Entrevue avec des spécialistes en sécurité informatique

REPÈRES ta carrière (Entrevues)
13 mars 2018
Spécialistes en sécurité informatique
Éric Parent et Sylvie Guérin
Spécialistes de la sécurité informatique

Parcours

  • Il y a 30 ans, la cybersécurité n’était pas d’actualité comme aujourd'hui et le Web était bien différent. Éric a débuté sa carrière en informatique dans les Forces canadiennes. Il a ensuite travaillé en tant que technologue en informatique dans le domaine privé pendant quelques années avant d'avoir sa propre entreprise, LogicNet, spécialisée en cybersécurité. Sylvie a, quant à elle, toujours eu plus d'intérêt et d'aptitudes à trouver les failles de sécurité dans les systèmes qu'à les programmer. Leurs chemins se sont croisés chez Cognicase, entreprise rachetée depuis par CGI, alors que Sylvie travaillait au soutien technique aux usagers. Rien ne laissait alors présager qu'ils poursuivraient leur carrière ensemble en plus de partager leur vie.

Formation

  • Éric a complété une formation militaire en électronique et en informatique après ses études secondaires. Il s'est spécialisé au fil de ses expériences de travail et en obtenant diverses certifications en sécurité informatique. Sylvie, pour sa part, a étudié au Cégep de Sherbrooke. Elle s'est inscrite au départ en sciences pures mais elle s'est vite empressée de changer de programme. Elle a obtenu un premier DEC en techniques administratives puis un autre en techniques de l'informatique. Elle a poursuivi dans ce domaine à l'Université du Québec à Montréal où elle a complété un baccalauréat en sciences informatiques. Les formations en cybersécurité se faisaient plutôt rares à l'époque et ce n'est qu'une fois rendue sur le marché du travail qu'elle a vraiment développé son expertise.

Tâches

  • Leurs mandats sont très différents d'un client à l'autre et, en tant que consultants, ils ne savent jamais à quoi leur semaine de travail va ressembler. Ils peuvent tester la sécurité d'un nouveau site avant qu'il soit mis en ligne, élaborer des politiques de sécurité pour des entreprises, évaluer l'utilisation des médias sociaux dans un cadre professionnel, etc. Pour ce faire, ils se déplacent pour des rencontres avec les dirigeants et les employés à leurs bureaux tandis qu'à d’autres moments, ils travaillent à distance à partir de la maison. Comme une attaque informatique peut survenir à tout moment, ils reçoivent parfois des appels de clients en pleine nuit. Dans le cas d'un vol de données, ils doivent intervenir rapidement pour sécuriser les éléments de base du système. Une fois les données récupérées, ils peuvent ensuite investiguer plus en profondeur afin de savoir par où les pirates informatiques ont pu entrer et suggérer les correctifs nécessaires à l'entreprise touchée afin que cette situation ne se reproduise pas. Quoiqu'il est plutôt rare qu'ils soient confrontés directement à l'attaquant, il s’avère parfois que payer une rançon soit l’unique solution. Il est alors nécessaire de négocier en ligne avec lui afin que leur client ait à débourser le moins d’argent possible pour récupérer ses données. En plus de leurs tâches comme spécialistes en sécurité informatique, ils enseignent tous les deux à l’École polytechnique de Montréal et à HEC Montréal en cybersécurité.

Intérêts

  • Ces deux experts adorent la gestion de crise. Lorsqu'un client est en plein cœur d’une cyberattaque, c'est à ce moment précis qu'il a le plus d'ouverture quant à la nécessité de sécuriser son système et Sylvie sent que ses recommandations sont davantage prises au sérieux. La vraie motivation des pirates informatiques n'est pas toujours connue et la menace ne vient pas uniquement de personnes vivant dans un autre pays qui font des tentatives d'intrusion sur un site. Le plus irritant pour Éric et Sylvie, c'est de devoir composer avec des employés parfois mal intentionnés, qui leur cachent des informations ou qui posent des gestes qui mettent en danger la sécurité de l'entreprise. Convaincre les gens de mieux agir est un défi constant dans leur métier.

Qualités

  • La personne doit être capable d'analyser les faits froidement sans impliquer d'émotions et posséder un talent de médiateur et de négociateur pour calmer les situations qui peuvent être très stressantes pour les victimes, selon Éric. Il précise qu'être fonceur et avoir un fort caractère sont également de bons atouts à condition de ne pas être entêté. En effet, le rôle du spécialiste est de faire des recommandations à son client, de s'assurer qu'il les a bien comprises sans toutefois avoir de contrôle sur la décision finale qui revient au gestionnaire. Même si ça lui semble tout à fait logique qu'une action soit portée, il se peut que la décision d'entreprise n'aille pas dans ce sens et il doit l'accepter.

Aspect méconnu

  • Quand Sylvie parle de son travail, c'est le côté technologique qui saute aux yeux des gens mais il y a un aspect humain considérable à prendre en compte. Il y a beaucoup de sensibilisation à faire et c'est peut-être ce qui peut rejoindre davantage les filles, appuie Sylvie. Les plus grosses failles qu'ils ont rencontrées n'étaient pas techniques mais correspondaient plutôt à des agissements malsains. Éric donne l'exemple d'une secrétaire qui divulgue son mot de passe croyant que la personne qui l'appelle est le technicien en charge de la mise à jour des courriels ou encore un dirigeant d'entreprise qui veut recruter ouvertement sur Internet en publiant une offre d'emploi pour un poste en sécurité informatique. La cybersécurité consiste à mettre en évidence les impacts de tous ces agissements sur Internet. Compte tenu de cet aspect du métier, un spécialiste en sécurité informatique n'est pas nécessairement le geek qui connaît tout du fonctionnement du Web, il peut avoir un profil plus spécialisé en gestion d'entreprise et avoir une connaissance de base en technologies de l'information.

Conseils

  • Tout est de plus en plus automatisé et complexe avec le temps. Présentement, les attaques sont faites par des humains qui essaient d'entrer sur des sites Web. Dans les prochaines années, les défis seront davantage au niveau de l'intelligence artificielle qui sera capable d'attaquer sans aucune interaction humaine. Ce sera un enjeu majeur dans le domaine, ajoute Éric. Il est important que la personne intéressée par cette profession évalue son profil car il y a deux aspects interreliés dans la profession, soit la technique et la gestion. S'il s’avère que la personne est plus intéressée par la technologie, il sera tout de même important qu'elle s'attarde à l'aspect gestion pour avoir quelques connaissances de base. Il en va de même pour la personne qui s'intéresse davantage à l'aspect gestion, elle devra comprendre un peu le fonctionnement technique.
Entrevue réalisée par Pascale-Andrée Boivin