La Squad#Expérience, c’est un suivi interne de nos consultants pour qu’ils évoluent et se forment. Pour cette série, nous avons discuté avec Amandine C., notre Responsable de la Cellule d’audits Squad et DPO, qui était chargée de mission R&D et qui, aujourd’hui, contribue fortement à la construction de Squad.
Peux-tu te présenter ?
Je suis Amandine C. et je suis arrivée chez Squad, il y a 5 ans, en tant que « Chargée de mission en R&D ». Avant, je travaillais au CNRS sur des projets de R&D et j’ai continué chez Squad. À la base, je ne suis pas technique et je n’ai pas fait d’école informatique. J’ai fait un master en gestion de projet.
À la fin de mon CDD au CNRS, j’ai été recrutée par Eric Guillerm (PDG de Squad) et Bruno Billaud pour les aider sur le CIR, c’est-à-dire comment développer la R&D de Squad et mettre en place des thèses CIFRE.
Aujourd’hui, tu es DPO / chargée d’audit interne. Quel est ton parcours ?
En 2016, Squad avait l’ambition d’être certifié ISO:27001 et dans le cadre de ce processus, Bruno m’a demandé de prendre en charge l’audit interne. C’était mes premiers pas dans la cybersécurité.
Petit à petit, j’ai commencé à apprécier et je suis partie en formation en 2017 pour passer la certification ISO:27001 Lead Auditor.
La première fois que Bruno m’a parlé de l’ISO:27001, je ne savais même pas de quoi il parlait. Je me suis dit qu’il était toujours intéressant de découvrir de nouvelles choses et la cybersécurité est le cœur de métier de Squad. Et, plus je faisais des audits et des missions, mieux je comprenais les attentes, les termes techniques et la norme en elle-même. Ensuite, j’ai commencé à faire des audits fournisseurs Squad, iLUCCA par exemple.
Puis, Bruno et Eric m’ont proposé de m’occuper de la conformité aux RGPD en interne. Cela rejoint la sécurité car il faut parler avec les fournisseurs pour voir s’ils sont conformes et quelles mesures de sécurité sont mises en place. Un pas de plus dans la CyberSécurité !
J’ai demandé à Eric à partir en mission chez des clients et en rapport avec ce que je faisais déjà en interne. Dans mon parcours, Bruno ou Eric ont été moteur, mais je voulais avant tout sortir de ma zone de confort. Je suis partie en mission chez des clients pour pouvoir me former. Ils m’ont fait confiance que ce soit pour des missions en interne ou en externe.
Comment s’est passé ta première mission chez le client ?
J’ai obtenu une mission Gouvernance SSI chez un client incontournable des jeux de hasard où j’ai appris à rédiger des politiques de sécurité.
Pour la première fois, je passais de l’autre côté, car lorsqu’on est auditeur, on audite les politiques de sécurité.
J’étais la seule femme, c’était intimidant au départ mais j’ai beaucoup apprécié. Cette mission a duré 6 mois, mais nous devions en interne préparé le renouvellement de l’ISO:27001. Avec le client, nous sommes restés en contact et j’ai gardé de très bonnes relations avec eux.
Que fais-tu aujourd’hui ?
Aujourd’hui, j’ai une nouvelle mission, celle de vérifier l’application les plans de sécurité contractuels en interne : je fais la collecte d’indicateurs, je vérifie la bonne application des mesures de sécurité et je dois être motrice de l’évolution des plans d’assurances sécurité.
En 2020, je n’ai pas fait de mission chez le client, mais j’ai coordonné des programmes d’audit pour les clients et fait des audits ponctuels, ce qui m’a permis de voyager en Guadeloupe et au Maroc. D’autres missions à l’étranger sont à venir !
Quel est ton rôle dans le cadre de la qualification PASSI ?
J’ai passé deux portées organisationnelle et portée Responsable d’audit et j’aimerais passer une portée plus technique. Je suis chargée du référentiel PASSI, c’est-à-dire que je suis garante de la conformité de notre référentiel au RGS. En avant-vente, j’interviens lorsqu’il y a des appels d’offre sur des audits PASSI. Je regarde qui est disponible et qui a les compétences pour répondre aux besoins du client.
J’ai aidé Franck C. en janvier à passer l’audit pour qu’on soit qualifié PASSI. Puis, j’ai pris son relai et je suis le point de contact pour les candidats aux écrits PASSI. Je suis la coordinatrice d’actions sur l’évolution du référentiel PASSI.
Ton quotidien, c’est quoi ?
Je peux passer de l’audit, au contrôle SSI, en passant par du RGPD et du CIR, mais je suis aussi du côté RSE. Ce que je préfère, c’est être du côté de l’implémentation des mesures de sécurité, plus que de l’audit. Cela dit, j’aime toujours l’audit mais je préfère écrire des politiques de sécurité et prendre des décisions. Bref, chez Squad, j’assiste notre DSSI, Bruno Billaud.
J’ai passé toutes les certifications possibles et imaginables en Gouvernance de sécurité, je n’ai pas spécialement envie de me spécialiser. Cette année, j’ai travaillé en collaboration avec Bruno et Didier, cela m’a beaucoup plu. Nous faisons des points réguliers sur nos différents chantiers ISO:27001 et PASSI. J’aime beaucoup le travail d’équipe que nous faisons.
Un jour, j’aimerais faire une formation pour devenir plus technique et acquérir plus de connaissances afin d’être davantage efficace au niveau de l’audit. Enfin, si on me demande d’abandonner un sujet, je ne pourrais pas choisir.
Tu nous as parlé d’une mission RSE, de quoi s’agit-il ?
Cette mission en interne me plaît beaucoup, je suis l’un des points de contact des personnes en situation d’handicap. En résumé, j’assiste la personne dans ses démarches à faire et je suis à leur écoute. En parallèle, je suis en charge des évaluations RSE de la société sur des plateformes dédiées comme Ecovadis et UN Global Compact
Depuis son entrée chez Squad, Amandine a fortement contribué à la certification ISO:27001 et à la qualification PASSI. C’est aussi un pilier en interne, car elle joue un rôle indispensable auprès des personnes en situation d’handicap. Grâce à un parcours semé de formations et de motivation, Amandine est un véritable couteau suisse.
Récap du parcours d’Amandine C.
•2015 : entrée chez Squad en charge de mission R&D •2017 : passage de la certification ISO27001 Lead Auditor •2017 : passage de la certification Privacy Implémenter – Equivalent de DPO •2018 : Passage Certification Risk Manager/Ebios RM •2019: Qualification PASSI, portée Organisationnelle et physique •2020 : Formation EGERIE (non certifiante) •2020 : Qualification PASSI, Responsable d’audit
• 2015 : entrée chez Squad en charge de mission R&D
• 2017 : passage de la certification ISO27001 Lead Auditor
• 2017 : passage de la certification Privacy Implémenter –
Equivalent de DPO
• 2018 : Passage Certification Risk Manager/Ebios RM
• 2019: Qualification PASSI, portée Organisationnelle et physique
• 2020 : Formation EGERIE (non certifiante)
• 2020 : Qualification PASSI, Responsable d’audit
