Par la rédaction le 02/06/2012
Faut-il se former à la sécurité des systèmes d’information
ou bien peut-on apprendre au fil de l’eau ? Doit-on
suivre une formation initiale, type mastère, ou bien une
formation délivrée par un organisme est-elle suffisante
pour exercer le métier de responsable de sécurité des
systèmes d’information ? Dans un secteur, qui, évolution
du métier oblige, est très concurrentiel, Mag-Securs tente
d’apporter des éléments de réponse. Mais ce n’est qu’avec
une étude approfondie le l’offre que l’intéressé pourra se
faire une opinion.
CISSP, (Certified Information Systems
Security Professional), CISA
(Certified Information System
Auditor), ISO 27001 Lead Auditor,
ISO 27001 Lead Implementer,
formations PCA (Plan de Continuité d’Activité),
PRA (Plan de Reprise d’Activité), formation aux
tests d’intrusion, au hacking, aux fondamentaux
de la sécurité informatique, aux problèmes juridiques
que doit rencontrer le RSSI ? Les sigles
abscons fleurissent et les organismes de formation,
assis sur une manne financière gérée par les
entreprises ou le FONGECIF (lire encadré), se
multiplient, et ce d’autant plus que les métiers
liés à la sécurité des systèmes d’information sont
porteurs. Quelle formation faut-il privilégier
pour être au top de son activité et être reconnu
internationalement quand on est responsable
de sécurité des systèmes d’information, quel organisme
choisir ? Accroître ses compétences en
hacking pour déjouer les pirates constitue-t-il
une priorité ? Faut-il faire une formation certifiante
? Entre Hervé Schauer Consultants (HSC),
leader sur le marché de la formation en sécurité,
Lexsi, Global Knowledge, Fidens, Auditware, ou
d’autres, lequel choisir ? Le choix est vaste, et,
compte-tenu de l’essor de la fonction, une multitude
d’acteurs se sont engouffrés dans le domaine,
à côté des formateurs historiques, comme
HSC ou bien Lexsi. Sans toujours offrir une formation
de grande qualité...
Une première sélection sur le site
du Clusif
Sur le site du Clusif, (Club de la Sécurité de l’Information
Français), on peut voir un certain nombre
d’organismes de formation, qui consentent des remises
aux adhérents du Clusif. Sur cette liste, bien
évidemment non exhaustive, on peut lire les noms
de SCASSI Conseil, de Sekoïa, de Provadys, de
HSC, de PR4GM4 Conseil, de LISIS Conseil, de
Fidens, de Sysdream, de Cabestan, d’Auditware, et
du Groupe Y, FR Consultants. Bien sûr, ce n’est pas
une indication sur le niveau de formation qu’elles
offrent, mais c’est une première sélection. Il faut ensuite
regarder attentivement l’année de création, le
chiffre d’affaires, le nombre de consultants et l’importance
de l’équipe de formation. Il importe enfin
d’étudier attentivement le catalogue de formations,
les grands clients, le chiffre d’affaires… et ne pas hésiter,
lors des forums ou des salons spécialisés, à discuter
avec les stagiaires ou les étudiants qui ont suivi
ces formations afin de connaître leur avis. Autant de
conseils de bon sens, mais qui ne doivent pas être
négligés.
Compte-tenu de la relative jeunesse du métier de
responsable de sécurité de systèmes d’information
dans les entreprises et des problématiques qui y sont
liées, (hacking, tests d’intrusion, métier de Correspondant
Informatiques et Libertés), il existe beaucoup d’organismes de formation qui sont en fait des
cabinets de conseil en sécurité qui forment leurs
clients en interne, et qui ont ainsi acquis un savoirfaire
en matière de formation, qu’ils ont décliné en
catalogue.
C’est le cas du plus emblématique d’entre eux, Hervé
Schauer Consultants, le premier sur le marché
de la formation certifiante, qui propose une activité
de conseil en marge d’une activité de formation
très développée et dont la qualité est reconnue sur
le marché. Son directeur, dont les avis tranchés sont
bien connus des lecteurs de Mag-Securs, explique :
« J’ai commencé à donner mes premières formations
en 1989, et je n’ai jamais arrêté. Nous sommes 35
salariés aujourd’hui, dont 26 consultants. Nous réalisons
un chiffre d’affaires de 1,2 million d’euros par
an sur la formation. Nous avons développé une offre
de formation innovante, comme la formation au métier
de CIL (Correspondant Informatique et Libertés)
pour lequel nous avons obtenu le soutien de l’AFCDP
(Association Française des Correspondants à la Protection
des Données à Caractère Personnel). »
C’est aussi le cas d’une autre entreprise, Ageris
Group, dont le dirigeant, Thierry Ramard, nous
précise : « nous sommes 10 personnes, mais nous
avons des bureaux au Luxembourg, en France, au
Maroc, en Belgique et en Tunisie. Nous avons trois
activités : nous sommes une société de conseil dans le
domaine du système d’information et de la vie privée,
nous vendons des solutions logicielles. Nous avons décliné
pour des grands groupes plusieurs formations à
la sécurité innovantes, comme « devenir RSSI », une
formation qui dure 6 jours en deux modules de trois
jours et qui coûte 4050 euros HT, travailler avec un
correspondant Informatiques et Libertés, comment
mettre en place son projet de sécurité des systèmes
d’information. Nous formons environ 150 personnes
par an, et notre chiffre d’affaires sur la formation
est de l’ordre de 120 000 euros. La formation est
une partie de notre activité. »