Les menaces contre les réseaux informatiques sont en hausse. La cybersécurité est assurément une voie d’avenir pour les diplômés en TIC.
«En sécurité de l’information, le risque zéro n’existe pas», affirme François Daigle, directeur des Services professionnels chez OKIOK, une entreprise spécialisée en cybersécurité depuis plus de 35 ans. Le groupe Anonymous l’a prouvé le printemps dernier en piratant, entre autres, des sites gouvernementaux et de partis politiques qui semblaient pourtant fiables. Dans la foulée de ces événements, des entreprises menacées de subir le même sort ont fait appel aux services d’OKIOK, dont la quarantaine d’employés a l’habitude de ce genre de mandat.
«Selon les mandats, nos consultants en sécurité sont appelés à faire des tests d’intrusion, de l’administration de coupe-feu, du développement d’architecture de sécurité et de l’analyse de vulnérabilités applicatives, une vérification qui vise à trouver les erreurs de programmation qui pourraient ouvrir la porte à des pirates ou des fraudeurs», explique François Daigle. L’entreprise montréalaise développe également des logiciels de sécurité et offre des services en cyberenquête afin de valider l’intégrité de documents électroniques ou de rechercher des preuves informatiques, par exemple.
Besoins croissants
La clientèle d’OKIOK est constituée de PME et de grandes entreprises, dont principalement des institutions financières, des organismes gouvernementaux et paragouvernementaux. Dans le contexte actuel, où la cybercriminalité est en hausse, les plus petites entreprises commencent également à s’intéresser à la cybersécurité. Pour des raisons financières, elles doivent souvent se tourner vers de petites boîtes, comme Optik Sécurité, créée par Francis Dubé et son associé il y a un peu plus de cinq ans. «Nous offrons les mêmes services que les grandes entreprises mais de façon plus modeste, explique Francis Dubé. Notre créneau principal est de développer des passerelles de sécurité pour des entreprises, qui permettent de faire le pont entre le système interne du réseau et Internet. Nous travaillons avec des logiciels gratuits, ce qui évite à nos clients d’avoir à payer les coûts élevés des licences des logiciels vendus.»
— Francis Dubé, cofondateur d’Optik Sécurité
De façon générale, la clientèle d’Optik Sécurité souhaite sécuriser l’ensemble des données relatives à l’entreprise. «On remarque aussi un intérêt grandissant pour rendre l’échange de courriels plus sécuritaire, précise Francis Dubé. On veut ainsi éviter que des données sensibles, comme des informations financières, soient interceptées.» De plus, si les entreprises ont longtemps voulu se protéger des menaces extérieures, elles souhaitent aujourd’hui se prémunir aussi contre les risques de fuites à l’interne.
Esprits tordus recherchés
L’entreprise OKIOK embauche autant les diplômés universitaires que collégiaux en informatique. Mais pour François Daigle, le diplôme ne suffit pas. Selon lui, un intérêt marqué pour la cybersécurité est un impératif pour travailler dans le milieu. «Même si un candidat a de bonnes notes, qu’il a reçu des honneurs, si son parcours ne témoigne pas de son intérêt pour la sécurité de l’information, c’est moins vendeur», affirme-t-il. Pour ces raisons, un postulant qui a assisté au Hackfest de Québec ou au HackUS de Sherbrooke, des événements où les participants prennent part à diverses épreuves de cybersécurité et de piratage informatique, a une longueur d’avance sur les autres aux yeux du directeur. «Quelqu’un peut être très
bon sur papier, mais ne pas avoir le twisted mind qu’il faut pour être un bon pirate “à col blanc”, explique-t-il. Il faut un esprit assez tordu pour imaginer les pires scénarios d’attaques contre les systèmes. La cybersécurité nécessite une certaine façon de penser et d’aborder les problèmes.»
«Pour travailler en cybersécurité, il faut être minutieux et un brin paranoïaque, admet Francis Dubé en riant. Il faut pouvoir imaginer toutes les éventualités afin que les systèmes puissent en être protégés avec assurance.»
En français s.v.p.
Il faut aussi savoir vulgariser l’information et être capable de s’exprimer dans un français convenable. «Les consultants ne doivent pas seulement s’exprimer en bits and bytes, illustre François Daigle. Ils doivent être capables d’expliquer à un gestionnaire ce qu’est un denial of service ou un buffer overflow. Quant à la capacité à s’exprimer en anglais, c’est davantage un atout qu’une exigence, mais ça peut faire la différence dans l’obtention d’un contrat. Nos clients de Winnipeg ou de Vancouver ne parlent pas vraiment français.»
Blanc comme neige
«Un informaticien qui souhaite travailler en cybersécurité et qui a un casier judiciaire aurait tout intérêt à entreprendre sans attendre les démarches pour obtenir un pardon, prévient François Daigle. Mon problème ne sera pas de l’engager, mais de le placer chez un client, explique-t-il. Il ne passera pas l’enquête de sécurité.»
Le milieu de la cybersécurité réserve donc de nombreux défis aux informaticiens qui souhaitent s’y consacrer. Internet n’est pas infaillible, à vous d’en percer les lacunes et d’y remédier.
Former pour lutter
Dans le milieu hyper pointu de la cybersécurité, la spécialisation est un atout pour tout informaticien qui souhaite ressortir du lot. «Il est certain que mon intérêt sera plus grand pour le candidat qui a une formation spécialisée en cybersécurité que pour celui qui n’a qu’un diplôme en informatique», fait valoir François Daigle, directeur des Services professionnels chez OKIOK.
Parmi les formations offertes se trouve le microprogramme de deuxième cycle en sécurité informatique que l’Université de Sherbrooke donne à son campus de Longueuil. Polytechnique Montréal propose également trois certificats : Cyberenquête, Cyberfraude et Cybersécurité des réseaux informatiques. La conception et la coordination des trois programmes ont été confiées à un policier retraité de la Sûreté du Québec, spécialisé en cybercriminalité, Gervais Ouellet. «Selon le certificat, nos étudiants proviennent du milieu policier, mais également gouvernemental, bancaire et des affaires. La plupart ont étudié en TIC au collégial ou à l’université. Certains sont toujours aux études en informatique et souhaitent se spécialiser.» Seul le certificat en cybersécurité des réseaux requiert un diplôme en TIC ou une expérience jugée équivalente. «Ce préalable est nécessaire, puisque le contenu de ce certificat est beaucoup plus complexe que les deux autres», explique Gervais Ouellet.
À l’instar de plusieurs consultants en sécurité de l’information, les employés d’OKIOK se munissent également de certifications de plus en plus exigées par la clientèle, comme CISA (Certified Information Systems Auditor) ou CISSP (Certified Information Systems Security Professional), deux certifications de calibre international qui sont offertes par des organismes comme l’ISACA ou l’(ISC)2 (Systems Security Certification Consortium). Chez OKIOK, la certification CISSP doit être faite par tous les employés. L’entreprise paie en moyenne deux formations par année à ses employés.
Cet article est tiré du guide
Les carrières des technologies de l’information et des communications 2013