La certification Certified Information Systems Security Professional (CISSP) est considérée comme l’étalon-or en matière de sécurité de l’information. C’est ainsi à cause de toutes les portes que la certification ouvre à un professionnel du CISSP. Ces portes mènent à de nombreux types de postes et d’opportunités, rendant ainsi la communauté de la sécurité de l’information dynamique et multiforme.
À l’appui de cette diversité, (ISC)2 a lancé une série d’entretiens pour explorer où la certification CISSP a conduit les professionnels de la sécurité. La dernière fois, Angus Macrae a partagé son expérience du CISSP. Ce volet met en vedette Melissa Parsons, consultante principale en cybersécurité chez KPMG Canada. Elle a connu un succès notable dans la conduite et la gestion de projets informatiques, de sécurité et de confidentialité de plus en plus complexes.
Quel travail faites-vous aujourd’hui ?
Actuellement, je travaille en tant que Consultant Senior en Cybersécurité au sein de la pratique Conseil et Conseil en Risques au sein d’un cabinet » Big 4 « .
Quels problèmes votre entreprise résout-elle ?
Mon équipe et moi-même aidons les organisations des secteurs privé et public à naviguer et à minimiser le monde des cyberrisques. Les principaux domaines d’intérêt incluent la stratégie et la gouvernance, la transformation, la cyberdéfense et la cyberréponse. Récemment, j’ai travaillé sur un certain nombre d’Évaluations des Risques de Traitement (ou TRA) ainsi que sur des engagements ISO 27001 relatifs au Système de Gestion de la Sécurité de l’Information (ou SMSI) d’un client.
Pourquoi avez-vous d’abord décidé de vous lancer dans la cybersécurité ?
Je voulais continuer à aider mon entreprise à innover en toute sécurité et en toute sécurité d’une manière informée et tenant compte des menaces, des risques et des vulnérabilités en cours de route.
Comment était la vie lorsque vous avez commencé votre carrière dans la cybersécurité ?
J’ai fait la transition vers une carrière en cybersécurité d’un ancien rôle DevOps au sein d’une entreprise en interne. Je connaissais intimement la technologie et l’architecture de cette organisation au moment où j’ai occupé un poste d’analyste de la sécurité. Grâce à ces connaissances historiques au sein de l’entreprise, j’ai pu identifier clairement les points forts et les domaines nécessitant une attention et des soins supplémentaires en matière de sécurité.
Quel a été votre premier emploi en cybersécurité ?
Analyste de sécurité. J’étais responsable de la gestion du programme de sécurité interne, y compris les aspects techniques du risque d’entreprise, de la réponse aux incidents, des demandes d’accès légales (j’ai agi en tant que responsable de la protection de la vie privée), de la planification et des tests de reprise après sinistre, ainsi que des obligations d’audit et de réglementation.
Pourquoi avez-vous décidé d’entreprendre le CISSP ?
Prendre le CISSP était une « évidence » pour moi une fois que j’avais une certaine expérience à mon actif. J’avais déjà pris et passé le SSCP de (ISC) 2. C’était la prochaine étape logique de mon développement professionnel. Je savais que c’était le certificat le plus recherché dans mon domaine, et je savais qu’il serait nécessaire pour des postes / contrats plus élevés et qu’il ouvrirait beaucoup de portes (et c’est le cas!). L’obtention du CISSP démontre que vous avez une expérience professionnelle pratique, une compréhension approfondie de la sécurité dans les huit domaines testés et une connaissance de presque tous les aspects du paysage de la cybersécurité.
Qu’est-ce qui vous a poussé à le faire?
J’ai commencé à consulter au moment où j’ai obtenu mon CISSP. Je travaillais sur des propositions de DP avec mon équipe, ce qui indiquait principalement que le CISSP était une qualification préalable dans les exigences. En plus d’être qualifié pour travailler sur des projets incroyables avec de grands clients des secteurs privé et public, le CISSP est très apprécié, reconnu et respecté parmi ses pairs et ses collègues à travers le monde.
Combien de temps a-t-il fallu pour atteindre le CISSP?
J’ai commencé et arrêté d’étudier pendant un an, puis j’ai bouclé le dernier mois avant de passer l’examen.
Quelles ressources avez-vous utilisées?
J’ai acheté le guide d’étude officiel (ISC) 2 et les tests pratiques. En plus de ces ressources, j’ai regardé des tutoriels en ligne, pris beaucoup de notes manuscrites et utilisé mon tableau blanc pour suivre mes progrès.
Avez-vous suivi une formation ?
Je ne l’ai pas fait, mais avec le recul, cela a peut-être été très utile et moins stressant. Cela pourrait être une façon d’apprendre plus dynamique avec une meilleure structure que la voie de l’autoformation.
