Peut-on être RSSI et ne rien comprendre à la technique ?
C’est la question que votre serviteur posait hier soir à un panel d’experts et devant un pare-terre composé d’étudiants ingénieurs en dernière année de l’EPITA.
Pauvres étudiants qui, le faisais-je remarquer perfidement, n’ont toujours que cinq années d’étude pour assimiler toujours plus de matières : après le socle technique, toujours excellent à l’EPITA, le marché leur impose désormais de savoir également gérer un SMSI, d’analyser les risques et même – c’est nouveau – d’avoir un vernis juridique. La faute au métier de RSSI qui prend de l’altitude dans tous les sens du terme : plus près du Cloud, où il devient nécessaire de savoir initier et gérer une relation contractuelle (et parfois conflictuelle) et plus près du management du Système d’Information, au détriment de ses boulons. Ajoutons à cela l’arrivée à la périphérie de disciplines nouvelles telles que l’Intelligence Economique (nous connaissons nombre de RSSI diplômés de l’Ecole de Guerre Economique) et l’on voit bien que la tâche sera rude en un laps de temps limité. La formation des élèves ingénieurs semble donc évoluer vers une forme de « plateau dégustation » (et j’assume entièrement cette analogie bancale) capable de leur donner les clés et l’ouverture d’esprit nécessaires à, ensuite, approfondir leur apprentissage au long de leur carrière en fonction de leurs besoins et de leurs limitations. Cela n’a bien entendu rien de nouveau en soit : les Grandes Ecoles enseignent ainsi par exemple avant tout une méthodologie d’apprentissage et de rigueur plutôt qu’une technique professionnelle spécifique. Mais qu’un tel phénomène touche les ingénieurs spécialistes de la sécurité pourra en revanche étonner ! Et pourtant… « Il n’y a désormais plus besoin d’être un expert technique pour devenir RSSI. Chacun aura la force de sa formation initiale – technicien, juriste, grandes écoles – et devra ensuite se former (à minima, ndlr) dans les autres domaines« , résume parfaitement un intervenant. Bien entendu tous les étudiants n’ont pas vocation à devenir RSSI. Mais comme le faisait remarquer Elisabeth Manca (HSC), les techniciens qui veulent étoffer leur bulletin de salaire se rendront vite compte qu’ils se doivent soit être excellents et d’oeuvrer sur une niche, soit évoluer vers l’organisationnel (SMSI et ISO 27001 étant les termes-clés ici). Et s’ils le font chez le client final (et non en tant que consultant) il se verront alors probablement à terme proposer un tel poste. Autant s’y préparer d’emblée. S’y préparer, c’est donc en définitive savoir ce qui existe et à quoi ça sert, plutôt que savoir faire. Afin, notamment, de ne pas acheter n’importe quelles prestations à n’importe qui. L’Intelligence Economique en est un très bon exemple. « C’est un vrai métier ! Un spécialiste du test d’intrusion ou des SMSI pourra difficilement prétendre faire de l’IE. Pour avoir vu à l’oeuvre un petit cabinet de deux personnes, à l’étranger, spécialisé dans l’Intelligence Economique, c’est vraiment un autre monde « , observe Lionel Mourer, président d’ESR Consulting. Ce que confirme d’ailleurs Laurent Dupuy, président de la Fédération des Professionnel des Tests d’Intrusion (FPTI) : « A la demande de nos membres nous avons décidé de sortir du cadre des tests d’intrusion l’Intelligence Economique et la sécurité physique« , explique-t-il. Ainsi après un vernis juridique pour gérer ses contrats, des connaissances organisationnelles pour gérer son SMSI et outre un vernis additionnel en matière de protection de l’information, le RSSI devra aussi être… un bon acheteur ! De là à ce qu’il faille faire une école de commerce après un cursus d’ingénieur en sécurité