille, je me suis pris de passion pour ce domaine d’activité.
D’un naturel curieux, j’ai alors commencé à m’informer et à me former sur mon temps libre en découvrant par exemple les notions élémentaires de systèmes et réseaux. Cet attrait m’a également conduit à la plateforme d’entraînement TryHackMe, qui, en plus de son contenu éducatif, m’a fait découvrir le principe du Capture The Flag (CTF) : une mise en situation où le but est d’exploiter et de s’introduire dans une machine pour en récupérer des « drapeaux », preuve de l’intrusion. À partir de ce moment-là, le métier d’auditeur m’est apparu comme une évidence. L’esprit d’analyse, d’investigation, la rigueur et la curiosité que requièrent ce poste m’ont fait l’effet d’un déclic et c’est alors la voie que j’ai choisi d’emprunter pour ma reconversion.
Le changement de métier a-t-il été facile pour toi ? Peux-tu nous dire par quelles étapes tu es passé pour te reconvertir ?
Cela n’a pas été de tout repos ! A partir du moment où j’ai vraiment commencé à envisager la reconversion professionnelle j’ai tout de suite voulu reprendre une formation certifiante pour avoir quelque chose de concret à proposer aux entreprises lors de ma future recherche d’emploi. J’ai alors négocié une rupture conventionnelle avec l’entreprise dans laquelle je travaillais et engagé une démarche de Projet de Transition Professionnelle (un dispositif permettant d’accéder à un financement pour une formation professionnelle). Après quelques mois de démarches et d’argumentation, mon dossier a été accepté et j’ai pu suivre une formation certifiante de deux mois « Sécurité Pentesting » dispensée par M2i Formations. Directement orientée « tests d’intrusion », avec une base théorique sur les principes fondamentaux de l’informatique, la formation m’a permis de valider et de développer les notions que j’avais pu acquérir par mes propres moyens.
Suite à cette formation j’ai poursuivi mon travail en autodidacte tout en commençant à rechercher un emploi. J’ai alors été confronté aux principales problématiques de la reconversion professionnelle : difficile en effet d’attirer l’attention de recruteurs quand la seule expérience dans le domaine souhaité est une formation de 2 mois !
Après avoir essuyé plusieurs refus, je me suis alors mis au défi de passer l’OSCP*, une certification très convoitée et reconnue dans le domaine de la cybersécurité. L’objectif étant pour moi, en plus de l’aspect « challenge » et montée en compétences, d’attirer l’attention des entreprises. Est-ce ce qui a été déclencheur pour l’obtention de ce poste chez AMOSSYS ? Je ne saurais dire !
D’une manière générale, cette reconversion aura été le fruit d’une année intense et complète de travail en autodidacte. Un temps minimal nécessaire selon moi pour enregistrer le maximum d’informations et de connaissances quand on se lance dans un secteur d’activité totalement nouveau. Je me suis aussi beaucoup appuyé sur les parcours d’apprentissage de la plateforme TryHackMe ainsi que sur d’autres plateformes de CTF (« Capture the Flag ») pour mettre en pratique. Je reconnais avoir eu la « chance » que cette reconversion tombe pendant la crise du Covid-19 : entre les différents confinements et les périodes de calme dans mon travail de l‘époque, j’ai eu du temps pour travailler sur ce nouveau projet !
* Offensive Security Certified Professional (OSCP)
Pour finir, si tu avais un ou des conseils à donner aux personnes intéressées par la cybersécurité mais qui hésitent à se lancer, quels seraient-ils ?
Ce serait tout d’abord d’oser franchir le pas de la reconversion. La cybersécurité est un secteur en fort développement, offrant beaucoup de perspectives en termes d’emploi. Même si on vient d’un domaine d’activité totalement différent, il existe de plus en plus de ressources et de plateformes pour apprendre et progresser (blogs, chaînes Youtube, serveurs Discord, fils Twitter, plateformes de CTF comme TryHackMe, HackTheBox, RootMe etc.). J’ai également découvert que la cybersécurité possède une communauté très ouverte et dynamique. Que de nombreux canaux existent pour obtenir des conseils, de l’aide et des renseignements.
Par ailleurs, nous avons la chance en France d’avoir de nombreux dispositifs pour faciliter la reconversion professionnelle. Les organismes régionaux tels que Transition Pro peuvent accompagner dans l’élaboration d’un projet, de l’idée au financement d’une formation.
Enfin, je dirais qu’il faut surtout se faire confiance, ne jamais perdre de vue le « pourquoi » de cette reconversion, et garder une solide motivation pour arriver jusqu’aux objectifs fixés 😊.
L'avis de nos RH
Le parcours d’Alexis est loin d’être classique mais son témoignage nous montre qu’il est possible de travailler dans la cybersécurité même quand on a exercé d’autres métiers auparavant.
Mais alors, côté RH, qu’est-ce qui a séduit dans la candidature d’Alexis ? des soft skills ou des certifications particulières ? A quoi est sensible en général un recruteur en cybersécurité ?
Notre Team RH vous livre quelques explications.
Claire & Marie-Laure : Ce qui a retenu notre attention dans la candidature d’Alexis est tout d’abord la lettre qui accompagnait sa candidature : elle nous a en effet permis de comprendre les raisons de sa reconversion, son projet professionnel, les moyens qu’il mettait en œuvre pour y parvenir. Ces éléments mis bout à bout nous ont laissé entrevoir une grande motivation et une vraie passion pour le domaine cyber.
L’échange téléphonique qui a suivi nous a également donné l’opportunité de découvrir un candidat honnête, dynamique et persévérant, disposant de bonnes capacités relationnelles et dont la recherche et les critères semblaient correspondre à AMOSSYS, à son état d’esprit et à sa culture.
Un échange autour de son parcours et de ses compétences techniques a ensuite eu lieu avec le responsable de pôle et un collaborateur Auditeur. Sa formation certifiante à M2i, son entrainement sur les plateformes, la préparation de l’OSCP ont été des éléments cumulés pris en compte et déterminants, que ce soit pour nous comme pour nos collègues techniques ayant assisté aux entretiens.
En entretien d’embauche nous avons, pour notre part, été convaincus par la personnalité d’Alexis : quelqu’un de très ouvert, curieux, clair dans sa démarche de reconversion et surtout motivé pour nous rejoindre.
Qu’est-ce qui nous a plu dans la candidature d’Alexis ? La candidature d’Alexis 😉 ! Son projet professionnel, ses compétences techniques, ses soft-skills, sa recherche correspondaient au profil que nous recherchions.
Certes, les compétences techniques sont un critère important à prendre en compte mais ce n’est pas le seul ! Votre motivation et votre capacité à apprendre, vos compétences acquises lors de précédentes expériences (professionnelles ou personnelles d’ailleurs), les éventuels projets/formations que vous pouvez entreprendre en parallèle sont également des critères. Car c’est un tout et chaque candidature est différente !