www.itrust.fr | Assurance Intégrité

Mardi 19 juin 2007, par Cédric Hammer [ TIM 2005 ]

"Encore un parcours très intéressant ! Jean-Nicolas, fondateur et actuel dirigeant de la nouvelle société ITrust (créée en 2007) a accepté de répondre à nos questions ... Présentation Peux-tu te présenter pour ceux qui ne te connaissent pas ?

Je suis diplômé de la promo STRI 99. Originaire de Toulouse, j’ai aujourd’hui 31 ans, je suis marié et j’ai une fille de 3 ans. Je pratique le rugby, le golf et le Seigneur des anneaux Online. Je m’attache au maximum à cultiver des valeurs d’Humanisme, de sens moral, d’enthousiasme, de rigueur et les partager au sein de mon entreprise. Je suis expert en sécurité et je viens de fonder mon entreprise, ITrust, dont je suis le Directeur Général.

Vie Professionnelle Quelles ont été tes principales difficultés à la sortie de l’IUP puis dans ta carrière ?

Dépasser les préjugés du milieu professionnel concernant les jeunes, les bac+4, les parcours professionnels types prédéfinis. Et encore je suis blanc de peau et mon nom est de type européen. Les difficultés étaient moins importantes que pour d’autres. La réelle difficulté est d’apprendre à se connaître, savoir ce que l’on aime dans son travail. Se découvrir fourmi acharnée, cigale hédoniste, rossignol chantant ou oiseau mouche.

Quel a été ton parcours professionnel depuis que tu as obtenu ton diplôme à l’IUP ?

Je suis monté à la capitale dès la fin de mes études STRI après un stage chez BT Syntegra Paris, société pour laquelle j’ai configuré un LAN domestique. Le marché du travail de l’époque, très favorable à nos profils, m’a incité à ne pas postuler à l’INT. J’ai travaillé dans plusieurs SSII sur Paris (Admiral CMG, Umanis, Orness) qui m’ont permis d’engranger de l’expérience dans de grands comptes (SG, BNP, Crédit lyonnais, PPR, EADS) et des PME en réseau et sécurité. Je monte le pôle sécurité chez Umanis, 15 personnes. La bulle Internet implose. En 2001 une mission me permet de devenir RSIT (Responsable sécurité) de salle de marché bancaire à la BNP arbitrage à 25 ans. Mon rêve. Je choisis un peu plus tard de rejoindre ma femme à Bordeaux. J’y continue mon métier dédié à la sécurité au sein de la banque postale. En 2006 je reviens sur Toulouse avec l’intention de monter une équipe sécurité référente : la « Dream Team ». Avec pour objectif de proposer une offre cohérente basée sur l’ISO 27001. Je monte ma société en janvier 2007 dédiée à la gestion des risques en entreprises. Mes premiers gros contrats sont passés avec Airbus sur des projets ambitieux. D’autres clients suivent….

Dans quel(s) domaine(s) technique(s) évolues-tu ?

La sécurité informatique, la gestion des risques en entreprises. Notre métier concerne la MOA sécurité. Par exemple je travaille en ce moment sur l’architecture de l’entreprise étendue d’une société industrielle. Les chantiers sont nombreux : - Evaluations des risques - Normes internationales de sécurité et de certification - Réseaux étendus, - Architectures techniques d’authentifications, VPN, Nomadisme, gestion des identités, Web services.

Qu’est ce qui t’a motivé à créer ton entreprise ? Raconte-nous un peu son histoire ? (motivations, opportunité, stratégie).

C’est la connaissance de soi qui emmène à savoir ce qui nous attire le plus dans nos métiers. Management, projet, expertise, … J’ai mis du temps à me connaître. J’ai trouvé. J’aime créer, monter les projets, les rêver, les voir se réaliser et fonctionner. Le constat était le suivant : La sécurité informatique était il y a encore 5 ans symbolisée (trop simplement) par des outils hard et softwares représentant un rempart autour du système d’information d’une Entreprise (les firewalls).

Le schéma classique était un château fort, coffre fort, etc... On est maintenant dans un univers ou les systèmes informatiques sont imbriqués les uns dans les autres. L’image que certain d’entre nous utilise est un aéroport : j’ai différents types d’accès, tout le monde a accès à « l’aéroport »mais des habilitations sont distribuées suivant les profils pour accéder à des parties plus ou moins sures. L’entreprise est connectée à ses clients, partenaires, sous traitants non plus par un seul point d’accès mais il s’agit maintenant de fournir la bonne habilitation à la bonne personne (au bon système). L’entreprise s’est ouverte sur l’extérieur et le danger s’est accru. Les menaces sont plus floues et plus importantes.

