De consultant stagiaire à Business Developer: l'expérience d'Anne au sein de la BU Risques et Sécurité de Beijaflore

Posté par : Julie Grassin || 4 janvier 2017 à 10:17



Anne, diplômée de l’ECE Paris en 2015, nous raconte son stage de fin d’études dans la Business Unit Cyber Risk & Security (CR&S).

 

Quel a été le sujet de ton stage ?

Ma mission au sein de la Business Unit Cyber Risk& Security (BU CR&S) s’est divisée en deux grandes parties bien distinctes:

  •  Création d’un catalogue de risques, menaces, vulnérabilités et  mesures
  • Assistance aux managers, pilotage de la BU CR&S

 

Comment as-tu traité ces problématiques ?

Dans le cadre de la création du catalogue, j’ai dans un premier temps échangé avec des managers et des consultants en mission au sein de différents comptes bancaires et industriels afin d’obtenir des retours d’expérience et ainsi pouvoir fonder mes propres convictions sur le sujet. Chose assez complexe au début, car bien qu’ayant eu de précédentes expériences en sécurité (développement ou intégration), je n’avais que très peu de connaissances sur ces sujets.

Dans un second temps, j’ai orienté mes recherches sur les normes en vigueur relatives à l’ensemble des éléments que devait contenir le catalogue. L’objectif était d’identifier les standards sur lesquels m’appuyer pour définir le modèle et déterminer les relations qui lient une menace, un risque et une vulnérabilité. Par exemple, afin de mettre en place l’architecture générale des données, je me suis basée sur la norme ISO27005, permettant de relier risques, menaces, vulnérabilités, impacts et mesures, j’ai ainsi travaillé sur un mindmap permettant de schématiser ces relations. Je me suis ensuite spécialisée sur chacun des catalogues (risques, menaces, vulnérabilités..) dans le but de proposer une taxonomie propre permettant de classifier les éléments. Dans le cas des vulnérabilités, par exemple, j’ai défini plusieurs niveaux de catégories permettant de différencier deux types de vulnérabilités. Prenons l’exemple concret d’une injection SQL et d’une faille XSS, l’objectif était de les « stocker dans un catalogue ». J’ai donc dans un premier temps identifié qu’il s’agissait de vulnérabilités, puis de type injection ce qui m‘a permis catégoriser les injections.

Enfin, j’ai échangé avec l’ensemble des managers de la BU CR&S afin de confronter ma proposition à leurs retours d’expériences. J’ai ainsi adapté les taxonomies de données grâce à leurs remarques afin de proposer une solution la plus adaptée possible à l’ensemble des cas d’utilisation des catalogues.


Tu as également contribué au pilotage de la BU, concrètement quelles étaient tes activités au quotidien ?
Les taches dont j’étais en charge étaient diverses et variées. En effet, j’ai aussi bien travaillé sur le suivi avant-vente de la BU CR&S, que sur la revue des droits d’accès aux fichiers de l’intranet et extranet de l’ensemble des collaborateurs CR&S.

J’ai également travaillé en collaboration avec l’équipe d’intégration des nouveaux arrivants : cette activité comprenait autant  la revue de Welcome Pack (package documentaire destiné à former les nouveaux arrivants), que l’accueil des nouvelles personnes intégrant la BU en passant par l’organisation de séminaires de formation pour les nouveaux collaborateurs (revue des supports, planification des formations, etc.)

Enfin, j’ai eu l’opportunité de me positionner en tant que support à la rédaction de plusieurs propositions commerciales.

 

As-tu rencontré des problèmes dans ces activités et comment les as-tu résolus ?
La première difficulté que j’ai rencontrée au cours de ce stage a été l’organisation de mes taches. En effet, mes deux missions n’étant pas liées, j’ai dû faire preuve de méthodologie pour traiter en temps et en heure l’ensemble des taches qui m’étaient confiées.

