De consultant stagiaire à Business Developer: l'expérience d'Anne au sein de la BU Risques et Sécurité de Beijaflore

Posté par : Julie Grassin || 4 January 2017 à 10:17



Anne, diplômée de l’ECE Paris en 2015, nous raconte son stage de fin d’études dans la Business Unit Cyber Risk & Security (CR&S).

 

Quel a été le sujet de ton stage ?

Ma mission au sein de la Business Unit Cyber Risk& Security (BU CR&S) s’est divisée en deux grandes parties bien distinctes:

  •  Création d’un catalogue de risques, menaces, vulnérabilités et  mesures
  • Assistance aux managers, pilotage de la BU CR&S

 

Comment as-tu traité ces problématiques ?

Dans le cadre de la création du catalogue, j’ai dans un premier temps échangé avec des managers et des consultants en mission au sein de différents comptes bancaires et industriels afin d’obtenir des retours d’expérience et ainsi pouvoir fonder mes propres convictions sur le sujet. Chose assez complexe au début, car bien qu’ayant eu de précédentes expériences en sécurité (développement ou intégration), je n’avais que très peu de connaissances sur ces sujets.

Dans un second temps, j’ai orienté mes recherches sur les normes en vigueur relatives à l’ensemble des éléments que devait contenir le catalogue. L’objectif était d’identifier les standards sur lesquels m’appuyer pour définir le modèle et déterminer les relations qui lient une menace, un risque et une vulnérabilité. Par exemple, afin de mettre en place l’architecture générale des données, je me suis basée sur la norme ISO27005, permettant de relier risques, menaces, vulnérabilités, impacts et mesures, j’ai ainsi travaillé sur un mindmap permettant de schématiser ces relations. Je me suis ensuite spécialisée sur chacun des catalogues (risques, menaces, vulnérabilités..) dans le but de proposer une taxonomie propre permettant de classifier les éléments. Dans le cas des vulnérabilités, par exemple, j’ai défini plusieurs niveaux de catégories permettant de différencier deux types de vulnérabilités. Prenons l’exemple concret d’une injection SQL et d’une faille XSS, l’objectif était de les « stocker dans un catalogue ». J’ai donc dans un premier temps identifié qu’il s’agissait de vulnérabilités, puis de type injection ce qui m‘a permis catégoriser les injections.

Enfin, j’ai échangé avec l’ensemble des managers de la BU CR&S afin de confronter ma proposition à leurs retours d’expériences. J’ai ainsi adapté les taxonomies de données grâce à leurs remarques afin de proposer une solution la plus adaptée possible à l’ensemble des cas d’utilisation des catalogues.


Tu as également contribué au pilotage de la BU, concrètement quelles étaient tes activités au quotidien ?
Les taches dont j’étais en charge étaient diverses et variées. En effet, j’ai aussi bien travaillé sur le suivi avant-vente de la BU CR&S, que sur la revue des droits d’accès aux fichiers de l’intranet et extranet de l’ensemble des collaborateurs CR&S.

J’ai également travaillé en collaboration avec l’équipe d’intégration des nouveaux arrivants : cette activité comprenait autant  la revue de Welcome Pack (package documentaire destiné à former les nouveaux arrivants), que l’accueil des nouvelles personnes intégrant la BU en passant par l’organisation de séminaires de formation pour les nouveaux collaborateurs (revue des supports, planification des formations, etc.)

Enfin, j’ai eu l’opportunité de me positionner en tant que support à la rédaction de plusieurs propositions commerciales.

 

As-tu rencontré des problèmes dans ces activités et comment les as-tu résolus ?
La première difficulté que j’ai rencontrée au cours de ce stage a été l’organisation de mes taches. En effet, mes deux missions n’étant pas liées, j’ai dû faire preuve de méthodologie pour traiter en temps et en heure l’ensemble des taches qui m’étaient confiées.

Dans le cadre de la création des catalogues, j’ai également dû monter  rapidement en compétence sur des sujets sécurité qui m’étaient jusqu’alors inconnus. J’ai pu surmonter ces difficultés grâce à la proximité avec mon maitre de stage, Vice-Président de la BU CR&S, ainsi que les consultants, Business Developer et autres managers présents sur le plateau.

 

Quelle est selon toi la valeur ajoutée de ce stage ?
Ce stage m’a permis, dans un premier temps, de découvrir un aspect de la sécurité que je n’avais, jusqu’alors, jamais abordé : ayant eu des expériences d’intégration sécurité et de développement, je souhaitais m’orienter vers des sujets plus fonctionnels et c’est ce que j’ai trouvé chez Beijaflore.

Dans un second temps, il m’a permis de m’orienter vers des sujets qui m’intéressaient et plus globalement vers un métier qui me tenait à cœur, à savoir Business Developer.

