Je travaille dans le milieu de la sécurité des réseaux informatiques depuis plus d’une dizaine d’années à présent, ce qui n’est certes pas énorme mais je rencontre encore aujourd’hui le même problème lorsque l’on me demande ce que je fais dans la vie :

–« Et toi, tu travailles dans quoi ? »
-« Je travaille dans la sécurité informatique, la sécurité réseaux plus particulièrement. »
–« Hmmm… »
-« Oui ? »
–« T’es un hacker en fait !! »
-« … »

S’ensuit alors toute une explication plus ou moins alambiquée de ce que je fais et de ce qu’est intrinsèquement la sécurité des réseaux informatiques.
Malheureusement, ce n’est jamais vraiment clair, quelles que soient les métaphores ou les explications utilisées pour dépasser les clichés.

Effectivement, depuis quelques années maintenant, les « hackers », les cyber-attaques, les menaces et autres problématiques technologiques ou informatiques sont bien plus médiatisés.
Alors, la « sécurité informatique » renvoie à ceux qui – derrière leur écran, capuche sur la tête, dans l’obscurité la plus totale de leur chambre – malmènent les systèmes informatiques de par le monde…
C’est tout à fait compréhensible que cette image soit connue et véhiculée…

En vulgarisant, je dis souvent que l’on « protège » ou que l’on « sécurise » tout ce qui circule au sein de l’entreprise (de l’extérieur et vers l’extérieur).
C’est très général, je vous l’accorde !
Mais cela résume relativement bien ce que l’on fait et cela « parle » à peu près à tout le monde.

Plus sérieusement, la sécurité réseaux c’est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à empêcher l’utilisation non-autorisée, le mauvais usage, la modification ou le détournement du système d’information. (https://fr.wikipedia.org/wiki/Sécurité_des_systèmes_d’information)

En résumé : il s’agit, pour nous, de garantir l’accès aux ressources présentes sur Internet, sur le réseau de l’entreprise ou chez les partenaires de manière optimale tout en garantissant l’intégrité des informations et le respect des droits des utilisateurs.

De plus, la sécurité des réseaux ne se cantonne plus simplement aux couches basses du modèle OSI. (https://fr.wikipedia.org/wiki/Modèle_OSI)
Notre périmètre d’action évolue, il nous est donc nécessaire de :

• Travailler davantage avec les équipes qui s’occupent des couches hautes,
• Maitriser les actifs de bout-en-bout,
• S’adapter aux nouveaux besoins,
• Adapter les politiques de protection,
• Apporter des éléments de sécurité au niveau applicatif, que ce soit pour combler la faible présence de mécanismes de sécurité dans les couches hautes ou pour pallier l’absence de ces mécanismes.

Lors d’une de mes récentes missions dans un milieu financier, mon responsable a très judicieusement évoqué le fait que « la sécurité » était malheureusement considérée comme « une contrainte », comme un « centre de coût » par les différents départements, entités, utilisateurs, chefs de projet ou développeurs, etc.

De fait, on voit bien plus aisément les aspects négatifs liés à la mise en place de fonctionnalités de sécurité que les bienfaits et les avantages.

Aujourd’hui, avec la recrudescence des attaques et des menaces, nous ne devons plus nous demander « si la société pour laquelle nous travaillons sera un jour attaquée » mais plutôt « quand elle le sera ».
En changeant d’approche, il nous est plus simple d’entrevoir ce qui est fait et ce qu’il nous reste à faire… et il y a encore beaucoup à faire!

Or, nous ne sommes pas les seuls garants de cette sécurité. Celle-ci s’articule plus globalement autour de toutes les équipes informatiques.

Charge à nous donc de faire en sorte que la sécurité des réseaux informatiques devienne « un service » mis à la disposition de tous, plutôt qu’une contrainte, en mettant en exergue ce que cela apporte et protège.