Former les futurs talents de la Sécurité de l'Information

Sécurité de l'information
Former les futurs talents de la Sécurité de l'Information

De grands patrons de la bulle Internet ont récemment annoncé leur intention de mener à bien une petite révolution : créer une école moderne, innovante et ingénieuse pour former les futurs talents du numérique. Plus que cela, c’est bâtir une puissance numérique, proposer des solutions nouvelles aux jeunes, bref préparer l’avenir de la France.

Chez Advens, nous avons suivi ces annonces avec curiosité, avec attention, et même avec passion pour ceux d’entre nous qui sont sortis de ces écoles qui se sont senties un peu pointées du doigt. Nous n’avons pas encore trouvé les dizaines de millions d’euros et les milliers de mètre carrés nécessaires pour construire notre école de demain. Mais nous avons déjà quelques idées sur le programme…

Vers une discipline enseignée à l’école ?

Notre domaine de prédilection reste un domaine assez peu académique. En s’aventurant à un peu d’histoire ou à l’étude de certains profils sur les réseaux sociaux, on se rend compte que certains des RSSI les plus médiatiques ont commencé leur carrière très modestement dans l’informatique et dans les métiers de la DSI.

Dans certaines sphères, bon nombre de RSSI viennent de la défense ou de la sûreté…. Après tout, on savait défendre les bâtiments et dérouler un rideau de fer. Ces histoires de SI et de firewall, ça doit être la même chose !

Pour d’autres, le risque a toujours été une préoccupation quotidienne, mais il était surtout opérationnel ou financier. Gérer des risques, auditer, viser la conformité, oui, mais protéger l’information, permettre une utilisation raisonnée et sécurisée du SI, non merci, désolé.

Bref, autant de cas de figure que de profils. C’est certainement ce qui enrichit les débats et les conférences dont les acteurs de la SSI sont si friands.

Du côté des nouvelles générations commencent à poindre des profils formés en sécurité. Des étudiants fraichement diplômés qui ont étudié le sujet à l’école. Et pour certains, ils ont même eu le droit au titre d’expert délivré par la vénérable agence. La tendance est évidemment positive et doit être encouragée. La discipline est désormais assez pratiquée pour faire l’objet d’un enseignement. Encore faut-il trouver les enseignants et le programme qui va avec.

Former les futurs talents de la sécurité de l’information…

Le programme est certainement la question la plus délicate pour la formation de ces futurs RSSI, RSI, RSO ou autres IT risk managers. S’il y a bien un constat facilement partagé, c’est celui de la richesse des problématiques traitées au quotidien par les RSSI. Expert technique spécialisé en forensic le matin pour analyser l’attaque de la veille, juriste l’après-midi pour boucler un dossier CNIL, sans oublier acheteur le midi pour faciliter le lancement d’un nouveau projet. Les casquettes sont nombreuses et très souvent nécessaires.

Alors s’il fallait définir le programme de la formation idéale, par où commencer ?

L’information oui mais surtout les systèmes d’information

Tout d’abord, il faut avouer que l’information dont on parle tous les jours est massivement manipulée sous forme numérique. Sécurité de l’information certes mais sécurité de l’information numérique dans de très nombreux cas.

Se doter d’un solide bagage technique n’est pas un frein à construire une vision stratégique de la SSI, alignée sur les enjeux métier. Au contraire, en maitrisant les concepts techniques, on s’achète d’une part de la crédibilité et d’autre part du temps pour comprendre le métier et les complexités de l’organisation

La liste des modules à intégrer au cursus peut être longue. Il faut tenter d’embrasser tous les métiers de la DSI, sans pour autant se noyer ou se sur-spécialiser dans un domaine. Architecture, exploitation, développement, analyse, conception : tout doit y passer. Sites web, informatique de gestion, systèmes industriels, dispositifs mobiles, même combat : on sait bien que tout peut être attaqué.

Et une fois que les fondations sont posées, on peut commencer à rentrer dans le vif du sujet. Sécurité système, durcissement de serveur, pratiques de développement sécurisé, sans oublier de creuser le fonctionnement des virus, le fonctionnement d’un exploit ou la construction d’une attaque. L’étudiant sera white hat un jour et black hat le lendemain. Il faudra aimer jouer aux gendarmes et aux voleurs et surtout savoir changer de rôle pour confronter les points de vue…

Les limites de la technique

Mais tout le monde sait désormais que la technique ne suffit pas. Les meilleurs techniciens peuvent succomber à l’ingénie sociale. Le développeur le plus doué doit parfois prendre la plume, ne serait-ce que pour documenter son code. Le RSSI le plus expert devra toujours rendre des comptes à une direction parfois peu fascinée par la dernière APT dont tout le monde parle.

C’est alors que la formation s’étoffe et s’enrichit. La liste est longue et peut faire peur :

  • Gestion de projet, pour maitriser planning, jalons et périmètre de responsabilité,
  • Management, pour piloter, monitorer, mesurer et s’appuyer sur les KPI les plus pertinents,
  • Communication, pour rendre compte et sensibiliser,
  • Achats, pour déjouer les pièges d’un contrat de service dans le Cloud,
  • Droits, pour parler au CIL et au futur data privacy officer.
  • Les plus vicieux ajouteraient l’arithmétique modulaire pour être un as de la crypto, mais il y a des limites…

La culture risque

Après tout ça, faut-il continuer ? La réponse est oui. Il faut enseigner un élément fondamental dans nos métiers et qui nécessite peut-être le plus d’analyse et de réflexion. Il faut parler de risque. Plus qu’en parler, il faut développer une « culture risque », qui doit faire partie de l’ADN des futurs diplômés.

Avec cette approche risque viendra l’ouverture aux sujets de la gouvernance et du management de la sécurité de l’information. Il faudra évidemment parler de normes, de nos ISO 2700* préférées, mais également de processus, d’organisation, de référentiel, de politique, de conformité, de contrôle… Autant de thématiques qui pourraient motiver à elles-seules un cursus de formation mais qu’il pourrait être bien difficile d’enseigner de façon dynamique et motivante à un public en manque cruel d’expérience.

Une bonne façon de faire pourrait être d’utiliser les fameux cours de culture générale et de sciences humaines qui ne motivent pas toujours les élèves des formations les plus techniques.

Un peu d’histoire et on revisite les grandes batailles sous le prisme du risque et de l’attaque. Qu’aurait fait Napoléon avec un honey pot ? Et si on s’inspirait d’Austerlitz ou de la Guerre de cents ans pour écrire un nouveau virus ou exploiter une nouvelle faille ?

Un peu de littérature également, avec le célèbre « Art de la guerre » de Sun Tzu, que de plus en plus de risk managers ou de stratèges citent régulièrement. Mais on peut aussi citer le « Traité des cinq roues » du samouraï Miyamoto Musashi.

Et des conférences thématiques : le risque dans le domaine médical ou financier, le risque dans l’industrie automobile, le risque et la qualité dans le BTP. Croisons les points de vue pour comprendre la notion de risque et les notions associées de mesure, de plan de traitement, de points de contrôle…

Et maintenant ?

Cet exercice amusant et rafraichissant nous montre que la sécurité est un domaine protéiforme. Il n’est peut-être pas pertinent de vouloir uniformiser les profils et de rendre la matière trop académique….

Quoiqu’il en soit, le RSSI de demain doit assumer un grand nombre de casquettes, pour participer à la maitrise du SI, au traitement des risques et surtout pour se tourner vers le métier et apporter des réponses et de la valeur à son organisation.

Benjamin Leroux, Innovation & Marketing, Advens