Qu’est-ce qui vous a le plus surpris à propos du CISSP ?
Je ne pense pas avoir été trop surpris par beaucoup. J’ai beaucoup d’amis et de collègues qui ont réussi l’examen et m’ont offert d’excellents conseils et astuces. Je vous recommande de contacter votre réseau et de demander à quelques détenteurs de CISSP différents leurs expériences. Chacun a une expérience et une perspective légèrement différentes.
Quels ont été les premiers changements que vous avez remarqués après être devenu un CISSP?
J’étais dans une nouvelle phase un peu intimidante de ma carrière au cours de laquelle je consultais pour des entreprises du Fortune 500 et de grandes entités gouvernementales dans le domaine de la cybersécurité. J’étais impatiente, effrayée et excitée à la fois! La réalisation de mon CISSP était une cause pour célébrer une autre étape importante. Cela m’a fait me sentir plus confiant dans mes capacités et m’a donné la validation de calmer le « monstre du syndrome de l’imposture » qui se cache aux coins les plus reculés de mon esprit et de « continuer le spectacle » pour produire des livrables précieux pour mes clients.
Quelles étapes vous ont amené au travail que vous faites aujourd’hui?
Lorsque j’ai décidé d’essayer le conseil, mon objectif était d’élargir mes expériences et ma base de connaissances antérieures en cybersécurité à de multiples industries et secteurs afin d’avoir une vision plus globale des défis des organisations. Ce fut un voyage et une expérience d’apprentissage incroyables. Cela a accéléré ma compréhension et mon appréciation de la façon dont les entreprises et les organisations élaborent des stratégies et opèrent en matière de cybersécurité, de TI, de gestion de l’information, de confidentialité et de risques d’entreprise. J’ai eu beaucoup de chance de travailler aux côtés de cadres supérieurs et de membres du conseil d’administration de certaines organisations très innovantes et talentueuses. Bref, le travail a été à la fois inspirant et enrichissant. (J’ai fait le bon geste!)
De quelle réalisation ou contribution êtes-vous le plus fier?
Plus tôt cette année, on m’a demandé de retourner à mon collège pour me présenter en tant qu’ancienne élève à un événement mondial pour les femmes dans la cybersécurité. J’ai été honoré et j’ai senti que c’était vraiment l’un de ces moments de « cercle complet » de la vie. Il y avait des conférenciers invités du monde entier, une couverture médiatique et de nombreux chefs d’entreprise et de gouvernement impressionnants. J’étais tellement nerveux, mais j’ai ressenti une énorme nécessité de le « clouer ». »J’ai pratiqué ce discours pendant des semaines, et pendant ces 7 minutes sur le podium, j’ai vu mon instructeur préféré me sourire du public. J’ai dû m’abstenir de me déchirer à plusieurs reprises. Après l’événement, je lui ai fait un câlin et je l’ai remercié d’avoir cru en moi alors que j’étais à un moment de ma vie où je ne croyais pas beaucoup en moi. Une grande partie de ma présentation ce soir-là a fait écho à ce thème de croire en soi, de trouver du mentorat et de payer cela quand vous le pouvez.
Quel est votre métier que vous aimez ?
J’aime aider les organisations à élaborer des feuilles de route et à mûrir leur posture de sécurité. Je suis un penseur très stratégique et analytique et je tire beaucoup trop de joie de la recherche et de la planification. Je ne crois pas au modèle « taille unique ». J’aime personnaliser des plans réalistes et réalisables pour rendre le monde un peu plus sûr pour nous tous. J’adore recevoir les commentaires des clients lors d’une réunion de clôture. Je verse vraiment mon cœur et mon âme dans ce que je fais, et cela signifie pour moi que d’autres personnes et organisations peuvent en bénéficier.
Quel est le plus grand défi auquel vous avez été confronté dans votre carrière ?
Le plus grand défi ? Avoir une carrière du tout! J’étais une jeune mère monoparentale qui se débattait très tôt, et j’étais une « late bloomer » lorsqu’il s’agissait de trouver un chemin qui me passionnait (et qui pouvait payer les factures!). Je n’aurais jamais imaginé il y a 10-15 ans que ce serait dans la cybersécurité! Mon moi plus jeune aurait pensé que je n’étais pas « assez » (assez intelligent, assez talentueux, assez motivé, etc.). Et pourtant, j’ai toujours eu une vive « tendance à l’enquête » dans tous mes lieux de travail antérieurs pendant ces années de support client et de travail informatique. J’ai été surnommé « P.I. Panais » par un ancien manager, et cela m’est resté toutes ces années plus tard! Je suis vraiment fier de ne pas avoir renoncé à relever de nouveaux défis et à essayer de nouvelles choses. Vous ne savez jamais de quoi vous êtes capable jusqu’à ce que vous essayiez! Cela semble tellement cliché, mais ce sont tous ces sauts de foi qui m’ont conduit ici aujourd’hui.
