nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Les spécialistes de la sécurité informatique, indispensables aux directions informatiques
Hervé Schauer (
HSC Consultants) : " Depuis six mois, on compte plus de candidats spécialistes de la sécurité que de postes à pourvoir "
Sans gilet pare-balles, mais armés... de compétences réseaux et systèmes et d'expertise en pédagogie, les spécialistes de la sécurité informatique sont de plus en plus recherchés.
Mieux : garants de la politique de la sécurité de l'entreprise, ils deviennent indispensables aux directions informatiques, de plus en plus victimes de fraudes.
Ils représentent aussi une nouvelle génération d'informaticiens multifacettes, médiateurs, au profil irréprochable, capables d'investigation très fine et disposant d'une bonne dose de ténacité.
Leur mission peut parfois relever du sacerdoce.
Un métier qui ne peut s'exercer sans déontologie
Les armes de ces professionnels ? Ils cumulent les expertises d'administrateur réseaux, d'architecte systèmes et sécurité, de veille technologique, de formateur, et ?" c'est plus récent ?" ils jouent le rôle du
hacker éthique qui recherche et repère les failles d'un système.
Ouverture de toutes les " portes " d'entrée d'un système informatique, récupération de mots de passe, d'un document stratégique, prise en main d'une machine interne, prise des droits d'accès
d'administrateur sur le maximum de machines d'un réseau en un minimum de temps...
Voilà le lot commun du spécialiste, pirate pour la bonne cause, chargé de prévenir l'entreprise des failles techniques et organisationnelles de son système d'information et de l'aider à mettre en place les mesures de sécurité
adéquates.
Leur formation est multiple. La plupart du temps issus du monde des réseaux et du développement système, ces hommes se distinguent le plus souvent par une solide expérience du terrain. Parfois ?" mais rarement ?", certains
experts sécurité ont pu avoir, dans une vie antérieure, une expérience de pirate de haut niveau.
La croissance des investissements en sécurité prévue pour les années à venir semble profiter aux responsables de la sécurité des systèmes d'information répartis sur internet. Les incertitudes générées par les attentats du 11 septembre
ont également valorisé leur mission.
Les DSI sont devenues plus sensibles aux attaques informatiques. Mais la sécurité est encore, à ce jour, très peu ou mal prise en compte dans les entreprises. " Nous sommes, en quelque sorte, des serruriers experts. Et
nous devons montrer aux utilisateurs les failles de leur système d'information ", explique Jean-François Ragu, architecte sécurité et responsable, pour l'Europe de l'Ouest, des hackers éthiques chez IBM Global Services.
Cette équipe d'experts d'IBM ?" cinq personnes ?" a pour mission d'aller chez les grands comptes (banques, assurances, grande distribution), de réaliser sous contrat des tests d'intrusion et de déceler tout type de faille à
l'architecture du système d'information.
Leur première devise est la déontologie : " Les prestations de tests d'intrusion doivent être effectuées par des consultants en sécurité respectant la déontologie du métier, et capables de maîtriser la démarche
permettant de faire une intrusion. Ce ne doit en aucun cas être des personnes malveillantes ou qui l'ont été ", précise Hervé Schauer, fondateur du cabinet HSC Consultants.
Selon ce spécialiste des réseaux et de la sécurité, un bon consultant en sécurité est tout d'abord un informaticien bon administrateur systèmes et réseaux, et bon en programmation. " Il y a un an, le recrutement n'était
peut-être pas facile. Mais, depuis six mois, il n'y a aucun problème. On compte davantage de candidats que de postes à pourvoir ", ajoute Hervé Schauer.
Formateur conseiller, commercial et médiateur
Et pourtant, leur mission n'est pas des plus simples. Elle se fonde principalement sur la maîtrise de l'anticipation et de la sensibilisation des utilisateurs aux risques encourus.
Selon Pascal Boisgibault, responsable de la sécurité au département des équipements et systèmes du transport de la RATP, la profession de spécialiste sécurité est multifacette : " Il n'y a pas qu'un seul métier dans le
domaine de la sécurité informatique. Par exemple, on ne peut l'exercer sans un minimum d'expérience en Unix ou autres systèmes d'exploitation. "
Pour cet ex-chef de projet sécurité pour la gestion de configuration logicielle de Meteor, " le travail du responsable sécurité informatique consiste, entre autres, à diminuer les risques d'attaque, à faire de la veille
technologique, mais aussi à sensibiliser les utilisateurs aux problèmes liés à la sécurité ".
Pour Arnaud Sarrazin, animateur de la sécurité au département des systèmes d'information et des télécommunications de la RATP, l'homme sécurité est également celui qui doit dispenser les principes de base pour protéger le système
d'information.
" J'ai pour mission de renforcer une culture de sécurité déjà bien présente dans le monde ferroviaire. C'est un rôle d'animation et de soutien qui s'appuie sur un réseau de correspondants ",
précise-t-il. Aux yeux de certains prestataires comme IGS, il lui faudra aussi avoir une fibre commerciale.
Selon Jean-François Ragu, le rôle de ces fameux hackers éthiques est à la fois commercial et de conseil : " Il donne les grandes directions à prendre pour mettre en place une stratégie de sécurité informatique qui
tienne la route. La plus grande difficulté est de se mettre au niveau de tous les échelons hiérarchiques ?" du technicien à la direction ?" afin que chacun puisse s'y retrouver ", explique t-il.
Ces spécialistes ont aussi une fonction de médiateur : " Il faut sensibiliser les utilisateurs et ménager les susceptibilités. Notamment devant les administrateurs systèmes, qui prennent parfois de plein fouet les
résultats de nos audits. En général, nous essayons de tempérer les choses lorsque nous donnons les résultats de tests d'intrusion ", ajoute Jean-François Ragu, d'IBM Global Services.
Des équipes qui auraient besoin d'être étoffées
Au centre de recherche du Cern (l'organisation européenne pour la recherche nucléaire) ?" la patrie du web ?" à Genève, la sécurité informatique est une problématique expérimentée depuis longtemps. Conçu à l'origine avec
l'idée d'ouverture aux réseaux de centres de recherche nucléaire du monde entier, internet a dès ses débuts été confronté aux problèmes de fraudes informatiques.
" Chez nous, le spécialiste sécurité doit réaliser sa mission en ayant toujours à l'esprit l'idée du compromis entre une interface utilisateur conviviale et une sécurité solide ", explique Fabrizio
Gagliardi, directeur de projet au sein de la division des systèmes d'information du Cern.
Il insiste aussi sur l'importance du rôle de collaborateur du responsable sécurité. Et ce, à une échelle aujourd'hui mondiale. Mais, comme dans beaucoup d'autres entreprises, il faudrait aujourd'hui étoffer l'équipe de sécurité.
Cependant, le ralentissement économique actuel qui pousse les entreprises à réduire leurs investissements a un impact sur cette profession. Les équipes, souvent restreintes (de une à cinq personnes), ne peuvent être renforcées.
Selon l'expérience de terrain de HSC Consultants, les directions sont toujours capables de limiter ce qui n'est pas indispensable à la réalisation à court terme de gains de productivité, comme les audits de sécurité. Quitte à prendre
davantage de risques.
Nos partenaires