Formations inévitables pour les RSSI
par mail
l'article
Organisation, conseil, management de projet, expertise technique, pilotage transverse, audit, architecture, contrôle… La palette des compétences que les responsables de la sécurité des systèmes d’information (RSSI) doivent acquérir reflète l’étendue de leur mission. Laquelle détermine la fonction. Le Cercle européen de la sécurité, dans son enquête 2007, désigne par RSSI “ tout professionnel en charge de la définition et/ou de la mise en œuvre d’une politique sécurité dans son entreprise ”. Vaste programme pour lequel les désignés se préparent… comme ils le peuvent !
Car il n’existe pas de voie royale pour se former à ce métier. Les étudiants aspirants peuvent miser sur les spécialisations intégrées depuis peu dans les 3e cycles de diverses écoles (Supélec, ENST, Epita, etc.). Ce sont cependant des études théoriques centrées sur des questions techniques de sécurité des réseaux, des systèmes, de développement, de cryptographie. L’organisationnel, la sensibilisation des utilisateurs, la communication, le management d’équipe ou de projet sont des qualités tout aussi nécessaires. Les plus expérimentés des RSSI le savent bien. Ils ont dû, ces dix dernières années, empiler les compétences nécessaires au fil de l’évolution du métier. “ Mais eux aussi se forment majoritairement sur des domaines techniques et exploitables à court terme ” note Michel Belli, directeur général d’Orsys. Un paradoxe à l’heure de la progression des questions d’organisation ?
Deux certifications très valorisantes sur un CV
Au contraire, cette demande en formation répond aux enjeux de contrôle de la sécurité auxquels doit faire face le RSSI. Celui-ci “ doit plus que jamais démontrer que l’écrit, la loi, peut devenir une réalité concrète ”, souligne l’enquête du Cercle européen de la sécurité. “ Sans comprendre toute la technique, comment le RSSI saurait s’assurer que le modèle de sécurité exprimé est respecté dans une logique de gouvernance ? ” s’interroge Laurent Bellefin, directeur des opérations sécurité de Solucom. Face à cet enjeu, le RSSI trouve une réponse dans les certifications lead auditor (responsable d’audit) et lead implementer (responsable d’implémentation) de la norme ISO 27001. Elles lui garantissent, ainsi qu’à son employeur, la capacité de certification de la sécurité des systèmes d’information selon cette norme, donc la connaissance des mesures à mener pour parvenir à ce statut.
A titre personnel, le RSSI a tout intérêt à considérer deux certifications. Le Certified Information System Security Professional (CISSP), reconnu depuis 1995, etcréé par l’Information Systems Security Certification Consortium, est devenu le “ must have ” du landerneau. Cette certification valide compétences et exercice effectif et continu d’un métier de sécurité. Une expérience opérationnelle de trois années est requise. Le Certified Information Security Manager, plus récent (2003) est spécifique aux RSSI. Cinq années dans le domaine de la sécurité sont exigées, dont trois à un poste de manager. Ces deux labels sont très valorisants dans le monde anglo-saxon. Mais tout RSSI postulant dans un groupe international gagne à s’en prévaloir sur un CV. D’autant plus que conserver ces certifications exige de poursuivre sa formation continue, un gage personnel pour le RSSI, et son employeur, du maintien à niveau de ses compétences.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
