Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Faut-il se former à la sécurité des systèmes d’information ou bien peut-on apprendre au fil de l’eau ? Doit-on suivre une formation initiale, type mastère, ou bien une formation délivrée par un organisme est-elle suffisante pour exercer le métier de responsable de sécurité des systèmes d’information ? Dans un secteur, qui, évolution du métier oblige, est très concurrentiel, Mag-Securs tente d’apporter des éléments de réponse. Mais ce n’est qu’avec une étude approfondie le l’offre que l’intéressé pourra se faire une opinion.

CISSP, (Certified Information Systems Security Professional), CISA (Certified Information System Auditor), ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, formations PCA (Plan de Continuité d’Activité), PRA (Plan de Reprise d’Activité), formation aux tests d’intrusion, au hacking, aux fondamentaux de la sécurité informatique, aux problèmes juridiques que doit rencontrer le RSSI ? Les sigles abscons fleurissent et les organismes de formation, assis sur une manne financière gérée par les entreprises ou le FONGECIF (lire encadré), se multiplient, et ce d’autant plus que les métiers liés à la sécurité des systèmes d’information sont porteurs. Quelle formation faut-il privilégier pour être au top de son activité et être reconnu internationalement quand on est responsable de sécurité des systèmes d’information, quel organisme choisir ? Accroître ses compétences en hacking pour déjouer les pirates constitue-t-il une priorité ? Faut-il faire une formation certifiante ? Entre Hervé Schauer Consultants (HSC), leader sur le marché de la formation en sécurité, Lexsi, Global Knowledge, Fidens, Auditware, ou d’autres, lequel choisir ? Le choix est vaste, et, compte-tenu de l’essor de la fonction, une multitude d’acteurs se sont engouffrés dans le domaine, à côté des formateurs historiques, comme HSC ou bien Lexsi. Sans toujours offrir une formation de grande qualité...

Une première sélection sur le site du Clusif

Sur le site du Clusif, (Club de la Sécurité de l’Information Français), on peut voir un certain nombre d’organismes de formation, qui consentent des remises aux adhérents du Clusif. Sur cette liste, bien évidemment non exhaustive, on peut lire les noms de SCASSI Conseil, de Sekoïa, de Provadys, de HSC, de PR4GM4 Conseil, de LISIS Conseil, de Fidens, de Sysdream, de Cabestan, d’Auditware, et du Groupe Y, FR Consultants. Bien sûr, ce n’est pas une indication sur le niveau de formation qu’elles offrent, mais c’est une première sélection. Il faut ensuite regarder attentivement l’année de création, le chiffre d’affaires, le nombre de consultants et l’importance de l’équipe de formation. Il importe enfin d’étudier attentivement le catalogue de formations, les grands clients, le chiffre d’affaires… et ne pas hésiter, lors des forums ou des salons spécialisés, à discuter avec les stagiaires ou les étudiants qui ont suivi ces formations afin de connaître leur avis. Autant de conseils de bon sens, mais qui ne doivent pas être négligés.

Compte-tenu de la relative jeunesse du métier de responsable de sécurité de systèmes d’information dans les entreprises et des problématiques qui y sont liées, (hacking, tests d’intrusion, métier de Correspondant Informatiques et Libertés), il existe beaucoup d’organismes de formation qui sont en fait des cabinets de conseil en sécurité qui forment leurs clients en interne, et qui ont ainsi acquis un savoirfaire en matière de formation, qu’ils ont décliné en catalogue.

C’est le cas du plus emblématique d’entre eux, Hervé Schauer Consultants, le premier sur le marché de la formation certifiante, qui propose une activité de conseil en marge d’une activité de formation très développée et dont la qualité est reconnue sur le marché. Son directeur, dont les avis tranchés sont bien connus des lecteurs de Mag-Securs, explique : « J’ai commencé à donner mes premières formations en 1989, et je n’ai jamais arrêté. Nous sommes 35 salariés aujourd’hui, dont 26 consultants. Nous réalisons un chiffre d’affaires de 1,2 million d’euros par an sur la formation. Nous avons développé une offre de formation innovante, comme la formation au métier de CIL (Correspondant Informatique et Libertés) pour lequel nous avons obtenu le soutien de l’AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel). »

C’est aussi le cas d’une autre entreprise, Ageris Group, dont le dirigeant, Thierry Ramard, nous précise : « nous sommes 10 personnes, mais nous avons des bureaux au Luxembourg, en France, au Maroc, en Belgique et en Tunisie. Nous avons trois activités : nous sommes une société de conseil dans le domaine du système d’information et de la vie privée, nous vendons des solutions logicielles. Nous avons décliné pour des grands groupes plusieurs formations à la sécurité innovantes, comme « devenir RSSI », une formation qui dure 6 jours en deux modules de trois jours et qui coûte 4050 euros HT, travailler avec un correspondant Informatiques et Libertés, comment mettre en place son projet de sécurité des systèmes d’information. Nous formons environ 150 personnes par an, et notre chiffre d’affaires sur la formation est de l’ordre de 120 000 euros. La formation est une partie de notre activité. »

Pages: 1 de 5 Page suivante