Dans le cadre de la création des catalogues, j’ai également dû monter  rapidement en compétence sur des sujets sécurité qui m’étaient jusqu’alors inconnus. J’ai pu surmonter ces difficultés grâce à la proximité avec mon maitre de stage, Vice-Président de la BU CR&S, ainsi que les consultants, Business Developer et autres managers présents sur le plateau.

 

Quelle est selon toi la valeur ajoutée de ce stage ?
Ce stage m’a permis, dans un premier temps, de découvrir un aspect de la sécurité que je n’avais, jusqu’alors, jamais abordé : ayant eu des expériences d’intégration sécurité et de développement, je souhaitais m’orienter vers des sujets plus fonctionnels et c’est ce que j’ai trouvé chez Beijaflore.

Dans un second temps, il m’a permis de m’orienter vers des sujets qui m’intéressaient et plus globalement vers un métier qui me tenait à cœur, à savoir Business Developer.

 

Finalement, tu rejoins l’équipe Beijaflore en tant que Business Developer, qu’est-ce qui a motivé ton choix ?

J’ai en effet effectué mon stage de fin étude en tant que consultant de la BU CR&S et intégré Beijaflore en tant que Business Developer. Dans le cadre de mon stage, j’ai eu l’opportunité de travailler quotidiennement avec les managers et les BDs CR&S, et ainsi d’avoir une vision sur l’activité commerciale de la BU. C’est ce côté qui m’a le plus plu durant mes 6 mois de stage et c’est ce pourquoi j’ai souhaité m’orienter vers un métier de Business Developer.

Par ailleurs, le background sécurité que j’ai acquis au cours de mon stage chez Beijaflore, m’a permis de mieux comprendre l’ensemble des sujets sécurité sur lesquels le cabinet intervient et offert l’opportunité de découvrir un autre facette de la sécurité que je n’avais jusqu’alors jamais abordée.

J’ai souhaité exploiter ces deux compétences, sécurité et Business Development, en intégrant Beijaflore en tant que Business Developer au sein de la BU Cyber Risk & Security.

Tags : , , , , ,

Catégorie(s) : Témoignages

IT Security approach: Compliance vs. Risk

Posté par : Julie Grassin || 28 septembre 2016 à 12:46


 

co-écrit par Margot


The goal of these few lines is to share some simple thoughts on how to handle IT Security practices and to compare two approaches: the Compliance and the Risk approaches.

Since many years IT security has been mostly handled through compliance checklists, based on market IT security standards (ex. ISO 27002, COBIT, NIST), specific IT general controls (ITGC), domain specific best practices or regulations (ex. Sarbanes Oxley, PCI-DSS), and internal security policies (resulting from previous).

Today with the threat landscape evolving, the company's IT security exposure increasing and the tight budget management, this multi checklists approach is not appropriated any more, for two practical reasons: Plus...



Tags : , , , ,

Catégorie(s) : Veille

5 questions clés que doivent poser les CEOs à leur RSSI

Posté par : Maxime de Jabrun || 26 septembre 2014 à 16:28

Michael Daniel, coordinateur du président des Etats-Unis pour la cyber sécurité, presse les CEOs à poser à leurs équipes ces 5 questions essentielles :

  1. Comment notre top management est-il informé du niveau actuel de risques cyber qui pèsent sur notre entreprise et de leur conséquences sur le business?

  2. Quel est le niveau actuel de risques cyber qui pèsent sur notre entreprise et de leur conséquences sur le business?? Quel est notre plan d’action pour faire face aux risques identifiés?

  3. Comment notre programme de cyber sécurité applique les normes et les meilleures pratiques de l'industrie?

  4. Combien et quels types de cyber incidents détectons-nous généralement par semaine? Quel est le seuil de notification de notre top management?

  5. Quelle est l'étendue de notre plan de réponse aux cyber incidents? A quelle fréquence est-il testé? Comment l’intègre-t-on dans une démarche amélioration continue?

