Lionel Mourer, Responsable département Production chez Linkware
Aujourd’hui, nous recherchons principalement des consultants seniors ayant cinq, voire dix ans d’expérience, pour intégrer notre département Conseil technique. Un certain recul, une vision globale du SI est essentielle sur cet aspect de notre métier. Il y a six mois, ce type de profil était quasiment introuvable. Aujourd’hui, il devient possible d’en recruter, bien que cela reste difficile. Bien sûr, une expérience de sécurité « pure » de dix ans est rare sur le marché. Nos consultants seniors ont le plus souvent de dix à quinze ans d’expérience et viennent du réseau pour la plupart. En terme de diplôme, avec de tels acquis, le titre d’ingénieur n’est plus absolument requis. Nos équipes viennent d’horizons variés et comprennent même quelques autodidactes, car nous privilégions les compétences.
"Nous privilégions les compétences"
L’important reste un solide background technique avec, outre une maîtrise « haute » du système d’information, des capacités à dialoguer, à intégrer les spécificités propres de chaque client. On ne s’arrête pas simplement à la trame IP, mais nous prenons en compte les problèmes d’organisation, de politique de l’entreprise, souvent complexes et qui influencent sérieusement la mise en place d’une solution de sécurité, particulièrement dans les grands comptes. Les ingénieurs ou titulaires de DESS possédant moins d’expérience travaillent au sein de notre pôle Intégration. Nous complétons leur formation aux mécanismes de sécurité en interne. Notamment à travers des déploiements ou l’écriture de procédures d’exploitation - il y a sur ce sujet une assez forte demande de la part de nos clients. Sur notre troisième pôle, Gestion du risque, il y a deux types d’intervenants : des consultants seniors (ou membres du pôle R&D) pour l’écriture des procédures, la validation du rapport et pour traiter tout point bloquant durant la réalisation ; des consultants ou juniors qui s’occupent de la réalisation. »
Nicolas Appert, Directeur général d’Ubizen France
En France, le management à distance reste, malgré la maturité de l’offre, minoritaire dans nos activités. Il nécessite encore une vraie démarche de sensibilisation, car les problématiques de supervision, de monitoring temps réel des environnements de sécurité ne sont pas entrés dans les moeurs. Il existe un réel blocage culturel. Dès qu’on évoque l’externalisation de tout ou partie de leur sécurité, les entreprises se sentent menacées. Notre philosophie est orientée sur deux axes d’évolution : les entreprises ont beaucoup investi dans des produits d’infrastructure (pare-feu, centre de détection d’intrusion, antivirus, système d’authentification...), et cependant d’importants problèmes perdurent. Les outils mis en place sont contournés, notamment à travers les failles de sécurité des serveurs web. La sécurité des infrastructures évolue donc vers un besoin plus applicatif. L’intérêt est de sécuriser l’environnement mis à disposition à l’ensemble de la communauté relationnelle.
"Externaliser ? Blocage culturel"
Il s’agit de protéger l’information et non plus uniquement le réseau en termes d’accès internes et externes. Par ailleurs, il ne suffit pas de mettre en place un produit, il faut également l’administrer. Cela est d’autant plus ardu pour une entreprise que les ressources sont difficiles à trouver et à conserver. Il faut s’occuper des services nécessaires pour suivre l’activité du produit une fois implémenté. »
Nicolas Sadirac, Directeur d’Epitech et directeur technique de l’Epita
Pour être un bon spécialiste en sécurité informatique, on doit bien sûr parfaitement connaître ses fondamentaux mais aussi avoir un état d’esprit « détourné ». Il faut systématiquement se demander, face à un problème, comment quelqu’un pourrait imaginer de détourner les protections. Chez nous, dès le début de la scolarité, nous organisons des exercices qui demandent de trouver les limites d’un système avant même d’en connaître le fonctionnement général. Il s’agit de faire des choses normalement impossibles, de construire des systèmes de détournement.
"Dépasser une vision fonctionnelle des choses"
Ensuite, nous amenons nos étudiants à réfléchir sur la causalité des failles exploitées... Les qualités nécessaires à cet apprentissage se développent mais relèvent aussi de l’inné. On peut être un très bon technicien réseau, avec une connaissance parfaite des environnements, sans jamais être doué pour faire de la sécurité. Souvent, quand on parle de métiers, on a tedance à mélanger deux choses : le déploiement de solutions, l’installation de produits et la fabrication d’une structure, la définition d’une topologie avec une réflexion transversale en profondeur. Le différentiel de compétences est important. Bâtir une infrastructure, une vraie politique de sécurité, est beaucoup plus difficile à réaliser. A mon sens, les formations qui ne sont pas informatiques à la base sont très défaillantes. Acquérir des compétences réseaux équivaut à ingurgiter de l’information. Se qualifier en informatique, c’est assimiler des méthodes de raisonnement complexes et profondes. Nos formations sont constituées d’informatique pure pendant un an et demi, avant d’attaquer du réseau. Cela permet de dépasser une vision fonctionnelle des choses. Un routeur, par exemple, est avant tout un ordinateur programmé. Avoir une idée de la façon dont le logiciel est implémenté permet de repérer les défaillances aux points limites de fonctionnement des matériels. C’est une vision hélas très peu représentée dans les formations aujourd’hui. »
Joël Rivière, Dirigeant de Lexsi
Notre maître mot est de faire de l’accompagnement d’entreprise sur la partie sécurité de l’information. Nos prestations tournent autour de trois axes de travail : le conseil, l’audit, la formation. Le fait de ne pas être intégrateur et de ne pas vendre de solution, donne confiance à nos clients. Nos préconisations tiennent compte avant tout du métier de l’entreprise et non pas des produits de sécurité, qu’on ne vend pas. La veille technologique est une activité essentielle de notre entreprise.
"Tenir compte du métier de l’entreprise, et non des produits"
Chez nous, son organisation est originale puisque, outre une équipe fixe, un système de roulement nous permet d’enrichir le département tout en garantissant une mise à niveau permanente sur le terrain. Trop de clients négligent les aspects de veille. De fait, nous réalisons encore beaucoup d’« interventions-pompiers »... on nous appelle une fois les dégâts constatés. Dans notre métier, nous avons eu la chance de ne pas ressentir de ralentissement ; on note même une croissance continue depuis septembre. L’audit PABX, par exemple, se porte très bien. Nous songeons à élargir notre champ d’activité à l’externalisation d’une partie, technique, de la sécurité. La gestion à distance des mises à jour ou d’une partie de l’administration nous sembent des directions intéressantes. Mais, à mon sens, le RSSI doit rester dans l’entreprise. Les tenants de la politique de sécurité sont propres à la gestion de ses activités. »
RSS 2.0