Comme il existe des architectes informatiques chargés de penser la conception d’un logiciel, d’un réseau ou d’un système d’information, la cybersécurité a aussi ses architectes qui se spécialisent dans la sécurisation. « L’idée c’est de choisir toutes les briques de sécurité qu’il va falloir assembler pour sécuriser un système d’information » explique ainsi Abdembi Miraoui.
Pour le compte de Capgemini, il assiste les clients qui viennent le consulter pour choisir les différentes solutions à implémenter : « Les clients arrivent généralement avec un cahier des charges, par exemple ils veulent sécuriser une partie de leur SI, ou la globalité, ou encore certaines applications métiers, et notre travail est de retranscrire cela en architecture de sécurité, avec des solutions précises, qui seront ensuite implémentées ». Ce processus est le cœur du travail de l’architecte sécurité, bien que comme l’explique Abdembi Miraoui, il puisse être amené à revenir sur un projet pour affiner ou modifier ses recommandations selon les besoins du client. Cela implique aussi parfois de démystifier un peu certains buzzwords, comme par exemple le Zero Trust : « C’est une philosophie qu’il faut appréhender, et ensuite traduire en solution technique. On croise parfois des clients très fermés face à ce genre de concept marketing, mais c’est aussi notre rôle de leur montrer comment concrètement on a pu mettre en place une approche similaire chez un autre client. »
« L’objectif, c’est toujours de s’adapter aux besoins des clients. Par exemple, une entreprise du secteur bancaire devra répondre à des contraintes réglementaires plus importantes qu’une petite entreprise locale » résume Miraoui. Pour démontrer la pertinence de ses choix et faire face à des entreprises qui souhaitent parfois rogner sur les budgets alloués à la sécurité, l’architecte doit souvent faire preuve d’une certaine pédagogie pour expliquer les enjeux : « Nous essayons de convaincre le client sur la nécessité de mettre telle ou telle brique de sécurité. Mais on sait aussi compter sur les équipes de sécurité interne qui peuvent également aller négocier pour tenter de débloquer les fonds nécessaires. »
Se tenir à l’état de l’art
Cette adaptation permanente oblige les architectes sécurité à maintenir une veille constante sur l’évolution des menaces des méthodologies et des outils de sécurité, une activité qui représente « environ 30% du temps de travail si ce n’est plus » selon Abdembi Miraoui. Et oblige l’architecte à conserver des liens étroits avec les fournisseurs de solutions de sécurité: « On les sollicite énormément, pour vérifier par exemple certaines caractéristiques ou certaines spécificités mais aussi sur des aspects de coûts et de licence. Ils ont généralement un interlocuteur dédié pour répondre à nos questions. » Bien évidemment, du fait de leur rôle dans la recommandation de certains produits, les architectes sécurité sont très convoités par les fournisseurs de solutions qui souhaiteraient que leurs produits soient recommandés.
« C’est du donnant donnant en fait. Ils nous contactent régulièrement pour faire la promotion de leurs produits, mais notre règle d’or reste d’être agnostique : c’est pas parce qu’on a un contrat de partenariat avec un éditeur qu’on va forcément répondre avec des produits de cet éditeur » résume-t-il.
Le métier d’architecte sécurité ne s’improvise pas vraiment : « C’est une activité qui demande tout de même d ‘avoir connu auparavant une certaine expérience de terrain dans des métiers beaucoup plus opérationnels, comme ingénieur sécurité. » Par essence, l’architecte sécurité doit être en mesure de prendre un peu de hauteur et d’adopter une approche transverse, sans être trop spécialisé sur une technologie en particulier. Si des formations existent dans le domaine, Abdembi Miraoui estime qu’elles ne remplacent pas l’expérience acquise dans d’autres rôles. Mais en contrepartie de cela, il encourage les gens évoluant dans la cybersécurité à garder le métier en ligne de mire : « c’est un rôle super intéressant, qui permet d’apprendre constamment et de se confronter tous les jours à de nouveaux contextes. Finalement, il n’y a jamais de routine. «