Fabien

Fév

2021

Par où commencer

Une tentative de rassembler en un seul article les principaux documents, sites web, qu’il vaudrait mieux avoir lu avant de se lancer dans la cybersécurité. Non exhaustif, partiel et partial. rangé par importance décroissante de façon arbitraire.

Les incontournables

Les parcourir au moins 1 fois est indispensable.

- Le fameux MOOC de l’ANSSI, grand public. Il donne les bases, permet de comprendre les enjeux, la façon d’appréhender la problématique, de voir les grands acteurs, les textes principaux. C’est aussi un exercice de vulgarisation, plutôt réussi, et on peut s’en inspirer pour sa propre communication autour de la cybersécurité.
  Il faut faire ce MOOC, sérieusement et obtenir le badge final, a condition d’avoir pus de 8/10 à chacun des thèmes.
  https://secnumacademie.gouv.fr/
- le PANORAMA DES MÉTIERS DE LA CYBERSÉCURITÉ
  une copie de janvier 2020: téléchargeable sur https://www.ssi.gouv.fr/particulier/formations/panorama-des-metiers-de-la-cybersecurite/ c’est une des clefs principales de compréhension du domaine. Les différents métiers sont détaillés, avec leurs activités et les compétences nécessaires. Pour qui veut se reconvertir en cybersécurité, il manque des informations capitales, comme le salaire, le type d’entreprise susceptible de recruter, mais on peut les lire entre les lignes. Voir l’article qui lui est consacré [Le panorama]
  Manquent aussi les métiers périphériques, accessibles aux senior, comme ‘Product Manager de Produit/Service de Cybersécurité’, ou ‘chef de projet de développement d’un produit’
- Le « Computer Security Handbook » du NIST, qui pose les bases, en anglais, téléchargeable sur https://www.nist.gov/publications/introduction-computer-security-nist-handbook
- Le référentiel commun du Pôle d’excellence cyber. Il complète le ‘panorama’, avec un angle de vue légèrement différent.
  une copie de janvier 2020 téléchargeable sur https://www.pole-excellence-cyber.org/presentation-du-pole/referentiel-commun/
- Le site web de l’Autorité Nationale en matière de Sécurité et de défense des Systèmes d’Information. Prévention, protection, réaction, formation et labellisation de solutions et de services pour la sécurité…
  http://www.ssi.gouv.fr
- Un blog de référence, à suivre régulièrement pour comprendre.
  https://veillecyberland.wordpress.com/
- Les documents sur la cybersécurité à Rennes, voir La cybersécurité à Rennes

Les guides de « bonne pratique de l’ANSSI »

Charité bien ordonnée commence par soi-même, il est utile de les appliquer…

- https://www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatique/ (pour les PME)
- https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/ pour toutes les entreprises concernées, et surtout les plus importantes en taille. Noter la référence à H2G2 dans la biblio page 66. Si vous ne connaissez pas, lisez donc le livre, et vous connaîtrez enfin la réponse à la question fondamentale de l’univers! (quant à la question elle-même, l’ANSSI apporte enfin une précision)
- https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf

Les groupes LinkedIN

Cyber Security Europe (CyberSecurity News): https://www.linkedin.com/groups/8206971/
Cloud Computing, Cybersecurity, SaaS, Data Centre & Virtualization
https://www.linkedin.com/groups/45151/
Cyber Security https://www.linkedin.com/groups/3821801/
le Pôle d’excellence cyber: https://www.linkedin.com/company/pole-excellence-cyber/

Les revues, magazines en ligne

Je manque de recul vis à vis de ces revues. Certaines sont sûrement anecdotiques, alors que les plus importantes sont sans doutes absentes.
Votre feed-back, par exemple en commentaire, est bienvenu!

Les papiers numériques de l’ANSSI: https://www.ssi.gouv.fr/agence/missions/papiers-numeriques/
Global Security mag: https://www.globalsecuritymag.fr/-Label-France-Cybersecurity-.html
NewsDeck https://www.newsdeck.fr/Cybers%C3%A9curit%C3%A9_3491
Face Au Risque: https://www.faceaurisque.com/cybersecurite/
CyberRun: https://www.cyberun.net/

Les normes de définition du vocabulaire

Le RFC 4949. On peut le trouver sur https://datatracker.ietf.org/doc/html/rfc4949 et il contient une définition précise de la plupart es termes de sécurité. Mais comme il fait 365 pages, personne ne le lit exhaustivement.
la recommandation ITU X800, téléchargeable sur https://www.itu.int/rec/T-REC-X.800-199103-I/fr. Elle est plus courte -46 pages-, et contient quelques table intéressantes pour faire le lien entre type de protection possible et couches ISO, une Annexe C qui indique où placer le chiffrement dans différents cas…

Fév

2021

La cybersécurité à Rennes

Les entreprises de cybersécurité actives à Rennes, susceptibles d’intéresser un senior qui se reconverti. Il y a donc, bien entendu, un biais personnel fonction de mon historique.

