Par Sylvaine Luckx le 08/11/2010
Certifications : La jungle des formations
Actualité oblige, les formations certifiantes en matière de sécurité informatique et sécurité de l’information se sont multipliées. Mais, encouragée par une forte demande, l’offre est devenue pléthorique et est loin d’être homogène. Elle cache d’ailleurs des propositions bien différentes. Laquelle choisir ? Mag-Securs tente d’y voir plus clair.
ls sont tous là : HSC, Enigma Services, Fidens, Demos, Sogeti, Global Knowledge, Bull Formation, Auditware... Le marché est vaste, la concurrence est rude, et chacun joue de sa spécificité pour sortir son épingle du jeu. Rien à voir entre Global Knowledge dont la maison mère est aux Etats-Unis et qui regroupe 1 200 employés (110 personnes et 20 millions d’euros en France), et une entreprise beaucoup plus spécialisée comme Enigma Services.
« Global Knowledge appartient à un fonds d’investissement new-yorkais Welsh, Carson, Anderson & Stowe, et délivre plus de 63 000 journées stagiaires en 2009 en France », détaille Corinne Gomes, responsable marketing et communication. Global Knowledge s’appuie sur des partenaires comme Cisco et Microsoft, Citrix, VMware, Nortel qui délivrent des certifications reconnues à l’échelle internationale.
Rabah Benali, responsable de la filière sécurité et réseaux de Bull Formation, affirme de son côté accueillir entre 7 000 et 9 000 stagiaires selon les années, dont 5 à 10 % de stagiaires en SSI. Les principaux programmes de formation en SSI portent sur la sécurité Linux et la sécurité Windows Server 2003. « Pour les réseaux, nous développons la mise en œuvre de firewalls, d’IDS, de VPN, autour des protocoles SSL, SSH, IPSEC, de la sécurité des réseaux Microsoft, PKI etc. Pour la politique de sécurité nous nous appuyons sur EBIOS, ISO 2700x, les audits de sécurité, etc. Le marché de la sécurité est en pleine croissance. Nos formations sont certifiantes : pour les tests éditeurs comme Microsoft, Cisco, VMware ou EMC, nous travaillons avec Pearson Vue et Prometric. Les tests éditeurs sont validés par des QCM. Pour les formations ISO 2700x, nous faisons appel à LSTI ».
Un ciblage plus précis des besoins des RSSI
Les formations des fabricants de matériels comme Cisco ou des éditeurs de solutions de sécurité tels que CheckPoint, ne concernent pas réellement les RSSI, mais davantage les techniciens, architectes, intégrateurs et exploitants. Elles constituent le gros du marché de la formation en sécurité informatique. A côté de ces formations de masse, des entreprises se sont développées sur un marché de niche, en créant un savoir-faire indiscutable sur leur spécialité et ciblant plus précisément les besoins des RSSI : c’est notamment le cas de HSC (Hervé Schauer Consultants) qui a su se créer une clientèle significative, en développant des compétences uniques. « HSC, commente son infatigable créateur, Hervé Schauer, a été fondée en janvier 1989 et dès le départ s’est fait connaître en proposant la première formation sécurité Unix ». Peu après apparaissait à son catalogue une formation « sécurité TCP/IP ». Après avoir développé un programme complet de formations techniques, HSC y a ajouté des formations organisationnelles. Quatre formations certifiantes en sécurité des systèmes d’information sont proposées :
- ISO 27001 Lead Auditor, certifiée par LSTI (lire encadré LSTI) ;
- ISO 27001 Lead Implementor, certifiée par LSTI ;
- ISO 27005 Risk Manager, certifiée par LSTI ;
- Informations Security Fondations, certifiée par EXIN.
« EXIN, précise Hervé Schauer, est une société britannique concurrente d’une autre société britannique ISEB, spécialiste des certifications de compétences dans la production informatique, telle que la certification ITIL Fondations ».
ITIL et l’ISO 20000-1 intéressent aujourd’hui les RSSI dans la maîtrise de la production informatique et de l’exploitation qui comprend des éléments de sécurité. Mais le cœur des processus ITIL concerne davantage les DSI que les RSSI.
Rien de comparable entre les 530 stagiaires par an de HSC et le million de chiffre d’affaires qu’il réalise, et les grosses pointures comme Global Knowledge ou Bull Formation,
Une autre entreprise, sur le modèle de HSC, tire son épingle du jeu en se plaçant sur le marché de niche des formations certifiantes de type organisationnelles ISO. Il s’agit d’Enigma Services, dont la dirigeante, Jennifer Godin, est consultante certifiée Lead Auditor ISO/IEC 27001, et IS Risk Manager ISO/IEC 27005, formatrice agréée par LSTI. Son chiffre d’affaires a été de 120 000 euros en 2009, année de création d’Enigma Services, et elle a formé plus d’une trentaine de stagiaires sur la sécurité des systèmes de management au cours du second semestre, les SMSI, les analyses de risques et les normes associées agrées (série ISO 27000). Elle délivre deux formations à la carte certifiées par LSTI (Lead Auditor ISO 27001, IS Risk Manager ISO 27005).