18 mars 2008
Le secret du succès des bons responsables sécurité
Forrester Research décrit le RSSI idéal. Celui-ci doit afficher un solide sens moral qui servira d'exemple à toute l'entreprise. Plutôt qu'un technicien hors pair, il doit comprendre les enjeux techniques et évoluer vers la gestion des risques de l'entreprise.
En témoigne la crise récente de la Société Générale, le rôle d'un responsable de la sécurité devient de plus en plus complexe, qu'il s'agisse d'empêcher la fuite de données ou de maîtriser les problématiques de conformité réglementaire. Face à ces défis permanents, certains RSSI (Responsable de la Sécurité des Systèmes d'Information) réussissent mieux que d'autres, selon une étude récente de Forrester Research. Le cabinet d'analystes a identifié sept caractéristiques qui font que certains RSSI réussissent mieux que d'autres. Au-delà des conseils auxquels on pouvait s'attendre (avoir une relation étroite avec son employeur, faire de la sécurité une question omniprésente à l'échelle de l'organisation toute entière), plusieurs caractéristiques inattendues sont apparues lors de l'enquête menée par Forrester.
Une boussole morale est la clé du succès
La découverte majeure est que les responsables sécurité réellement
efficaces doivent avoir une solide boussole morale qui leur permette de
susciter l'adhésion autant par l'exemple que par le respect qu'inspire
leur mandat. « On s'attend à ce qu'un RSSI ait une certaine expertise technique, mais c'est sa personnalité qui fait la réussite, déclare Khalid Kark, analyste chez Forrester et rédacteur de l'étude. « Avoir
l'intégrité, la visibilité, et faire en sorte que les gens sachent
qu'en tant que personne vous ferez toujours ce qu'il faut faire, est
d'une grande importance quand on vous fait confiance pour protéger une
grande quantité d'informations sensibles ».
Savoir instinctivement ce qu'il faut faire
D'autres responsables peuvent peut-être se permettre d'agir dans le dos
de certaines personnes afin d'accomplir leur tâche, mais les RSSI qui
veulent gagner le respect nécessaire afin de mener leur travail le plus
efficacement possible, doivent diffuser l'image d'une personne à
l'indéniable fiabilité. « C'est
la caractéristique que beaucoup de gens valorisent vraiment dans un
RSSI. Or, un des problèmes des RSSI est que cela prend du temps de
bâtir la confiance, mais si vous avez la bonne boussole morale, et que
vous savez instinctivement ce qu'il faut faire, vous irez plus vite, affirme Khalid Kark
Savoir équilibrer les rôles
Afin de gagner cette confiance, il faut aussi travailler avec la «
psyché de l'entreprise » tout en équilibrant ses rôles de gendarme et
de politique. Autres points clés pour réussir, avoir la flexibilité
suffisante pour chercher des solutions créatives, et aller vite d'un
projet à l'autre, tout en restant aussi patient que possible, et
diriger la sécurité comme si c'était une unité d'affaires. Ce dernier
talent réclame la capacité de réunir beaucoup de données sur la
sécurité et les réglementations, ainsi que de savoir comment les
utiliser afin de défendre les budgets et les projets correspondants.
Aider les autres à prendre des responsabilités
Un des traits les plus importants de n'importe quel RSSI, déclare
Khalid Kark, est de se comporter en « faiseur de roi », quelqu'un qui
aide les autres à améliorer leurs propres compétences en agissant en
mentor, plutôt qu'en régulateur draconien qui donne simplement des
ordres et qui s'attend à ce qu'ils soient exécutés. « Les
RSSI ont besoin d'aider d'autres personnes à réussir et à prendre des
responsabilités. Cela devrait faire partie de leur stratégie de
sécurité globale ». Un talent associé consiste à ne pas jouer au jeu de la de critique. « Les
RSSI doivent être prêts à assumer une grande partie du blâme lorsque
les choses tournent mal, même si c'est la faute de quelqu'un d'autre.