Quelles ambitions avez-vous pour votre carrière à venir?
J’essaie toujours de comprendre celui-là! À vrai dire, j’ai des moments (comme ceux-ci, en faisant cette interview) où je suis en état de choc total! Je me vois continuer à perfectionner mes compétences en stratégie et en conseil, peut-être dans un rôle plus important.
Comment vous assurez-vous que vos compétences continuent de croître?
J’appartiens à un certain nombre d’associations professionnelles et de chapitres tels que (ISC) 2, et je continue de participer à des séminaires, des conférences, des webinaires et des formations pour garder mes compétences pointues et acquérir de nouvelles perspectives et idées d’autres membres de la communauté. Le réseautage est la clé de tout cheminement de carrière. Je trouve que je tire les meilleurs enseignements des environnements où je rencontre et me mêle à d’autres professionnels et que je les entends partager leurs histoires. C’est un excellent moyen de rencontrer de nouveaux mentors et d’offrir du mentorat aux autres.
Selon vous, quel est le plus grand défi pour la cybersécurité en ce moment?
Je pense que le plus grand défi à l’heure actuelle est l’expansion rapide du paysage des menaces. Nous avons du mal à suivre. Les adversaires ne sont plus seulement de nature humaine; ils sont également constitués de la technologie même que nous avons créée par demande d’automatisation, de vitesse, d’agilité et d’efficacité. Pensez aux bots, par exemple. Ils ont la capacité d’être utilisés pour le bien ou, franchement, pour le mal. Il ne fait aucun doute que la révolution numérique a conduit à des avancées miraculeuses dans des domaines comme la santé et toutes sortes d’accessibilité merveilleuse à l’information comme jamais auparavant, mais il y a toujours ces pensées derrière ma tête autour de « Ok, mais comment est-ce configuré? Où vont mes données ? Qui/à quoi a accès? Quelles sont les menaces et les risques potentiels? » chaque fois qu’un nouveau produit ou une nouvelle solution est adopté.
Selon vous, Quelles solutions pourraient résoudre ce problème?
Une bonne supervision / gouvernance associée à la sécurité dès la conception pourrait aider, mais il faut d’abord éduquer sur l’importance d’intégrer la sécurité dans tout le SDLC. Une partie de ce qui m’a attiré dans ce « monde » est la protection des gens. La sensibilisation et l’éducation à la cybersécurité sont une de mes missions personnelles, mais ce n’est pas une mission dans laquelle je m’engage par « peur » ou par critique. Nous devons utiliser l’empathie et la compassion dans ce domaine pour aller de l’avant et travailler ensemble au lieu de pointer du doigt et de faire le tour des « patates chaudes ».
Qui vous inspire dans le monde de la cybersécurité ?
Jeunesse! C’est les ados et les jeunes de 20 ans. Je les vois tous excités, informés et tellement hyper-informés. Ils m’inspirent tous les jours. Ils vont changer de monde, je n’ai aucun doute là-dessus, nous avons donc un devoir incroyable de les « servir et de les protéger » dans toutes les capacités possibles. Pour moi personnellement, cela passera par mes petits actes quotidiens en tant que parent, bénévole et professionnel de la cybersécurité.
Que devraient savoir, selon vous, les personnes qui envisagent une carrière dans la cybersécurité ?
Il existe aujourd’hui un large éventail de rôles et d’options en matière de cybersécurité dans cette nouvelle ligne de carrière en constante expansion. Si vous en envisagez un, considérez-les tous. Essayez beaucoup de choses différentes. Amusez-vous avec elle aussi! Jouez avec différents langages de programmation et scripts, testez et examinez différents outils et produits. Il y a tellement de façons de contribuer à cette communauté qui complimente tant de types de personnes, de compétences, de personnalités et de curiosités différentes, de l’AppSec au réseautage, en passant par l’OpSec, la chasse aux menaces, la gouvernance, le risque et la conformité et tout le reste! De plus, n’ayez pas peur de contacter les personnes occupant un rôle de cybersécurité et de leur poser des questions sur leurs expériences.
Pour en savoir plus sur le CISSP, téléchargez notre Guide Ultime ou apprenez-en plus avec nos livres blancs, Pourquoi il n’a jamais été aussi important d’être un professionnel de la cybersécurité qualifié ou Pourquoi Il Est Important d’Avoir des Professionnels de la Cybersécurité Qualifiés Dans votre Équipe: Le Guide Définitif pour la Cybersécurité et la Prospérité des Entreprises.