Avant je gérais un accès, maintenant je gère des droits d’accès sur des systèmes inter-communicants. La sécurité ne peut plus se résumer à utiliser une solution technique mais doit se comprendre dans sa globalité : politique de sécurité, gestion des identités, protections des ressources vitales, contrats avec les sous traitants pour accès aux données, charte utilisateur, processus de contrôles d’accès, audits, équipe juridique active en cas de non conformité aux règles. De nombreuses normes viennent nous aider et nous encadrer (27001) et notre métier consiste de plus en plus à gérer des risques et mettre en places des méthodes (politiques, processus, contrôles), outils, sensibilisations (des hommes).

L’offre d’ITrust contient la notion de CSR (corporate social responsability) qui n’est pas notre coeur de métier mais dont l’idée est la suivante : Passer d’un système "flou" (parce que incertitude sur l’avenir, organisation de l’entreprise, dimension humaine ) à un monde ou les risques sont gérés (procédures, rigueur, méthodologie, formalisme) : cette transition permanente, des sociétés comme KPMG, Ernst&Young, Andersen la modélisent pour leur client ; c’est leur métier. Mais le defi aujourd’hui est de passer de ce modèle traditionnel à la nouvelle donne : celle des valeurs éthiques, morales, de la bonne gouvernance d’entreprise, la protection de l’environnement, et de l’ouverture de l’entreprise sur le monde (on y retrouve la notion de sécurité informatique). Tout en maintenant ses valeurs (en les protégeant). Cette mini révolution dans les entreprises (comme il a existé le passage à internet, ou encore la normalisation qualité à une autre époque, ou encore le passage au E-Business et plus récemment le web2.0) représente quelque chose de fort que ITrust est capable d’appréhender par son expérience en informatique mais aussi en aéronautique (entreprise de pointe dans ces nouveaux domaines).

Notre souhait (puisque j’ai monté la société avec mon père) est de nous positionner sur cette (r)évolution parce qu’aucune entreprise ne propose d’offre cohérente sur ce sujet.

Tu semble comparer KPMG et ITrust, j’ai du mal à te suivre ? Au-delà de la taille, quelles sont les différences entre un cabinet d’audit comme KPMG et une société comme ITrust ?

C’est le même métier (audit/conseil) mais ITrust se focalise peut-être uniquement sur les systèmes d’information ? Itrust est une société dédiée à la Sécurité Informatique et à la Responsabilité Sociale et Environnementale, quelque chose qui pourrait se résumer à de l’Assurance Intégrité (hier c’était la Qualité, aujourd’hui c’est l’Assurance Qualité, demain ce sera de l’Assurance Intégrité), intégrité dans ses deux sens, protection et probité : ITrust

Peux-tu nous en dire un peu plus sur la structure de ta société ? Nombre de salariés ? Structure de management choisie ? Ambitions ? Recherches-tu des nouveaux collaborateurs ? Quelles sont tes perspectives de croissance ?

Nous sommes 5 collaborateurs. L’objectif est d’atteindre une taille minimale pour notre marché autour de 20 personnes. Nous recherchons des collaborateurs dans les domaines de la sécurité, de la gestion des risques, du corporate social responsability et de l’open source.

Quelles zones géographiques couvres-tu ?

L’Europe.

Quelles difficultés as tu rencontré dans ta jeune vie de « patron » ?

• Le 1er contrat : c’est le plus important. Celui qui permet de débuter. Sans lui mieux vaut ne pas envisager de créer sa structure.
• Les formalités administratives : peu complexes mais lourdes. - Ne comptez que sur vous. Inutile de croire que l’on vous aidera. Seule la CCI possède une structure compétente pour nous accompagner. Quels est ton plus beau succès ? Ma fille…Peut être d’autres STRI pourront en témoigner ;-)

Professionnellement, l’audit de Pebreau par la BNP centrale m’a permis de gagner mes galons de Responsable Sécurité. Cette semaine : Trouver la meilleure mission (dont je rêvais lorsque j’étais étudiant) pour un ingénieur ITrust : l’étude de la sécurité des systèmes embarqués Airbus. C’est gagné.