Il ne faut pas tout accepter, mais si vous pouvez prendre le blâme sur
vous et utiliser cela pour travailler sur des questions qui améliorent
la situation globale de l'organisation, c'est une chose à faire ».
Des compétences techniques très évoluées remises en question
Un aspect que Forrester ne cite pas comme critique est d'avoir un niveau élevé de compétences techniques. "Certains
ont dit oui, et d'autres ont dit non. Il s'agit là d'un vieux débat. La
clé, je crois, est qu'il faut absolument avoir la capacité de
comprendre des données techniques, mais vous n'avez pas forcément
besoin des compétences pratiques, résume Khalid Kark. Beaucoup de
RSSI qui réussissent dans leurs fonctions, ne se concentrent pas sur
des questions opérationnelles telles que la gestion des pare-feu, mais
ils ont besoin d'être prêts à définir une politique de sécurité et à
élaborer la position de leur société vis-à-vis des risques.
Une approche du haut vers le bas
"En fait, de
nombreux RSSI qui ont des compétences techniques soutiennent que leurs
connaissances les conduisent souvent à s'embourber dans trop de
décisions opérationnelles et de projets ». Indépendamment des
capacités techniques d'un RSSI, Khalid Kark estime qu'il va devenir de
plus en plus important pour les responsables sécurité de s'éloigner
d'une approche « du bas vers le haut » de la sécurité, où l'accent est
mis sur les outils à utiliser, pour aller vers une approche « du haut
vers le bas » menée par la gestion des risques et les concepts de
gouvernance. "Ces cadres doivent évoluer depuis l'expertise
opérationnelle vers un rôle de penseur stratégique, du rôle de policier
à celui d'un conseiller digne de confiance». «Ils doivent se
considérer davantage comme un consultant, par opposition à un auditeur,
et évoluer de spécialiste de la sécurité informatique à généraliste des
risques de l'entreprise."
20 novembre 2007
Administrateur systèmes et réseaux
Administrateur systèmes et réseaux Conditions de travail Des responsabilités variables
Suivant l'organisation et l'importance de son employeur, les fonctions de l'administrateur sont plus ou moins étendues. Il peut intervenir dès la conception du réseau ou sur un réseau déjà en place. Selon les cas, il appartient à la direction de l'exploitation, à la direction informatique, à une équipe de supervision du réseau ou bien exerce sous la responsabilité d'un directeur technique.
Un trait d'union
En interne, l'administrateur collabore étroitement avec les ingénieurs systèmes et réseaux et avec le responsable télécoms ou exploitation. Il leur signale les disfonctionnements et peut leur suggérer des modifications à apporter au réseau. Il anime parfois une équipe de techniciens. En externe, ses relations avec les fournisseurs lui permettent de rester au fait des évolutions.
À toute heure
Pour
assurer une qualité de service constante, l'administrateur réseau est
parfois soumis à des astreintes, soirs et week-ends. Cette permanence
est d'autant plus nécessaire dans les structures nécessitant une
garantie de fonctionnement permanent : banques, hôpitaux...
Vie professionnelle Des places à prendre
La généralisation des réseaux informatiques locaux, le développement de l'internet, et du commerce électronique promettent de beaux jours à cette spécialité. Au nombre des employeurs : les PME (petites et moyennes entreprises), les grandes entreprises (grande distribution, constructeur automobile, agences de presse...), les administrations, les installateurs, les sociétés de télécoms ou encore les sociétés de services en ingénierie informatique (SSII).
Priorité à l'expérience
Il arrive que les administrateurs débutants soient de jeunes diplômés, mais le plus souvent ce sont des professionnels ayant une bonne pratique des environnements informatiques. Grâce à leur expérience, ils maîtrisent à la fois l'expertise technique et les aspects de gestion.
Un panel d'évolutions
Un administrateur expérimenté peut naturellement se tourner vers des fonctions de responsable télécoms ou d'architecte réseau, mais aussi de consultant, de technico-commercial ou d'ingénieur d'affaires.
