La certification des personnes en sécurité : une
Transcription
La certification des personnes en sécurité : une
Sécurité :dossier La certification des personnes en sécurité : une reconnaissance tant attendue Senior Manager, Ernst & Young Frédéric Huynh a fait des études supérieures, en informatique dans une Université parisienne et en SSI dans une École d’Ingénieur. Titulaire de diverses certifications professionnelles, il est spécialiste des problématiques de Stratégie, Politique, Organisation et Certification en Sécurité des Systèmes d’Information. C’est culturel. En France, pour être un professionnel reconnu il faut nécessairement avoir fait de longues études supérieures, et, bien entendu, être idéalement issu une Grande École d’ingénieur ou de commerce, même au bout de 20 années d’expérience. Lorsque l’on parcourt les carnets mondains des différents journaux économiques et évidemment informatiques, on ne peut s’empêcher de lire que Monsieur Dupont, Centrale Paris,a été nommé DSI de la Financière des Gâteaux Basques, que Madame Martin, ESSEC, a été promue Directrice de l’Audit Interne de la Générale de Plomberie Internationale ou que Mademoiselle Durand, DEA d’Intelligence Artificielle Naturelle de l’Université Paris-La Sorbonne, a été cooptée Partner chez Schmilblick & Associés. Que dire alors, d’un Directeur Informatique, nommé à la tête d’une équipe de 90 personnes, au bout de 20 ans de carrière passée du pupitre, au helpdesk, aux études, puis aux réseaux,à la sécurité et aux méthodes ? Doit-on dire qu’il est un autodidacte parce qu’il n’a eu qu’un modeste BTS ? Ne mérite-t-il pas d’être reconnu par ses pairs plus par son parcours professionnel que par son diplôme obtenu au siècle dernier ? reconnaissance sur le marché tant dans le cadre de recrutements internes que dans le recours de consultants externes. À l’inverse, qui n’a jamais eu entre les mains une carte de visite d’un interlocuteur américain et dont le nom de famille est généralement suivi de tout un chapelet d’acronymes tous aussi barbares les uns que les autres : M. Mark V. Johnson, PhD, CIA, CISA, CISM, CISSP, CBCP, ISO27001 Lead Auditor, CCNA, CIPP, CIO. (Devinette : quelle est donc la fonction de Monsieur Johnson ?). Dans le domaine de la SSI, il existe ainsi de nombreuses certifications, parmi lesquelles on peut citer : Dans le domaine de la Sécurité des Systèmes d’Information (SSI), comment peut-on donc distinguer un « professionnel » reconnu ? Les certifications Le système de « Certification des personnes » est une forme de diplôme professionnel, généralement décernée par des organismes privés (à caractère commercial ou à but non lucratif ). Chaque certification est généralement reconnue à travers l’image que véhicule l’organisme,mais aussi avec le temps, le nombre de candidats et le nombre de certifiés. La certification permet de démontrer des acquis professionnels, un savoirfaire technique, en bref : une expérience. Elle s’obtient la plupart du temps à l’issue d’un examen, mais aussi sur dossier ou à l’issue de travaux pratiques,de la rédaction de mémoire, ou enfin honoris causa. La certification représente un complément à un diplôme universitaire,généralement très théorique. La certification a une approche beaucoup plus pratique et pragmatique. Elle est le plus souvent élaborée par des experts d’un métier,des experts d’une technologie, ou des experts d’un produit. Elle valorise les expériences du terrain des individus, valorisant à ce titre une • Le CISSP (Certified Information System Security Professionnal), délivré par ISC2, est une certification « plutôt orientée technique » où les candidats doivent démontrer leurs connaissances en matière de Contrôle d’accès, Télécom & Réseaux, Cryptographie, Architectures, Continuité, Sécurité physique, etc. Elle est délivrée à l’issue d’un examen et d’une justification d’expérience professionnelle. • Le CBCP (Certified Business Continuity Professionnal), délivré par DRI (Disaster Recovery Institute), est une certification orientée « plan de continuité d’activité ». • Le CIPP (Certified Information Privacy Professionnal) ; délivré par l’IAPP (International Association of Privacy Professionals) couvre les domaines de la protection des données personnelles et de la protection de la vie privée. • Le CISM (Certified Information Security Manager), délivré par l’ISACA (dont l’AFAI est le chapitre français), seule certification internationale en SSI couvrant les aspects de « Management de la Sécurité » : la gouvernance de la sécurité,la gestion des risques, les programmes sécurité, la gestion de la sécurité et la réponse aux incidents. • Le ProCSSI (Professionnel Certifié en SSI), délivré par une branche du Pôle Universitaire Léonard de Vinci dont la particularité est d’être une certification française. Ainsi, un professionnel de la SSI, quelque soit son parcours scolaire peut valoriser son expérience profes- • La revue n° 85 - Février 2007 Frédéric Huynh, 19 dossier :Sécurité sionnelle, son expertise spécifique, et ses connaissances acquises