La certification des personnes en sécurité : une

Sécurité :dossier
La certification des personnes en sécurité :
une reconnaissance tant attendue
Senior Manager,
Ernst & Young
Frédéric Huynh a fait des
études supérieures, en informatique dans une Université
parisienne et en SSI dans une
École d’Ingénieur. Titulaire
de diverses certifications
professionnelles, il est
spécialiste des problématiques de Stratégie, Politique, Organisation et Certification en Sécurité des
Systèmes d’Information.
C’est culturel. En France, pour être un
professionnel reconnu il faut nécessairement avoir fait de longues études
supérieures, et, bien entendu, être
idéalement issu une Grande École
d’ingénieur ou de commerce, même
au bout de 20 années d’expérience.
Lorsque l’on parcourt les carnets
mondains des différents journaux
économiques et évidemment informatiques, on ne peut s’empêcher de
lire que Monsieur Dupont, Centrale
Paris,a été nommé DSI de la Financière
des Gâteaux Basques, que Madame
Martin, ESSEC, a été promue Directrice
de l’Audit Interne de la Générale de
Plomberie Internationale ou que
Mademoiselle Durand, DEA d’Intelligence Artificielle Naturelle de l’Université Paris-La Sorbonne, a été cooptée
Partner chez Schmilblick & Associés.
Que dire alors, d’un Directeur
Informatique, nommé à la tête d’une
équipe de 90 personnes, au bout de
20 ans de carrière passée du pupitre,
au helpdesk, aux études, puis aux
réseaux,à la sécurité et aux méthodes ?
Doit-on dire qu’il est un autodidacte
parce qu’il n’a eu qu’un modeste BTS ?
Ne mérite-t-il pas d’être reconnu par
ses pairs plus par son parcours professionnel que par son diplôme obtenu
au siècle dernier ?
reconnaissance sur le marché tant
dans le cadre de recrutements
internes que dans le recours de
consultants externes.
À l’inverse, qui n’a jamais eu entre les
mains une carte de visite d’un interlocuteur américain et dont le nom de
famille est généralement suivi de tout
un chapelet d’acronymes tous aussi
barbares les uns que les autres :
M. Mark V. Johnson, PhD, CIA, CISA,
CISM, CISSP, CBCP, ISO27001 Lead
Auditor, CCNA, CIPP, CIO. (Devinette :
quelle est donc la fonction de
Monsieur Johnson ?).
Dans le domaine de la SSI, il existe
ainsi de nombreuses certifications,
parmi lesquelles on peut citer :
Dans le domaine de la Sécurité
des Systèmes d’Information (SSI),
comment peut-on donc distinguer un
« professionnel » reconnu ?
Les certifications
Le système de « Certification des personnes » est une forme de diplôme
professionnel, généralement décernée par des organismes privés (à
caractère commercial ou à but non
lucratif ). Chaque certification est
généralement reconnue à travers
l’image que véhicule l’organisme,mais
aussi avec le temps, le nombre de
candidats et le nombre de certifiés.
La certification permet de démontrer
des acquis professionnels, un savoirfaire technique, en bref : une expérience. Elle s’obtient la plupart du
temps à l’issue d’un examen, mais
aussi sur dossier ou à l’issue de travaux
pratiques,de la rédaction de mémoire,
ou enfin honoris causa.
La certification représente un complément à un diplôme universitaire,généralement très théorique. La certification a une approche beaucoup plus
pratique et pragmatique. Elle est le
plus souvent élaborée par des experts
d’un métier,des experts d’une technologie, ou des experts d’un produit.
Elle valorise les expériences du terrain
des individus, valorisant à ce titre une
• Le CISSP (Certified Information
System Security Professionnal), délivré par ISC2, est une certification
« plutôt orientée technique » où les
candidats doivent démontrer leurs
connaissances en matière de
Contrôle d’accès, Télécom &
Réseaux, Cryptographie, Architectures, Continuité, Sécurité physique,
etc. Elle est délivrée à l’issue d’un
examen et d’une justification d’expérience professionnelle.
• Le CBCP (Certified Business Continuity Professionnal), délivré par DRI
(Disaster Recovery Institute), est une
certification orientée « plan de
continuité d’activité ».
• Le CIPP (Certified Information
Privacy Professionnal) ; délivré par
l’IAPP (International Association of
Privacy Professionals) couvre les
domaines de la protection des données personnelles et de la protection de la vie privée.
• Le CISM (Certified Information
Security Manager), délivré par
l’ISACA (dont l’AFAI est le chapitre
français), seule certification internationale en SSI couvrant les aspects
de « Management de la Sécurité » :
la gouvernance de la sécurité,la gestion des risques, les programmes
sécurité, la gestion de la sécurité et
la réponse aux incidents.
• Le ProCSSI (Professionnel Certifié
en SSI), délivré par une branche du
Pôle Universitaire Léonard de Vinci
dont la particularité est d’être une
certification française.