L’hypothèse de départ est que le senior va chercher à mettre en avant ses compétences acquises, en rajoutant l’atout cybersécurité, afin d’être autonome puis performant dans son nouveau poste. Donc, on s’attache ici aux entreprises ‘cible’ potentielles.

Les sources d’information principales:

- La page cyber de Destination Rennes, qui contient de nombreux liens et informations :
  https://www.rennes-business.com/fr/pourquoi-rennes/secteurs-excellence/cybersecurite
- Le répertoire des entreprises cyber de Bretagne Développement & Innovation (BDI) liste et cartographie 218 entreprises ou assimilées. https://www.bdi.fr/fr/publications/annuairecyber/
  Ce répertoire est très complet, il contient une description de chaque entreprise et sa localisation.
  C’est une source de premier choix pour qui veut explorer la cybersécurité à Rennes. Les informations de BDI ne sont pas dupliquées ici, le lecteur est invité à lire l’annuaire cyber.

- Outre le ministère des Armées et la Région Bretagne, le Pôle d’excellence cyber compte aujourd’hui une trentaine de membres actifs : douze grands groupes (Airbus Cyber Security, Bertin IT, Capgemini, DCI, EDF, La Poste, Naval Group (ex DCNS), Nokia, Orange, Sopra Steria, Thales), des PME (Amossys, Diateam, Systancia, Secure-IC, Yes We Hack, 6cure, GIP SIB) et plus d’une quinzaine de laboratoires, d’universités et d’écoles d’ingénieurs.
  Voir aussi https://www.pole-excellence-cyber.org/presentation-du-pole/membres/ On peut espérer que les acteurs les plus importants de la cybersécurité soient membres du Pôle.

- Le Pôle cybermarétique est aussi un acteur incontournable, mais situé plus à l’ouest. Un panorama assez large est donné par Ouest-France en Novembre 2020 https://www.ouest-france.fr/mer/en-images-bientot-a-brest-le-centre-de-ressources-et-d-expertise-en-cybersecurite-maritime-7037314. Un site de référence très complet, qui présente les enjeux et l’approche https://cybermaretique.fr/

Quelques informations glanées ça et là, en particulier sur Linked-IN, qui permettent de compléter le répertoire de BDI (cette section a vocation à s’étoffer au cours du temps):

Atos

Atos est un leader international de la transformation digitale avec 110 000 collaborateurs dans 73 pays et un chiffre d’affaires annuel de 12 milliards d’euros. Numéro un européen du Cloud, de la cybersécurité et des supercalculateurs, le Groupe fournit des solutions intégrées de Cloud Hybride Orchestré, Big Data, Applications Métiers et Environnement de Travail Connecté.
https://jobs.atos.net/
https://atos.net

DGA Maîtrise de l’Information [Pôle, BDI]

Établissement de la direction générale de l’armement (DGA), DGA Maîtrise de l’information est l’expert référent du ministère de la Défense pour les systèmes d’information et de communication, la cybersécurité, la guerre électronique et les systèmes de missiles tactiques et stratégiques.

https://www.defense.gouv.fr/dga/recrutement/recrutement-cyberdefense-a-dga les annonces de la DGA, mis à jour en Juillet 2022
http://www.defense.gouv.fr/dga/la-dga2/expertise-et-essais/les-centres-d-expertise-et-d-essais-de-la-dga/dga-maitrise-de-l-information

DCI [Pôle]

Ouest France, Oct 2018: https://www.ouest-france.fr/economie/entreprises/numerique-le-breton-retis-fusionne-avec-le-groupe-parisien-dci-5995919

https://www.gicat.com/dci-vient-de-former-plusieurs-pays-europeens-a-la-cyberdefense/

DCI fourni aussi de nombreuses formations en cybersécurité, voir l’article: Autoformation en cybersécurité, paragraphe « pôle »

Orange [Pôle, BDI]

La Cybersécurité est une des activités commerciales d’Orange, elle n’est pas restreinte à son volet interne: protéger le SI du groupe. L’activité est réunie dans la Business Unit « Orange Cyber Defence » (OCD). Elle rentre en synergie avec d’une part les activités réseau mondial d’Orange, qui est un Tier 1 (au sens des réseaux), et d’autre part les activités de conseil et organisation (Orange Business Service). La cross-fertilisation est importante dans tous les sens: OCD a une vision claire des menaces subies par les clients, et OBS, le réseau, peuvent participer à la fourniture d’outils et services.

OCD publie le https://orangecyberdefense.com/global/security-navigator/ , qui fait le point sur les menaces courantes, et qui est un bookmark utile à consulter régulièrement.

OCD fourni des services de réponse aux incidents, voir par exemple l’article de Ouest-France https://www.ouest-france.fr/societe/cyberattaque/dans-les-coulisses-de-la-cyberattaque-vecue-a-ouest-france-7139874 , et son activité MDR (Managed Detection and Response) est régulièrement citée comme faisant partie des meilleures mondiales (https://www.gartner.com/reviews/market/managed-detection-and-response-services)

Les activités OCD s’organisent autour de 5 grands axes: Identifier, Protéger, Détecter, Répondre, Anticiper. L’étendue des postes proposables est donc large.

