Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Des pans nouveaux de l’activité SSI

Nouveau métier oblige, un certain nombre de formations fleurissent dans les organismes qui portent sur des pans tout à fait nouveaux de l’activité de RSSI. Hervé Schauer nous les détaille : « les formations qui ont le plus de succès sont des formations ISO 270001 Lead Implementer, ISO 27001 Lead Auditor, ISO 27005 Risk Manager. Mais les formations aux hacking éthique (tests d’intrusion applicatifs et hacking éthique) ou les formations au confluent des domaines techniques et juridiques ont aussi beaucoup de succès. Mentionnons enfin une nouvelle formation générale, de cinq jours, sur le métier de RSSI. » Un de ses concurrents directs, mais tout aussi apprécié par le marché, David Sanchez, de Lexsi, explique : « les formations générales, comme les principes essentiels du management de la sécurité des systèmes d’information, ou bien ethical hacking, où l’on apprend les techniques de piratage pour mieux les déjouer et les détecter, ont pas mal de succès. »

Pierre Oger, directeur commercial de Fidens, met quant à lui en exergue « une palette très large de formation en sécurité des SI ». « Nous proposons des formations de présentation de la SSI, du CIL, de la sécurité dans ITIL, des aspects juridiques, de lutte contre les menaces, de présentation du métier du RSSI, de développement sécurisé, de laboratoire du hacker, de PCA (Plan de Continuité d’Activité) et PRA (Plan de Reprise d’Activité) et bien sûr les formations aux méthodes de la SSI (certifiante par l’intermédiaire de LSTI)… Pour le moment les formations qui rencontrent chez nous le plus de succès sont les formations de la famille ISO 27000 et de l’analyse de risque selon la méthode EBIOS, mais le marché évolue et nos stagiaires reviennent vers nous pour continuer leur apprentissage. Nous travaillons maintenant à la définition de filières de formation à la SSI pour accompagner nos stagiaires dans la compréhension de ce vaste domaine si important aujourd’hui. »

Des stagiaires sur le grill

Patrick Morrissey, directeur d’Auditware, nous a convié dans un hôtel proche de Paris où se déroulaient ses formations, à venir rencontrer ses stagiaires. Conversations à bâtons rompus, après un passage de tests. Il y a là Abdou Berghani, consultant indépendant en sécurité des systèmes d’information dans la région de Lille, qui nous déclare : « Je vise le CISSP, c’est important pour un consultant comme moi pour pouvoir travailler à l’international ». Tewfik Medani, qui travaille au département d’audit interne de la Société Générale en Algérie, nous confie : « j’y vois un double intérêt : l’évolution de ma carrière, et le fait de me faire certifier par mon département d’audit interne. Je n’ai retenu qu’Auditware qui correspondait à mes attentes. Faire cette certification (CISA –Certified Information Systems Auditor) me permet de valider la position de l’audit SI à la Société Générale ». Tous soulignent, enfin, la force d’avoir créé un petit groupe qui travaille ensemble à un même but : réussir sa certification. « Nous avons pu constituer un petit réseau, nous prenons des nouvelles les uns des autres, c’est important pour notre évolution future ». Taquin, Pierre Morrissey confie : « l’effet réseau est indéniable. Pour ma part, je n’ai jamais réussi à marier des stagiaires. Mais cela ne saurait tarder ».