1 – La sécurité organisationnelle
Cela comprend les fonctions de CISO / RSSI / RPCA ou encore les correspondants dédiés chargés de relayer les bonnes pratiques au sein des différents métiers. Nous pouvons par ailleurs y inclure les fonctions de l’audit et du risque ainsi les juristes.
Ces experts travaillent principalement dans les sociétés utilisatrices mais certains experts sont indépendants ou travaillent au sein d’ESN.
Faisons un focus sur les fonctions de RSSI et CISO qui sont des experts techniques ayant un diplôme Bac + 5, souvent une spécialisation type Master en Sécurité, une excellente culture de l’IT ainsi que des métiers et qui ont souvent eu des rôles de DSI ou dans les métiers de l’audit et du risque. Ils assument les rôles de stratèges, communicants, experts, influenceurs et managers.
J’aimerais par ailleurs partager la vision du CISO qui m’a été donnée lors d’une rencontre récemment par le CISO Groupe d’une entreprise du CAC 40 et qui rédige beaucoup d’articles sur le sujet mais en gardant toujours l’anonymat le plus total :
« Il estime donc que le CISO est un cyber guerrier, qu’il doit être en mesure de réfléchir sur la stratégie de combat et surtout réfléchir à son exposition avec pour objectif la meilleure sortie du conflit de manière à éviter de nouvelles attaques. »
2 – La sécurité logique, où l’on retrouve les « ultra-spécialistes ».
Les ingénieurs réseaux avec une spécialisation sécurité, tous les métiers d’expertise comme les experts des tests d’intrusion (« pentesters ») les experts de la vulnérabilité, les experts en cryptographie, les développeurs de produits anti malware (qui doivent par exemple avoir une compétence sécu et réseau en plus de leur compétence de développement), ou encore les architectes de sécurité, qui ont pris une dimension encore plus importante avec les nouvelles technologies que sont le Cloud, le Big Data et les objets connectés.
Ces experts travaillent pour la plupart chez les éditeurs, intégrateurs et ESN. Les grandes entreprises achètent la plupart du temps cette expertise sous forme de prestations.
Le profil idéal avoir un diplôme d’études supérieures type ingénieur, une certification cyber-sécurité et de l’expérience. Par contre comme beaucoup de secteur en émergence, la cyber-sécurité est le paradis des geeks et des autodidactes. Les formations spécialisées en cyber-sécurité sont des valeurs sûres mais il n’est pas rare de voir des hackers se reconvertir en experts de la sécurité.
Patricia CABOT – Février 2016
