Imade ELBARAKA, LY IF 05, Managing partner spécialiste du Cyber Risk
La cybersécurité : un univers passionnant, une pluralité de carrières

La cybersécurité est aujourd’hui un sujet
incontournable pour les entreprises. Quel
est le niveau de maturité des entreprises ?
Il y a une réelle prise de conscience de la part des
entreprises quant à la menace grandissante que
représente la cybersécurité, même s’il reste encore
une large marge d’amélioration. En effet, au cours
des dernières années, le risque cyber est devenu
un risque systémique. Il n’est plus uniquement
reliée aux systèmes informatiques mais à toute
l’activité numérique de l’entreprise, quelle qu’elle
soit. Toutes les composantes des entreprises ont
pris la mesure de ce risque : des collaborateurs
aux conseils d’administration, en passant par les
directions générales et les comités exécutifs.
A partir de là, il y a différentes velléités d’investissement
au regard des moyens que l’entreprise peut
ou non allouer à ce sujet et du positionnement de
la direction sur la gestion de ce risque. La maturité
des entreprises à ce niveau dépend généralement
de leur taille. Si les grandes entreprises ont les
moyens de s’équiper et de mettre en place des
équipes dédiées à la gestion du risque cyber, les
PME et les entreprises de plus petite taille ne disposent
pas forcément des ressources financières
et humaines nécessaires pour appréhender ce
sujet et ont tendance à rester concentrées sur leur
coeur de métier.

Quelles sont les principales tendances que vous observez ?
Nous assistons depuis quelques années à une
complexification des technologies. Les cyberattaques
sont non seulement plus nombreuses, mais
elles sont aussi plus sophistiquées. Le périmètre
que les entreprises doivent sécuriser et surveiller
est de plus en plus large et dépasse le cadre de
leurs systèmes d’information. On note aussi une intensification des attaques par Ransomware
qui visent des petites structures,des opérateurs
de services critiques comme les hôpitaux… En
effet, les cyberattaquants ne s’en prennent plus
uniquement aux grand groupes pour leur réclamer
des millions d’euros, mais vont multiplier les
attaques contre des PME et des TPE. Ils vont leur
réclamer des sommes de 5 000 à 10 000 euros,
qui peuvent paraître insignifiantes, mais d’autant plus faciles à payer pour éviter des conséquences
fatales.
On assiste par ailleurs aussi à un fort développement
du risque sur les Supply Chain. Alors que
le tissu économique européen et français est
majoritairement composé de PME prestataires de
grands groupes, les cyber attaquants vont cibler
ces petites structures pour pouvoir atteindre de
plus grosses cibles.
En parallèle, les techniques de défense se sont
aussi améliorées. La façon d’appréhender le
risque cyber est désormais plus réactive vis à vis
des systèmes offensifs. L’enjeu est de pouvoir
adopter une posture d’anticipation pro-active qui
contribuera, in fine, à améliorer la résilience des
entreprises aux cyberattaques.

L’ensemble de ces éléments rend encore plus
difficile le travail des experts de la cybersécurité et
de l’informatique comme Deloitte qui doivent, en
plus, mieux comprendre les sous-jacents d’une
attaque, ainsi que les techniques économiques ou
encore de social engineering qui sont déployées
par les cyberattaquants.
On note aussi un renforcement de la réglementation
en 2022 et 2023 au niveau européen. On peut
notamment citer la directive NIS2 qui est assez
contraignante (amendes significatives, contraintes
personnelles sur les dirigeants...) et qui concerne
tous les secteurs d’activité, ainsi que la directive
DORA (Digital Operational Resilience Act) qui vise
à améliorer la résilience des entreprises des secteurs
de la banque et de l’assurance notamment
en cas de cyberattaques.

Enfin dans un environnement géopolitique mouvant,
il y a aussi des cyberattaques menées par
des États qui se sont intensifiées depuis le début
de la Guerre en Ukraine.

Comment un acteur comme Deloitte appréhende cet enjeu ?
Sur les questions relatives à la cybersécurité,
Deloitte est un leader depuis plus d’une décennie.
Nous nous appuyons sur plus de 25 000 experts
cyber dans le monde afin d’accompagner nos
clients à relever ce défi et à se protéger. Notre
activité en cybersécurité croît fortement dans de
nombreuses zones géographiques notamment en France, en Afrique francophone ou encore au
Canada.
Face à cette menace qui couvre des considérations
géopolitiques, économiques, métiers, technologiques
et stratégiques, nous avons la chance
au sein de Deloitte, cabinet pluridisciplinaire, de
pouvoir capitaliser sur différentes compétences
pour appréhender ce risque avec toujours plus
pertinence et apporter à nos clients une réponse
globale.
Concrètement, nous couvrons différents niveaux
et besoins. Sur le plan stratégique, nous conseillons
nos clients dans l’élaboration et la mise en
place de leur stratégie notamment en termes
d’investissement. Nous couvrons aussi le volet
implémentation et exécution de la stratégie de
cybersécurité qui a été décidée par le comité
exécutif ou la direction.
Depuis quelques années, nous opérons également
des services managés en capitalisant sur nos
Centres de Delivery. Nous en avons une trentaine
de niveau 2 et cinq de niveau 1 : Madrid, Canada,
États-Unis, Kuala Lumpour et plus récemment à
Casablanca.

Le capital humain est clé dans ce secteur.
Quels sont les profils et les compétences
que vous recherchez et quelles sont les
perspectives de carrière qu’un acteur
comme Deloitte peut offrir à des ingénieurs ?
Nous cherchons avant tout des jeunes femmes et
hommes qui ont une appétence pour tout ce qui
tourne autour de la cybersécurité sans pour autant
être des experts de ces enjeux. Nous comptons
ainsi parmis nos collaborateurs des experts en
stratégie qui viennent de Sciences Po, des diplômés
de l’EPITA, des ingénieurs issus du réseau
INSA ...
Nous cherchons aussi des ingénieurs qui sont curieux
et ouverts, car la cybersécurité est un univers
très mouvant avec des évolutions et des nouvelles
tendances qui émergent tous les 3 à 6 mois.
Au-delà, pour accompagner nos clients sur ce
risque systémique, il est important d’avoir des
compétences interpersonnelles, un sens de la
communication et de la pédagogie.
Enfin, les cabinets de conseil comme Deloitte
sont des environnements très évolutifs qui offrent
de belles perspectives de carrière aussi bien sur
le plan hiérarchique qu’en termes d’opportunités
de mobilité transversales. Il n’est pas rare de
voir certains de nos consultants commencer leur
carrière dans la cybersécurité et aller ensuite vers
le domaine de la data ou du cloud. Enfin, de par
sa présence et ses implantations dans le monde,
Deloitte offre aussi de belles opportunités dans le
monde entier.

Et pour conclure, un conseil à nos lecteurs ?
Dans un monde mouvant et évolutif, il faut, je
pense, rester humble et modeste et être prêt à
poursuivre son apprentissage tout au long de sa
vie professionnelle. Les technologies bougent
tellement vite que ce qui était vrai hier, ne l’est plus
forcément aujourd’hui ! Travaillez, restez ouverts
sur le monde et curieux ! Ce sont, à mon sens,
les principales clés de la réussite professionnelle !