lundi 18 décembre 2017

Accueil du site > Informatique > Sécurité Informatique > Elargir ses compétences et maîtriser les risques

Elargir ses compétences et maîtriser les risques

Boris Perzinsky et Marc Étienne , 01 Informatique

dimanche 29 octobre 2006, sélectionné par Spyworld

logo

Il existe désormais des cursus de formation initiale consacrés à la sécurité informatique. Différents organismes dispensent aussi des approfondissements.

En 2005, pas moins de 58 entreprises sur 100 n’avaient pas de responsable de la sécurité des systèmes d’information (RSSI) identifié. La gestion de la sécurité était alors assurée à 84 % par la direction des systèmes d’information. Sinon, elle l’était par d’autres départements, voire par la direction générale, précise le Club de la sécurité de l’information français (Clusif). La formation continue vient donc au secours des personnes les moins averties.

En amont, l’enseignement supérieur propose des spécialisations à ceux qui s’orientent vers la sécurité informatique. « Des Masters et des Masters professionnels se créent, précise Pierre Gojat, directeur marketing sécurité chez France Télécom, et responsable au sein du Clusif du groupe de travail sur la formation. C’est une demande qui croît aussi bien du côté des employeurs que de celui des candidats à la formation. Pour leur part, les écoles d’ingénieurs des télécoms, comme l’Enst Paris, l’Enst Bretagne ou Télécom INT, se sont positionnées sur la sécurité informatique. »

Citons aussi l’Ensi de Bourges, qui forme à la maîtrise des risques industriels, mais aussi des ingénieurs spécialisés en sécurité informatique. Les différentes formations initiales conduisent, à terme, aux métiers de RSSI, d’auditeur, ou d’expert. Bien sûr, suivre un tel enseignement ne suffit pas pour devenir responsable de la sécurité informatique. La pratique du terrain s’impose aussi, tant pour les aspects techniques que pour l’organisation et les relations dans l’entreprise.

Comprendre la technologie ne suffit pas

En complément, les formations continues sont légion. Elles s’adressent à des profils divers : développeurs, chefs de projet, experts techniques, et autres responsables. Pierre Gojat donne un exemple : « Je suis responsable réseaux, et je veux éviter de prendre des risques. »

Les besoins se révèlent être multiples, mais portent principalement sur la sensibilisation. En effet, chacun est acteur de la sécurité informatique de son entreprise. D’où l’importance de bien connaître les risques, les enjeux, et les parades. Du côté de la technique, on trouve de nombreux cours de fournisseurs - Cisco ou Nokia, par exemple -, aboutissant à des certifications sur leurs produits. « C’est un savoir très technologique, observe le directeur marketing sécurité, mais qui se périme. Les équipements sont compliqués à gérer, paramétrer et mettre à jour. Aussi, ingénieurs et techniciens sont obligés d’en passer par là. »

Des certifications de haut niveau

La mise à jour des connaissances concerne surtout les RSSI, car, note Pierre Gojat, « ils croulent sous l’avalanche des changements de technologie ». Dans les grandes entreprises, ils sont en général bien formés. Mais dans les PME, où la fonction n’existe pas toujours, il est souvent difficile de dégager les ressources pour des cours destinés à ceux qui traitent de questions de sécurité. Pour les RSSI ou ceux qui se destinent à ce poste, il existe des certifications de haut niveau.

L’une des plus connues est la CISSP (Certified Information System Security Professional). « Elle demande des connaissances livresques phénoménales sur les technologies Internet, les protocoles, le management, la qualité, ou la sécurité physique, prévient Pierre Gojat. On doit bachoter. » En outre, elle est davantage conçue pour l’Amérique du Nord que pour l’Europe et est plus recherchée par les entreprises américaines ou multinationales que par les sociétés françaises. Pour ne rien arranger, elle réclame du temps et de l’argent.


- Introduction

Il existe désormais des cursus de formation initiale consacrés à la sécurité informatique. Différents organismes dispensent aussi des approfondissements.

- Définir des règles est améliorer son management

Le rôle transverse du responsable de sécurité l’oblige à composer avec les divers profils des directions informatique et métier. Il lui faut être un manager en prise avec l’organisation de l’entreprise.

- De la théorie en école à la pratique en stage

S’il n’existe pas de voie royale pour les cursus en sécurité des systèmes d’information, un programme se dessine, avec des diplômes bac+5. Que peuvent compléter des stages en formation continue.

- Un label pour justifier son niveau global

Signe de la maturité d’une profession, un RSSI peut obtenir des certifications de ses compétences reconnues internationalement. Trois d’entre elles deviennent inévitables : CISSP, CISM et Cisa. - Yves le Roux, stratège en technologie chez CA, certifié et formateur CISSP et CISM

- Des principes d’organisation aux certifications professionnelles

- Devenir un manager plus qu’un expert

Les RSSI se rapprochent peu à peu de la direction générale et doivent faire preuve de talents multiples.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :