Cabinet de conseil en maîtrise des risques numériques, DBM Partners mène une expertise pointue dans le domaine de la cybersécurité. Nous sommes spécialisés dans les quatre domaines suivants : Cybersécurité, sécurité offensive, Gouvernance Risque et Conformité et enfin Pilotage et Accompagnement.
Et pour tout savoir sur notre cabinet (sans même avoir à le demander), nous allons tout vous dire (ou presque) sur nos départements et ceux qui les dirigent. Pour ce nouvel épisode, Eric Jolly, nous ouvre grand les portes de son département Gouvernance, Risque et Conformité, inauguré en mai 2023.
Mais qui êtes-vous Eric ?
Je suis le responsable du département GRC, pour Gouvernance, Risque et Conformité, chez DBM Partners. J’ai rejoint en tant que consultant le cabinet en 2021, car il arrivait selon moi à parfaitement conjuguer bonne ambiance et missions intéressantes dans le domaine de la GRC. Il faut savoir que j’ai une formation initiale d’ingénieur, mais sans aucun rapport avec l’informatique ou la cybersécurité (Eric a œuvré dans la propulsion aéronautique et spatiale). Et c’est par hasard que j’ai abordé la GRC lors des 5 années passées dans un grand cabinet parisien, puis comme RSSI adjoint au sein d’une ESN avec des enjeux liés à la gouvernance et à la mise en place de la norme ISO 27001. C’est ainsi que j’ai découvert un environnement très dynamique qui permet de rencontrer des profils très variés, et que je n’ai plus voulu quitter.
Pouvez-vous nous expliquer ce qui se passe dans votre département ?
L’équipe GRC de DBM Partners accompagne ses clients pour inscrire l’ensemble des actions de sécurisation du SI dans une démarche d’entreprise, et répondre au mieux à leurs enjeux stratégiques. Ce qui se traduit par la mise en place d’organisations, de processus et de corpus documentaires à même de répondre à ces enjeux en matière de sécurité et de gestion des risques.
Concrètement, nous mettons en place des dispositifs qui permettent l’identification des risques pesant sur l’organisation et la définition des plans d’action à même de les réduire, et le renforcement de la résilience. Nous définissons et accompagnons également la mise en place de systèmes de management de la sécurité des systèmes d’information, basés sur des référentiels internes comme externes (RGPD, NIST, ISO27001, etc.).
L’équipe GRC apporte donc une vraie plus-value à ses clients à travers son dynamisme et son expertise pour cadrer et optimiser les démarches de sécurisation des SI et les inscrire dans un contexte global de gouvernance.
Quels sont les enjeux, présents et futurs, du département GRC ?
Les entreprises et les collectivités prennent de plus en plus conscience de l’importance de traiter le risque cyber, et pas uniquement d’un point de vue technique. Ce risque doit en effet être intégré à une gouvernance globale, et s’adresser autant au métier qu’à l’IT. Pour répondre à cet enjeu, nos actions vont de plus en plus souvent prendre la forme de « missions au forfait », ou « clé en main ». Notamment sur la gestion des risques au niveau d’une entité métier (donc pas uniquement sur un projet). Nous allons également développer ce type d’offre autour de l’audit de conformité, avec l’ISO 27001 évidemment, mais aussi avec DORA (pour Digital Operational Resilience Act, qui entrera en application le 17 janvier 2025 et vise à soutenir la résilience opérationnelle des acteurs financiers à l’échelle de l’Union européenne), HDS (certification de l’Hébergement de Données de Santé), SecNumCloud (ensemble de règles de sécurité à suivre par les prestataires de services Cloud garantissant un haut niveau d’exigence tant du point de vue technique, qu’opérationnel ou juridique) PCI-DSS (Payment Card Industry Data Security Standard) et bientôt de l’accompagnement à la mise en conformité pour NIS 2.
« Les entreprises et les collectivités prennent de plus en plus conscience de l’importance de traiter le risque cyber, et pas uniquement d’un point de vue technique »
De fait, pour couvrir des sujets toujours plus nombreux et variés, le recrutement est un enjeu d’importance chez DBM Partners et au département GRC. Les principaux avantages que nous offrons sont de proposer des missions valorisantes à l’intérieur d’une structure à taille humaine, ainsi qu’une grande autonomie qui permet de développer des offres si l’envie est là, ou de réfléchir à la façon de faire évoluer les offres existantes. Pour les consultants déjà en poste, nous avons une politique de monter en compétence dans certains domaines, avec par exemple la certification ISO 22301 (Systèmes de management de la continuité d’activité) pour couvrir une demande plurielle.
Pouvez-vous nous donner un cliché qui vous irrite sur la cybersécurité véhiculé au cinéma ?
Les films et séries véhiculent souvent l’image du marginal en sweat à capuche qui tape très vite sur son clavier, capable de faire tout et n’importe quoi, comme pirater n’importe quel système. Il est tombé dans la cyber quand il était petit et a fait ça toute sa vie. Dans la réalité, de nombreux professionnels qui travaillent dans la cybersécurité possèdent une approche très business, avec pour principaux outils la suite Office Microsoft, une connexion Internet et parfois ChatGPT. Ils sont certainement aussi nombreux aujourd’hui que les professionnels qui « codent à toute vitesse ». Mon profil est un bon exemple, car j’ai bifurqué par hasard dans la sécurité après avoir trituré des moteurs dans l’aéronautique, et cela ne m’a pas empêché de prospérer dans ce domaine. Il ne faut pas oublier que la plupart des cursus d’enseignements cyber sont récents, et de fait les profils capés avec beaucoup d’expériences aujourd’hui n’ont jamais suivi ce genre de formation, puisqu’elles n’existaient même pas 20 ans auparavant. De fait, avec de la motivation et de la passion, le domaine de la cybersécurité est ouvert au plus grand nombre.
