La cybersécurité me semblait être un sujet obscur et complexe. De nature curieux, j'ai donc voulu en comprendre les différents aspects.
J'ai commencé à m'y intéresser en me focalisant sur la technique vers la fin de mes études en 2012. Comprendre et maîtriser les méthodes et outils utilisés pour lancer des attaques informatiques devaient me permettre de déduire les mesures permettant de s'en prémunir.
Après un diplôme d'ingénieur réseaux en alternance, beaucoup de veille et entraînements sur le sujet ainsi qu'une formation technique, j'ai défini une liste de mesures et participé à les mettre en place au sein du système d'informations d'un grand groupe international (désormais considéré comme d'importance vitale). Cela améliora sensiblement le niveau de cybersécurité du périmètre.
Rapidement, je me suis rendu compte que, sans suivi, les mesures de sécurité purement techniques étaient très vite contournées, oubliées ou obsolètes. Je me suis alors intéressé aux méthodes organisationnelles permettant de maintenir le niveau de cybersécurité d'un organisme puis, de l'améliorer.
La norme ISO 27001 semblait répondre correctement à cette problématique en proposant de créer et d'implémenter des processus, procédures, indicateurs, etc. du système de management de la sécurité dans une démarche d'amélioration continue.
J'ai donc passé la certification Implementer/Lead Implementer ISO 27001 en 2019.
Depuis j'ai mis en place cette norme dans différents contextes et ai été amené à travailler sur d'autres référentiels exigeants (LPM et RGS par exemple).
Dans le cadre de ces missions j'ai été amené à communiquer, sensibiliser, faire accepter, faire mettre en place etc. Et ce, auprès de nombreux acteurs différents ; allant des opérationnels aux directeurs.
J'ai participé à l'élaboration d'analyses de risques utilisant les méthodes "EBIOS RM" et "ISO 27005".