Une erreur à ne pas commettre ? Un conseil à donner aux jeunes entrepreneurs que nous sommes tous potentiellement ?

Une grave erreur :

• Croire que ce n’est pas possible.

Des conseils :

• Etre combatif, travailleur, rigoureux.
• Toujours avoir un plan de secours.
• Penser globalement et agir ponctuellement.

Comment t’imagines-tu dans 5 ans ? (poste, domaine technique, société)

Chef d’entreprise de 20 ingénieurs chez ITrust et représenter ce qui se fait de mieux en équipe.

Le logiciel libre a-t-il un rôle à jouer dans ton domaine ?

Le logiciel libre est et doit rester le moteur de l’innovation technique. En sécurité informatique il joue un rôle essentiel, Freebsd est la meilleure plate forme ayant jamais existé pour nos travaux. La France doit privilégier ces technologies.

La formation STRI Avec le recul, que penses-tu de la formation STRI que tu as reçu ?

D’une part elle est très bonne. Elle s’est d’ailleurs beaucoup améliorée et je pense que nous le devons à tous : étudiants, professeurs, professionnels et cadres. Leur implication a toujours été très importante. J’ai la sensation que nous faisons partie d’une grande famille. Les nouveaux ingénieurs qui s’investissent peuvent compter sur les anciens qui représentent maintenant un réseau important. D’autre part, la qualité des ingénieurs STRI sur Toulouse est entièrement reconnue. Malheureusement elle est moins connue dans les autres régions. Les professionnels sont tous satisfaits de l’intégration et de leur esprit d’entreprise.

Qu’est ce que tu changerais dans cette formation ?

La machine à café car elle n’a pas changé depuis que j’y étais. Plus sérieusement : - La mauvaise conception des salles de TP qui incitent les étudiants à travailler chez eux. (Même si nous ne devons pas oublier que les premiers STRI ont commencés dans les caves de l’UPS.) - Le programme, concernant les mathématiques, basé sur la conception française à la Descartes de la sélection par la rigueur scientifique, décalé par rapports aux besoins des entreprises. Mais c’est un sujet qui ne peut être traité qu’au niveau national.

Que penses-tu de la réforme LMD ? Quelles conséquences pour toi ?

Je ne suis pas assez au fait de ces réformes. Il est cependant à noter que les grands comptent privilégient les Bac+5 au détriment des +4. Cependant des exemples montrent que les réussites existent.

Que penses-tu de la formation en apprentissage ?

Celle-ci n’existait pas en 1999 et je l’ai découvert en prenant un apprenti de la promo 2007. C’est une évolution considérable bénéfique à l’entreprise, l’école et l’étudiant. La flexibilité du contrat rassure et intègre l’étudiant directement dans les problématiques des entreprises. La durée de l’apprentissage permet de construire un véritable projet professionnel à l’étudiant. D’ailleurs l’apprenti d’ITrust a déjà une proposition d’emploi pour septembre.

Quel(s) conseil(s) donnerais-tu aux futurs diplômés (recherche d’emploi, domaine, zone géographique, ...) ?

1/ Vous êtes des profils recherchés, soyez patients. Ne succombez pas au chant des sirènes qui vous proposeraient des contrats juteux sans projet professionnel.
2/ Spécialisez vous techniquement tout en gardant une culture générale importante.
3/ Construisez votre projet professionnel, discutez avec les anciens, échangez, montez des projets, travaillez.

Ton plus beau souvenir d’étudiant(e) STRI ?

La semaine de promo au ski.

L’association wwSTRI Parlons un peu de l’association World Wide STRI. Quel rôle doit tenir l’association des diplômés à ton avis ?

Etre le fédérateur du réseau STRI.

Quelle critique portes-tu sur le site ? Et l’association ?

Le travail de l’association est très important et doit continuer à se densifier. What about web2.0 pour le site ?

Un petit mot pour conclure ?

Travaillez bien. Contactez-moi si vous cherchez des postes en sécurité informatique et/ou en Open Source.

Donne-nous ton adresse e-mail !

This e-mail address is being protected from spambots. You need JavaScript enabled to view it

P.-S. Propos recueillis par AC pour le compte du site de l'association des STRI de l'IUP Paul sabatier.