Ainsi, un professionnel de la SSI,
quelque soit son parcours scolaire
peut valoriser son expérience profes-
• La revue n° 85 - Février 2007
Frédéric Huynh,
19
dossier :Sécurité
sionnelle, son expertise spécifique, et
ses connaissances acquises sur le
terrain ou lors de formations ponctuelles au travers d’une certification.
Les critères d’obtention d’une certification comprennent généralement :
• le passage d’un examen écrit sous la
forme d’un questionnaire à choix
multiples,
• la démonstration d’une expérience
professionnelle significative dans les
domaines couverts par la certification,
• l’adhésion à un code d’éthique et de
déontologie propre à chaque organisme,
• le respect d’une politique de formation continue.
Ce dernier point est fondamental et
est le principal point différenciant
d’un diplôme traditionnel.
Formation continue
Contrairement à un diplôme, une certification n’est jamais acquise à vie.
En effet, pour maintenir son statut de
Professionnel Certifié il faut impérativement respecter la politique de
formation continue (CPE : Continuing
Professional Education) imposée par
l’organisme de certification.
• La revue n° 85 - Février 2007
Cette politique de formation continue
a un sens :comment peut-on se déclarer comme étant un « bon professionnel reconnu » si on ne renouvelle pas
ses connaissances périodiquement ?
Il est ainsi primordial de démontrer
qu’on a tout mis en œuvre pour se
mettre au goût du jour et prouver
qu’on n’est pas dépassé par les évolutions technologiques.
20
La politique de formation continue est
généralement très large et n’impose
pas nécessairement uniquement des
formations formelles en salle de cours.
En effet, en plus des formations, sont
généralement considérées comme
conformes à la politique de formation
continue :
• la participation active à des groupes
de réflexions (par exemple les
Commissions de l’AFAI, les Groupes
de Travail du CLUSIF, les présentations de l’OSSIR…),
• la participation à des congrès (Eurosec,
RSA Conference,EuroCACS…),
• la rédaction d’articles,
• l’animation de formations,
• certaines conférences.
En somme, toute forme de démonstration d’ouverture à la nouveauté
peut être considérée comme partie
intégrante à la politique de formation
continue, dès lors qu’elle est reconnue
par l’organisme de certification.
Des approches différentes,
pour un même domaine
Je fais de la plongée sous-marine
depuis quelques années. Pour faire de
la plongée vous devez avoir suivi une
petite formation qui vous apprend les
règles élémentaires pour la pratique
de ce sport : comment maintenir sa
flottabilité dans l’eau, comment utiliser un détendeur (appareil qui permet
de respirer de l’air sous l’eau), etc. À
l’issue de cette formation, on vous
décerne une « Certification ». Ce document atteste votre capacité à plonger.
Il existe dans le monde deux grands
organismes de certification, l’un
Américain (PADI), l’autre plutôt
Européen (CMAS), voire français
(FFESSM). Lorsque vous allez dans
une structure de plongée, on vous
demandera systématiquement « de
quel bord » (PADI ou FFESSM) vous
êtes. En fonction de votre réponse,
on vous cataloguera chez les « bons »
ou chez les « mauvais » (et inversement), alors que, finalement, sous
l’eau : vous expirerez les mêmes bulles
quelque soit votre « obédience »…
Dans le domaine de la SSI, la démultiplication des certifications peut
conduire à ce genre de réactions : les
Français contre les Américains, les
techniques contre les managériaux,
les produits A contre les produits B,
etc. Il ne faut pas succomber à ce
genre de débat stérile. Il faut considérer que toute forme de certification
ne peut aller que dans le bon sens de
la reconnaissance des différents
métiers de la SSI, à partir du moment
où elle est réalisée dans un cadre
formel et reconnu.
À ce titre l’Organisation internationale
de normalisation (ISO) a créé une
norme (ISO17024) permettant à des
organismes de se faire accréditer pour
la « Certification des personnes ». À
titre d’illustration, l’ISACA est accréditée ISO17024 pour ses certifications
CISA et CISM. Cette accréditation
implique de nombreux critères tels
que l’organisation des examens, la formation, le processus de certification.
En conclusion, les certifications en SSI
représentent enfin une forme de
consécration des métiers de la SSI, qui
il y a encore quelques années étaient
inconnues pour ne pas dire obscures.
À l’instar du CISA, établi et ancré dans
les mentalités depuis plus de 20 ans
(de nos jours, quand on est un bon
auditeur informatique, on est nécessairement CISA),les certifications sécurité contribueront à la reconnaissance
des spécificités des métiers de la sécurité.
En dehors des certifications, il existe de plus en plus de formations diplômantes en SSI, généralement délivrées au
niveau Bac + 4/Bac + 5 pour les étudiants en continuation d’études supérieures ou pour des professionnels dans le
cadre de la formation continue.
On peut citer :
• Mastère Spécialisé « Sécurité des Systèmes d’Information et des Réseaux » (Télécom Paris),
• Mastère « Sécurité des Systèmes d’Information » (Université de Technologie de Troyes),
• Mastère Professionnel « Sécurité de l’Information, Cryptographie, Internet » (Université de Limoges),
• Mastère « Sécurité des Systèmes Informatiques » (Université Paris 12).