Comprendre le métier
Un bug qui paralyse l’activité de l’entreprise, l’intrusion d’un hacker, ou tout simplement un incendie dans la salle des serveurs… ce sont les risques que doit prévenir ou les dégâts que doit corriger l’expert en sécurité informatique. Il doit adopter une juste mesure entre la sécurisation du système informatique et les contraintes engendrées par les utilisateurs. Lire la suite ...
En effet, le système informatique d’une société encourt plusieurs types de risques, internes ou externes. Des accidents du type incendie, panne, dégât des eaux peuvent toujours survenir. Des erreurs liées à l’utilisation du système informatique par les employés, liées à la conception de logiciels, des bugs, sont une nouvelle source de dangers. Enfin des actes de malveillance, qu’il s’agisse de vol, sabotage, virus, destruction de données sont aussi concevables.
Politique de sécurité. Le poste d’expert en sécurité informatique est moins opérationnel que la plupart des métiers de l’informatique. Une grande part de son activité consiste à établir des règles d’utilisation de l’outil informatique applicables par l’ensemble des usagers. Auditer le système existant est la première étape. Définir les règles d’usage, informer et former sont des aspects importants de cette politique.
Les objectifs poursuivis par cette politique sont généralement au nombre de cinq.
1. L’intégrité consiste à garantir que les informations stockées restent identiques depuis le moment de leur enregistrement.
2. L’expert en sécurité doit aussi assurer la confidentialité des échanges d’informations.
3. L’ensemble des outils informatiques et des données doivent être en état de fonctionnement, il faut en assurer la disponibilité permanente.
4. La non-répudiation des transactions doit être respectée : les opérations commerciales et les paiements sont sauvegardés.
5. Enfin l’authentification constitue le dernier objectif, il s’agit de s’assurer que les accès aux ressources sont limitées aux seules personnes autorisées.
Administrer les accès au réseau et aux données est une priorité dans la stratégie globale de sécurité. Après avoir analysé le fonctionnement de l’ensemble de l’entreprise, les besoins d’accès aux informations pour chaque service, l’expert en sécurité crée des groupes d’utilisateurs et leur attribue un accès sélectif aux données sensibles ou non de l’entreprise. De même l’accès au réseau est réglementé selon les besoins. Si la société doit ouvrir son réseau à ses clients ou si elle fait du commerce électronique, la protection et la partition du réseau prend une importance considérable.
Contre les intrusions et les virus, l’expert en sécurité prend en charge l’acquisition d’un pare-feu et d’antivirus. Ces outils permettent d’éviter les piratages, le vol ou la destruction des données sensibles de l’entreprise, que sont les données commerciales, les découvertes non encore brevetées, des informations relatives à la stratégie de l’entreprise etc… L’utilisation de la cryptographie, la mise en place de tunnels sécurisés sont d’autres moyens de protection. L’expert en sécurité gère les achats et les licences de ces logiciels, et s’assure de leur emploi par l’ensemble des salariés. Il fait exécuter des tests d’intrusion par des sociétés extérieures.
La sauvegarde des données est un autre aspect de la politique de sécurité. Quand le budget est conséquent, quand la sécurité est optimale, cette sauvegarde est triple. Deux serveurs enregistrent quotidiennement ou selon le rythme défini les informations. En outre, l’expert en sécurité organise l’externalisation des données, c’est-à-dire que celles-ci sont stockées dans un serveur situé à l’extérieur de la société. Si un accident important survient, les employés peuvent reprendre très rapidement le travail.
La protection est également physique. L’installation de systèmes de détection et de protection contre les incendies, contre les dégâts des eaux, la mise en place d’ondulateurs pour pallier aux variations de tension électrique, le recours à du personnel de surveillance, toutes ces actions sont pensées par l’expert en sécurité.
Assurer une veille technologique permanente dans son domaine est plus que dans tout autre domaine de l’informatique un impératif dans l’exercice de cette fonction.
Ce métier est également connu sous le nom de : Ingénieur en sécurité informatique ; Responsable en sécurité informatique ; Consultant en sécurité informatique
Quel serait mon environnement de travail ?
Les employeurs. Les sociétés du secteur informatique recrute au premier chef les experts en sécurité informatique : les SSII (sociétés de services en ingénierie informatique) et les prestataires spécialisées en sécurité en premier lieu. Les secteurs sensibles de la défense, de la banque et de la finance font également appel à ces profils.
Dans une société de services informatiques, l’expert en sécurité aura un profil de poste plus opérationnel. Il travaille généralement en mode projet, affecté successivement sur des missions pour des clients variés. Si l’expert en sécurité arrive en amont du projet, la mission esr d’autant plus intéressante car la conception de la stratégie de sécurité est à réaliser.