Rémunération
Salaire du débutant
Technicien : 2 300 euros brut/mois. Ingénieur, environ 3 000 euros brut/mois.
Compétences Une double compétence
L'administrateur a une bonne connaissance des réseaux iques (matériels de câblage, transmission, routage, protocoles de communication...), mais aussi des systèmes d'exploitation. De fait, les solutions réseaux sont de plus en plus complexes et font aujourd'hui appel au système dans son ensemble. Il est impératif pour lui de suivre les évolutions technologiques.
Des qualités relationnelles
En contact avec les constructeurs et les prestataires extérieurs (fournisseurs, opérateurs), il possède un bon sens de la communication, du service et de la persuasion. Il sait trouver sa place au sein d'équipes pluridisciplinaires (ingénieur, technicien...). À l'écoute des utilisateurs, il cerne leurs attentes et peut être amené à les former.
De la méthode
Pour
exercer ce métier, il faut témoigner d'une grande rigueur et d'une
faculté d'analyse développée. Autonome, c'est avec rapidité et
sang-froid que l'administrateur réagit face aux différents incidents
liés au réseau.
Accès au métier
De deux à cinq ans de formation
Ce métier peut s'exercer avec différents niveaux de formation. Tout dépend de l'importance du réseau à administrer.
Avec un diplôme de niveau bac + 2 ou bac + 3, il est possible de se forger une première expérience en gérant un réseau local au sein d'une PME. À bac + 2 : DUT réseaux et télécommunications ; BTS informatique de gestion, option administrateur de réseaux locaux d'entreprise. Poursuite encouragée en licence professionnelle (un an après bac + 2) : réseaux et télécommunications, option administrateur de réseaux ou option conception et administration de systèmes d'information en réseau... Certains CFA proposent des formations de techniciens supérieurs en administration de réseaux. Avec un diplôme de niveau bac + 5, le débutant peut prétendre à davantage de responsabilités et travailler sur des réseaux étendus et complexes. À l'université : master professionnel ou master recherche (par exemple, spécialité ingénierie des réseaux ou spécialité systèmes, réseaux et architecture). En écoles d'ingénieurs, un diplôme orienté réseaux : ENSEEIHT à Toulouse, ENST Bretagne, EFREI à Paris, ENSIMAG à Grenoble, ESIEE à Noisy-le-Grand (93)...
------------------------------------------------------------------------------------------------------
Al-K-Traaz
Expert(e) en sécurité informatique
Expert(e) en sécurité informatique Nature du travail Traquer les points faibles
Au cours de son diagnostic, l'expert en sécurité informatique étudie le système d'information dans sa globalité. Afin de proposer la sécurité maximale (la protection contre les attaques, mais aussi la confidentialité), il cherche avant tout à identifier les points faibles du système. Il est parfois secondé par des hackers éthiques, des professionnels de l'intrusion.
Protéger les informations
En lien avec les informaticiens et les responsables des services concernés, l'expert définit une stratégie de sécurité adaptée aux besoins et à la culture de l'entreprise. À l'arrivée, c'est un panel de procédures qui va de la gestion des mots de passe à la cryptologie (chiffrer et déchiffrer les messages sortants et entrants), en passant par les pare-feu, les antivirus, la limitation des accès au réseau en cas d'informations stratégiques, etc.
Jouer les interfaces
Pour
faire évoluer les solutions, l'expert suit au plus près le droit et les
réglementations spécifiques et s'informe sur les nouvelles
technologies. Sensibiliser les utilisateurs et les directions aux
règles et aux enjeux de sécurité s'avère également primordial.
Conditions de travail Auprès des entreprises
Salarié dans une SSII, cet expert effectue des missions d'audit (d'évaluation) auprès des entreprises. Il travaille en étroite collaboration avec les différents spécialistes du système d'information : ingénieurs système, ingénieurs réseau, architectes et administrateurs des bases de données. Opérationnel avant tout, il a en charge l'installation des systèmes de protection.