 

Finalement, tu rejoins l’équipe Beijaflore en tant que Business Developer, qu’est-ce qui a motivé ton choix ?

J’ai en effet effectué mon stage de fin étude en tant que consultant de la BU CR&S et intégré Beijaflore en tant que Business Developer. Dans le cadre de mon stage, j’ai eu l’opportunité de travailler quotidiennement avec les managers et les BDs CR&S, et ainsi d’avoir une vision sur l’activité commerciale de la BU. C’est ce côté qui m’a le plus plu durant mes 6 mois de stage et c’est ce pourquoi j’ai souhaité m’orienter vers un métier de Business Developer.

Par ailleurs, le background sécurité que j’ai acquis au cours de mon stage chez Beijaflore, m’a permis de mieux comprendre l’ensemble des sujets sécurité sur lesquels le cabinet intervient et offert l’opportunité de découvrir un autre facette de la sécurité que je n’avais jusqu’alors jamais abordée.

J’ai souhaité exploiter ces deux compétences, sécurité et Business Development, en intégrant Beijaflore en tant que Business Developer au sein de la BU Cyber Risk & Security.

Tags : , , , , ,

Catégorie(s) : Témoignages

Attaque de TV5Monde : sensibilisez vos collaborateurs !

Posté par : Maxime de Jabrun || 20 April 2015 à 10:39

co-écrit par Florian

Dans la nuit du 8 au 9 avril dernier, TV5Monde a été victime d’une attaque informatique. Les pirates se sont tout d’abord attaqués aux serveurs, puis ont pris le contrôle des comptes Facebook et Twitter, ainsi que du site Internet de l’entreprise. 

Les dernières informations à propos de cette attaque indiquent que les pirates se seraient introduits dans le système d’information de la chaîne de télévision par le biais de l’ingénierie sociale : l’abus de confiance et l’exploitation de failles humaines pour arriver à ses fins. En effet, en janvier dernier, tous les journalistes de la chaîne avaient reçu un mail de phishing (ou « hameçonnage »), et trois d’entre eux ont ouvert la pièce jointe au mail, ce qui a eu pour effet d’installer un cheval de Troie sur leur machine. 

Un incident similaire à celui de TV5Monde pourrait se produire dans votre entreprise. Alors pourquoi ne pas profiter de cette occasion pour débuter une campagne de sensibilisation qui saura toucher vos collaborateurs ?

Comment mettre en place une campagne de sensibilisation et faire en sorte qu’elle soit un succès ? More...

Tags : , , , , , , , ,

Catégorie(s) : Veille

Good or Bad USB ?

Posté par : Maxime de Jabrun || 24 October 2014 à 11:06

Lors de la célèbre Black Hat en juillet dernier, les chercheurs Karsten Nohl et Jakon Lell étaient très attendus avec la présentation de la faille Bad USB. Les clefs USB sont déjà connues comme un vecteur important d’infection pour nos ordinateurs, mais des solutions existent afin de s’en prémunir, notamment un antivirus à jour.

Mais ce qu’ont découvert ces deux chercheurs va beaucoup plus loin !

La faille Bad USB permet d’injecter du code malveillant directement dans les firmwares des périphériques USB sans que celui ne puisse être détecté ni supprimé par l’utilisateur. En effet les antivirus ne sont actuellement  pas capables de scanner l’espace dédié au firmware d’une clé USB par exemple. De plus le formatage ne permet pas non plus de nettoyer l’espace de stockage du firmware..

Quels sont les risques ?

More...

Tags : , , ,

Catégorie(s) : Veille

C’est le Shock dans le monde de la sécurité informatique !

Posté par : Maxime de Jabrun || 2 October 2014 à 18:46

Shellshock la dernière vulnérabilité critique qui a été découverte dans l’interpréteur de commande Bash. L’outil, disponible majoritairement depuis une vingtaine d’années dans les systèmes d’exploitation Unix, existe également sur OS X et Windows (par le biais de CygWin).

Bash est largement répandu dans le domaine d’Internet, notamment sur les serveurs WEB, DHCP et SSH. On estime à 500 millions le nombre d’équipements potentiellement impactés par cette vulnérabilité. Cette forte présence et les impacts liés à l’exploitation de la vulnérabilité (intrusion, vol d’information…) en font une vulnérabilité de niveau de criticité maximal.

More...

Tags : , ,

Catégorie(s) : Veille

Les blogueurs

C'est à l'occasion de notre première participation aux Assises de la Sécurité que nous avons eu envie de créer un espace ouvert aux professionnels qui partagent nos centres d'intérêt.

Un espace d'échanges donc qui nous donne le loisir d'exprimer nos points de vue sur les problématiques Risque et Sécurité mais surtout - et nous l'espérons - de recueillir vos avis éclairés.

Twitter