Dans une grande entreprise utilisatrice, l’activité de l’expert en sécurité informatique s’inscrit dans la durée. Ce poste demande néanmoins une grande polyvalence.
Relations de travail. L’expert en sécurité informatique prend ses ordres auprès du Directeur technique, du Directeur des Systèmes d’information selon les cas. Quand la question est vraiment sensible, l’expert en sécurité informatique est rattaché hiérarchiquement à la Direction générale. Selon la taille de l’entreprise et l’importance de la question, l’expert en sécurité informatique travaille seul ou en équipe. Il est en relation avec les membres de l’équipe exploitation, le service juridique et la direction de la qualité.
La demande est très importante pour ce profil. Les experts en sécurité informatique peuvent se placer sans problème dans une SSII ou dans une entreprise utilisatrice. Ils ont la possibilité de changer de société facilement pour multiplier les expériences et développer leur spectre de compétences. C’est un métier porteur du secteur de l’informatique.
Ai-je les compétences nécessaires ?
Pour entrer dans cette profession, vous devrez avoir une connaissance pointue des normes de sécurité (la norme ISO27001 par exemple), des méthodes (MARION, MEHARI, EBIOS, CMMI…), des technologies (pare-feu, antivirus, cryptographie, serveurs d'authentification, tests d'intrusion, filtrages d'URL). Les systèmes d’exploitation, les réseaux ne doivent pas non plus avoir de secret pour vous.
L’honnêteté et l’intégrité sont des qualités recherchées par les recruteurs, car dans ce poste, vous aurez accès aux données sensibles de l’entreprise et car votre fonction est stratégique.
Si vous manifestez une aisance relationnelle, un sens de la pédagogie, ces qualités vous aideront à informer et sensibiliser vos collègues aux enjeux de la sécurité.
Comment accéder à ce métier ?
Un diplôme universitaire en informatique, ou celui d’une école d’ingénieurs, généraliste ou spécialisée, est la base.
Plusieurs écoles d’ingénieurs se sont spécialisées dans la formation en informatique : Ecole nationale supérieure d’informatique et de mathématiques appliquées de Grenoble (ENSIMAG), Telecom Paris, Ecole nationale supérieure des télécommunications à Paris, Telecom Sud Paris à Evry, Ecole nationale supérieure d’électrotechnique, d’électronique, d’informatique, d’hydraulique et des télécommunications à Toulouse (ENSEEIHT), Ecole nationale supérieure d’électronique, informatique et radiocommunications de Bordeaux (ENSEIRB).
A l’heure actuelle, le Bac+5 spécialisé en sécurité informatique est incontournable pour entrer dans la fonction. Des masters spécialisés existent dans plusieurs universités. A titre d’exemple, on peut citer : le Master Pro Sécurité des systèmes d’information à Rennes I, le Master Pro Sécurité des systèmes informatiques, fiabilité, qualité et évaluation du risque à Rouen, le Master Pro Codage, cryptographie, sécurité à Lyon I, le Master Pro Sécurité des systèmes informatiques à Evry et Paris XII.
Comment évoluer à partir de ce métier ?
L’expert en sécurité informatique peut débuter dans une SSII, pour enrichir ses connaissances et ses compétences grâce à la diversité des missions. Entrer dans une grande organisation lui permet ensuite d’évoluer. Les postes envisageables après quelques années d’expérience sont : Directeur de projet, voire Directeur du Système d’information.
L’expert en sécurité informatique peut choisir de se mettre à son compte et proposer ses services comme Consultant en sécurité. Il travaillera alors sur des missions d’audit ou d’expertise.
Quels sites consulter pour en savoir plus ?
Syntec, chambre syndicale des SSII www.syntec-informatique.fr
AFDEL Association Française Des Editeurs de Logiciels www.afdel.fr
FIEEC Fédération des industries électriques et électroniques et de communication www.fieec.fr
ASS2L Association des Sociétés de Services en Logiciels Libres www.ass2l.org
CIGREF Club Informatique des Grandes Entreprises Françaises www.cigref.fr
Pass Informatique www.passinformatique.com
Comment ça marche www.commentcamarche.net
Quels ouvrages consulter sur ce métier ?
01 Informatique Edition : groupe Tests, revue hebdomadaire www.01net.com
Linux magazine France Edition : Diamond editions, revue mensuelle www.linuxmag-france.org
Le Monde informatique Edition : IDG Communication, revue hebdomadaire www.lemondeinformatique.fr