Muhammad Rezqi et le monde très humain d’un détective numérique

Le père de Muhammad était ingénieur en informatique. Ainsi, quand lui et son frère étaient de jeunes gamers, ils ne voyaient rien d’inhabituel à concevoir des cheats pour les jeux informatiques, sans jamais se rendre compte qu’il s’agissait là de piratage informatique pur et simple. « Nous lisions les valeurs de mémoire d’un jeu, puis nous modifiions la somme d’argent ou le niveau de santé dont nous disposions. À cet âge-là, je pense que j’étais simplement curieux et que je voulais comprendre comment les choses fonctionnaient, mais la graine était semée. »

Aujourd’hui, après avoir suivi les traces de son père et obtenu un diplôme en génie logiciel ainsi qu’un master en cybersécurité, Muhammad Rezqi met sa curiosité insatiable au service de la direction de l’équipe de réponse aux incidents de cybersécurité de Canon EMEA. Mais ce n’est qu’en approfondissant les détails que l’on comprend à quel point son travail est important et, osons le dire, cool .

En effet, lui et son équipe sont des détectives numériques. Lorsque des cyberattaques se produisent, ce sont eux qui reconstituent exactement ce qui s’est passé, recueillent des preuves et cherchent des réponses. Ils veulent connaître tous les détails, comment, quoi et pourquoi, non seulement pour essayer de trouver le responsable mais surtout, pour s’assurer que cela ne se reproduise pas.

Pourtant, il y a de fortes chances que vous n’ayez aucune idée de l’existence de ces personnes. C’est en effet un univers qui fonctionne dans la plus grande discrétion, et ce pour de très bonnes raisons. « Comme la réponse aux incidents concerne des attaques actives, la plupart de nos activités ne peuvent pas être rendues publiques », explique-t-il. « La cybersécurité est également discrète par nature : en général, on n’entend parler de nous que lorsqu’il y a un problème. Donc, si nous ne sommes pas là, c’est que tout va bien. » Cependant, cela ne veut pas dire que lui et son équipe passent leur temps à se tourner les pouces, puis à intervenir de manière spectaculaire en cas de crise, loin de là. La vérité, c’est qu’ils doivent être prêts à passer à l’action à tout moment, 24 heures sur 24. C’est vraiment un travail à temps plein.

Tout d’abord, pour être aussi efficaces que possible, ils ont besoin d’une base de sécurité solide dès le départ, et celle-ci doit être maintenue en permanence. « C’est un travail sans fin », souligne Muhammad. « Cela nécessite une attention constante. » Il considère cet aspect comme la première des trois priorités en matière de cybersécurité pour toute organisation, la deuxième étant la préparation : « veiller à mettre en place des procédures de réponse claires et immédiates, des équipes hautement qualifiées et d’excellents outils. Là encore, c’est un travail permanent, car nous devons nous assurer que tout le monde sait précisément quoi faire en cas d’incident. »

La troisième priorité peut surprendre, mais elle est importante dans tous les types de crises : le leadership. « Il faut prendre des décisions pour que la réaction immédiate puisse être bien gérée », déclare-t-il. « Bien sûr, chaque entreprise et chaque incident sont différents. J’ai vu des cas où une organisation a dû fermer pendant trois mois pour se remettre, mais aussi l’exemple d’une usine gigantesque qui est simplement revenue à des processus manuels : la documentation papier ! Et tout s’est bien passé. Tout est question de planification et d’exécution. »

Savoir d’où proviennent les brèches est aussi un aspect important de la stratégie, et il semble que trois soit un chiffre magique dans ce domaine également… « D’après mon expérience d’enquêteur, la première source est l’erreur humaine, c’est-à-dire les erreurs involontaires. La deuxième est la vulnérabilité des systèmes : aucun n’est jamais totalement exempt de bogues. Et la troisième est la vulnérabilité humaine, exploitée par les attaques d’ingénierie sociale ou de phishing. En réalité, ces trois facteurs apparaissent généralement tous en même temps. » Et bien que cela puisse nous amener à conclure que la plupart des cyberattaques commencent par une erreur humaine, Muhammad n’est pas du tout d’accord avec cela.

« Au lieu de demander qui a commis l’erreur, nous devrions nous demander pourquoi cette action était logique à ce moment-là. » Et lorsque vous comprenez la logique derrière, vous pouvez immédiatement voir à quel point ses compétences d’ingénieur logiciel et d’enquêteur centré sur l’humain se complètent parfaitement. « Les gens agissent au sein de systèmes », explique-t-il. « Donc si les gens échouent, cela ne signifie pas nécessairement qu’ils l’ont fait exprès. Ce sont les systèmes qui l’ont permis. » Cet état d’esprit est au cœur de la conception de la cybersécurité chez Canon, où une « politique de porte ouverte » sans jugement a été mise en place et où les collaborateurs sont encouragés à faire part de leurs préoccupations. Cette approche permet d’instaurer une culture de la confiance qui, à son tour, rend le travail de Muhammad et de son équipe beaucoup plus efficace à long terme.

« Je pense que l’erreur humaine n’est pas une cause, mais un symptôme », souligne-t-il. « Il y aura toujours des questions, mais cela nous rappelle qu’il ne faut pas chercher à blâmer qui que ce soit. Lorsque nous avons terminé le travail confidentiel lié à la gestion d’un incident de cybersécurité, nous organisons toujours ce que l’on appelle une réunion de retour d’expérience pour discuter de ce qui s’est passé. Et à aucun moment il ne s’agit de demander des comptes. Nous tirons simplement les leçons de ce que nous avons appris et les utilisons pour revenir plus forts et meilleurs. »

En savoir plus sur les carrières chez Canon.