Responsable en interne
Employé dans une société utilisatrice, il porte le nom de responsable de la sécurité des systèmes d'information (RSI). Il a plutôt un rôle de chef de projet, un contrôleur qui définit des procédures et les règles à respecter, qui assure une veille.
Confirmé, certifié
Ce
poste, surtout en interne, est en général réservé à des informaticiens
confirmés. Certaines grandes sociétés exigent, pour l'expertise de la
sécurité de leur système d'information, des informaticiens titulaires
du CISA (certificat international d'auditeur des systèmes
d'information), délivré par l'Association française de l'audit et du
conseil informatiques (Afai) ou du AIC (auditeur interne certifié)
attribué par l'Ifaci/Institut de l'audit interne.
Vie professionnelle Le vent en poupe
Complexification et ouverture toujours plus grandes du système d'information de l'entreprise, multiplication des menaces : la sécurité des applications et des données devient une préoccupation majeure des entreprises, voire un enjeu stratégique. Ce qui explique que les spécialistes de la sécurité soient aujourd'hui fort recherchés, faisant presque figure de perle rare dans le secteur informatique.
Sur tous les fronts
L'expert est employé par les sociétés utilisatrices (notamment dans les banques, les organismes financiers, l'industrie, les biotechnologies, les NTIC, les entreprises de taille importante...), mais aussi par les SSII, avec le recours aux prestations externalisées (l'infogérance).
Toujours plus expert
Après quelques années de terrain, plusieurs évolutions sont possibles pour cet expert en sécurité : prendre la responsabilité d'une équipe d'experts ou encore la direction d'un système d'information.
Rémunération
Salaire du débutant
Très variable selon l'entreprise et la mission. Pour un débutant, de 2 200 euros à 3 000 euros net/mois.
Compétences Compétences à entretenir
Sécurité, système et réseaux : voilà le trio gagnant pour l'expert en sécurité informatique. De solides connaissances techniques dans le développement système, l'administration des réseaux et les normes de sécurité lui seront en effet demandées. Et bien sûr d'entretenir en permanence ses compétences !
Une vision d'ensemble
Pour arriver à une parfaite étanchéité des réseaux, il doit également posséder une vision synthétique et globale du système d'information, des processus de l'entreprise et des profils utilisateurs, externes ou internes. Une condition pour mieux prendre du recul et anticiper.
Dynamique et diplomate
Disponible
et réactif, il est capable d'analyser rapidement les situations, prêt à
intervenir en cas de crise. Rigoureux, l'organisation et la gestion de
projets font partie de son quotidien. Bon communicant et pédagogue, il
sait justifier les règles qu'il impose et les faire passer auprès des
utilisateurs, même si elles font parfois figure de contraintes...
Accès au métier
Une spécialisation encore rare
En général, ce poste d'ingénieur est réservé à des informaticiens confirmés. Certains étudiants de niveau bac + 5 (diplôme d'ingénieur ou master) possédant une spécialisation en sécurité des systèmes d'information accèdent à des postes d'auditeur ou de consultant sécurité. Les formations en la matière restent relativement peu nombreuses.
Quelques grandes écoles d'ingénieurs généralistes proposent une spécialisation en informatique. Elles sont accessibles sur concours après le bac, une e prépa ou en admission parallèle (avec une licence ou une 1re année de master). Parmi celles qui offrent une option sécurité, citons : les ENSI de Bourges et Caen, l'UTT de Troyes, l'ESIEA de Paris, l'ENST de Bretagne, Télécom ENST de Paris... Au nombre des écoles spécialisées en informatique, mentionnons l'EPITA à Villejuif (94) et 3IL à Limoges. À l'université, après un diplôme de niveau bac + 3 du domaine informatique, poursuivre avec un master professionnel ou recherche, en deux ans. Exemples : le master pro mention informatique : cryptologie et sécurité informatique (Bordeaux 1) ; sécurité des systèmes informatiques, évaluation du risque (Rouen) ; management de la sécurité des systèmes industriels et des systèmes d'information (Poitiers) ; cryptologie, sécurité et codage de l'information (Grenoble 1)...
Al-K-Traaz