Tags : , , , ,

Catégorie(s) : Veille

Au plus près des solutions de sécurité du marché avec les Rencontres Editeurs

Posté par : Maxime de Jabrun || 22 juillet 2014 à 11:14

Une fois par mois, la practice Risque & Sécurité de Beijaflore (R&S pour les intimes) organise les « Rencontres Editeurs » : c’est l’occasion pour nos consultants de se réunir autour des principales thématiques de leurs missions avec un éditeur de référence sur le sujet. Ce dernier est invité dans nos locaux pour présenter son offre et une solution de sécurité associée, ainsi que son déploiement dans les environnements de nos clients...

Plus...

Tags : , , , ,

Catégorie(s) : Témoignages

Risk IT, un nouveau mandat pour le RSSI ?

Posté par : Maxime de Jabrun || 17 septembre 2013 à 15:34

Le responsable de la sécurité des systèmes d’information cumule l’expertise en analyse de risque et une excellente maitrise des différentes questions posées à la direction des systèmes d’information par les métiers du fait de la transversalité de sa mission. Naturellement, de plus en plus de RSSI se voient confier la mission d’étudier et superviser les risques portés par la DSI. Mais quels sont-ils ? Sur quel référentiel s’appuyer ? Après enquête auprès de plusieurs RSSI et DSI, vous trouverez ci-après quelques éléments de réponse.

Un référentiel à enrichir et fiabiliser.

N’hésitez pas à me faire part de vos remarques.

Amicalement,

Maxime

Plus...

Tags :

Catégorie(s) : Nos offres

Synthèse de la conférence donnée aux Assises de la Sécurité

Posté par : Maxime de Jabrun || 14 décembre 2012 à 09:15

LE RISQUE : UN BUSINESS MODEL POUR LE RSSI ?

5 RECETTES POUR REUSSIR PAR LES RISQUES

Des analyses de risques pléthoriques, incomplètes, incohérentes, mal ciblées et non utilisées...

Qui travaille sur le risque dans votre organisation ? Quels en sont les enjeux ?

Quelles synergies existent entre la cartographie des risques et l'accompagnement sécurité des projets ?

Quels leviers peuvent être actionnés pour optimiser la pertinence des analyses ?

 

Nous avons construit une démarche rapide et fiable d’analyse des risques, issue de nos retours d’expérience dans les métiers de l’Oil & Gas, des Infrastructures Vitales (de transport et d’énergie), de la R&D et de la Finance.

Elle permet de réussir son approche risque et de donner de nouvelles perspectives à nos clients. Elle s’articule autour de cinq recettes que nous vous présentons ici pour vous mettre l’eau à la bouche.

Plus...

Tags :

Catégorie(s) : Les Assises

Le rire comme indicateur de la sécurité d’une entreprise !

Posté par : Veille || 29 septembre 2011 à 17:05

Les chiffres sont couramment utilisés comme indicateurs pour mesurer le niveau de sécurité d’une entreprise, et ils sont souvent représentatifs d’un état précis. Pourtant, un autre indicateur très simple permet de jauger très rapidement du niveau de maturité de la sécurité d’une entreprise : le rire !

Plus...

Tags : , ,

Catégorie(s) : Veille

3 questions clés pour vos Risques IT

Posté par : Maxime de Jabrun || 20 septembre 2011 à 15:12

Quels sont vos risques ? Quelles sont les causes des événements que vous redoutez le plus ? Comment positionnez-vous votre profil de risques sur la place ?
Participez à l'étude sur les risques IT et trouvez des réponses aux questions clés.

Plus...

Tags : , ,

Catégorie(s) : Benchmark

Les blogueurs

C'est à l'occasion de notre première participation aux Assises de la Sécurité que nous avons eu envie de créer un espace ouvert aux professionnels qui partagent nos centres d'intérêt.

Un espace d'échanges donc qui nous donne le loisir d'exprimer nos points de vue sur les problématiques Risque et Sécurité mais surtout - et nous l'espérons - de recueillir vos avis éclairés.

Twitter