sur le terrain ou lors de formations ponctuelles au travers d’une certification. Les critères d’obtention d’une certification comprennent généralement : • le passage d’un examen écrit sous la forme d’un questionnaire à choix multiples, • la démonstration d’une expérience professionnelle significative dans les domaines couverts par la certification, • l’adhésion à un code d’éthique et de déontologie propre à chaque organisme, • le respect d’une politique de formation continue. Ce dernier point est fondamental et est le principal point différenciant d’un diplôme traditionnel. Formation continue Contrairement à un diplôme, une certification n’est jamais acquise à vie. En effet, pour maintenir son statut de Professionnel Certifié il faut impérativement respecter la politique de formation continue (CPE : Continuing Professional Education) imposée par l’organisme de certification. • La revue n° 85 - Février 2007 Cette politique de formation continue a un sens :comment peut-on se déclarer comme étant un « bon professionnel reconnu » si on ne renouvelle pas ses connaissances périodiquement ? Il est ainsi primordial de démontrer qu’on a tout mis en œuvre pour se mettre au goût du jour et prouver qu’on n’est pas dépassé par les évolutions technologiques. 20 La politique de formation continue est généralement très large et n’impose pas nécessairement uniquement des formations formelles en salle de cours. En effet, en plus des formations, sont généralement considérées comme conformes à la politique de formation continue : • la participation active à des groupes de réflexions (par exemple les Commissions de l’AFAI, les Groupes de Travail du CLUSIF, les présentations de l’OSSIR…), • la participation à des congrès (Eurosec, RSA Conference,EuroCACS…), • la rédaction d’articles, • l’animation de formations, • certaines conférences. En somme, toute forme de démonstration d’ouverture à la nouveauté peut être considérée comme partie intégrante à la politique de formation continue, dès lors qu’elle est reconnue par l’organisme de certification. Des approches différentes, pour un même domaine Je fais de la plongée sous-marine depuis quelques années. Pour faire de la plongée vous devez avoir suivi une petite formation qui vous apprend les règles élémentaires pour la pratique de ce sport : comment maintenir sa flottabilité dans l’eau, comment utiliser un détendeur (appareil qui permet de respirer de l’air sous l’eau), etc. À l’issue de cette formation, on vous décerne une « Certification ». Ce document atteste votre capacité à plonger. Il existe dans le monde deux grands organismes de certification, l’un Américain (PADI), l’autre plutôt Européen (CMAS), voire français (FFESSM). Lorsque vous allez dans une structure de plongée, on vous demandera systématiquement « de quel bord » (PADI ou FFESSM) vous êtes. En fonction de votre réponse, on vous cataloguera chez les « bons » ou chez les « mauvais » (et inversement), alors que, finalement, sous l’eau : vous expirerez les mêmes bulles quelque soit votre « obédience »… Dans le domaine de la SSI, la démultiplication des certifications peut conduire à ce genre de réactions : les Français contre les Américains, les techniques contre les managériaux, les produits A contre les produits B, etc. Il ne faut pas succomber à ce genre de débat stérile. Il faut considérer que toute forme de certification ne peut aller que dans le bon sens de la reconnaissance des différents métiers de la SSI, à partir du moment où elle est réalisée dans un cadre formel et reconnu. À ce titre l’Organisation internationale de normalisation (ISO) a créé une norme (ISO17024) permettant à des organismes de se faire accréditer pour la « Certification des personnes ». À titre d’illustration, l’ISACA est accréditée ISO17024 pour ses certifications CISA et CISM. Cette accréditation implique de nombreux critères tels que l’organisation des examens, la formation, le processus de certification. En conclusion, les certifications en SSI représentent enfin une forme de consécration des métiers de la SSI, qui il y a encore quelques années étaient inconnues pour ne pas dire obscures. À l’instar du CISA, établi et ancré dans les mentalités depuis plus de 20 ans (de nos jours, quand on est un bon auditeur informatique, on est nécessairement CISA),les certifications sécurité contribueront à la reconnaissance des spécificités des métiers de la sécurité. En dehors des certifications, il existe de plus en plus de formations diplômantes en SSI, généralement délivrées au niveau Bac + 4/Bac + 5 pour les étudiants en continuation d’études supérieures ou pour des professionnels dans le cadre de la formation continue. On peut citer : • Mastère Spécialisé « Sécurité des Systèmes d’Information et des Réseaux » (Télécom Paris), • Mastère « Sécurité des Systèmes d’Information » (Université de Technologie de Troyes), • Mastère Professionnel « Sécurité de l’Information, Cryptographie, Internet » (Université de Limoges), • Mastère « Sécurité des Systèmes Informatiques » (Université Paris 12).