OCD dispose d’un outil de formation, Orange Cyber-Academy, qui propose des formations, typiquement 4 semaines de cours + 8 semaines de mise en situation (+/- stage).
Le profil des élèves et les prérequis ne sont pas clair: étudiants sortant de l’école, ou plus anciens? https://orangecyberdefense.com/fr/carrieres/orange-cyberdefense-academy/

Références:

- - https://www.orangecyberdefense.com/fr/
  - https://orangecyberdefense.com/fr/carrieres/nos-offres-demploi/

Thales [Pôle, BDI]

https://jobs.thalesgroup.com/search-jobs/

Fév

2021

Pourquoi une reconversion en cybersécurité pour les seniors?

Pourquoi Yann, Enora, Briac… (voir Les personas initiaux) envisagent-ils de se reconvertir en cybersécurité, alors qu’ils ont déjà une activité rémunératrice, à haute technicité, et un parcours reconnu?

Au-delà des accidents de la vie professionnelle qui peuvent engager à une réflexion personnelle, la cybersécurité, en particulier à Rennes, à des atouts qui invitent à considérer sérieusement l’alternative.

La cybersécurité, un nouveau sens

C’est peut-être une des motivation principales: retrouver un sens à son action quotidienne. La sécurité est sans équivoque motivante: Yann et ses amis se lèveront le matin avec un objectif clair: protéger. Voilà qui est immédiatement valorisant, émotionnellement et intellectuellement. Le consensus est clair.

Rennes, terre d’excellence en cybersécurité

Parce que Rennes joue un rôle central en cybersécurité en France, et a même une ambition Européenne. Le développement est rapide, soutenu, et continuera pendant de nombreuses années. Au-delà de la DGA, le tissus industriel et éducatif est dense, il promet des évolutions de carrière et une pérennité dans l’emploi.

Références:

- Le rapport de l’AUDIAR 2021
  https://www.audiar.org/publication/economie-et-cooperation/economie/lexcellence-cybersecurite-civile-et-militaire-dans-rennes-metropole

- Le rapport INSEE Janvier 2021 sur la cybersécurité à Rennes https://www.insee.fr/fr/statistiques/5013872 Le Compte rendu de Ouest-France
  https://amp-lefigaro-fr.cdn.ampproject.org/c/s/amp.lefigaro.fr/flash-eco/cyberdefense-1-800-emplois-supplementaires-a-rennes-d-ici-2025-20210121

Cybersécurité: Un besoin de compétences

A Rennes et ailleurs, la cybersécurité est un domaine neuf, et très technique. Le besoin en compétences est important, pas assez couvert. Certes, la formation initiale permet d’en couvrir une partie, mais une industrie a aussi besoin de seniors, capables d’encadrer, diriger, convaincre les clients, et, surtout, profondément attirés par la technologie en étant capables de comprendre vite et bien…Car le sujet est vaste, complexe, profond.

Bien sûr, les débutants en cybersécurité vont, eux aussi, se transformer en seniors, et un équilibre s’établira. Entre temps, une reconversion en cybersécurité est un pari avec peu de risques.

Références:

- Cybersécurité en Bretagne : l’enjeu des compétences, étude APEC Bretagne N° 2017-25 (ancien, donc, mais toujours d’actualité) https://corporate.apec.fr/home/nos-etudes/toutes-nos-etudes/cybersecurite-en-bretagne–lenje.html
- Cybersécurité : les prévisions pour 2021 de GlobalSecurityMag https://www.globalsecuritymag.fr/Cybersecurite-les-previsions-pour,20201207,105793.html

Rennes, ville agréable

Si vous vivez déjà à Rennes, vous n’avez pas besoin d’être convaincu. Arrivé presque par hasard en 1987 pour y suivre ma future épouse pour ses études, nous y sommes restés, de façon définitive. Ce n’est pas par erreur que Rennes se retrouve toujours dans le top 3 des villes les plus attractives, quelque soit le classement, mais grâce à la conjonction d’une culture forte et bienveillante, un amour du travail bien fait, une géographie et un climat positifs, la proximité de la mer (moins chaude que ma Méditerranée), une ambiance chaleureuse, beaucoup de musique et d’étudiants, un tissu industriel hyperactif, une densité de population raisonnable et des coûts de logement sous contrôle. Ces qualités se sont développées par la volonté des habitants: phénomène de résonance classique.

Références:

- Etude APEC Septembre 2020 sur le recrutement des cadres en Bretagne: « Cadres du privé en Bretagne : recrutements et mobilités ». https://corporate.apec.fr/home/nos-etudes/toutes-nos-etudes/cadres-du-prive-en-bretagne–rec.html
- https://start.lesechos.fr/au-quotidien/logement/emploi-qualite-de-vie-les-villes-les-plus-attractives-en-france-sont-1267527
- https://www.ouest-france.fr/bretagne/rennes-35000/rennes-ville-la-plus-attractive-de-france-selon-les-rennais-7076501

- https://www.rennes-business.com/fr/pourquoi-rennes/