SÉCURITÉ INFORMATIQUE Un ami m’a téléphoné récemment pour me demander mon avis au sujet de l’embauche d’un conseiller en sécurité de l’information. Il venait de vivre à cet égard une expérience difficile, ayant engagé un spécialiste qui, en fin de compte, n’a pas répondu aux attentes.
Plus il me donnait de détails sur son cas, plus s’imposait un élément crucial : le conseiller avait été choisi sur la base de ses compétences techniques presque exclusivement. Peu de cas avaient été faits de ses aptitudes générales, de son attitude au travail et de son esprit d’équipe. Résultat : le type n’a pas réussi à bien s’intégrer à l’effectif en place, ni à communiquer efficacement ses idées.
L’une des principales qualités d’un conseiller en sécurité de l’information, justement, est de savoir éviter les conflits. Les spécialistes de la sécurité sont perçus un peu comme des policiers. Ils doivent souvent interdire afin de faire régner l’ordre. Dans ce contexte, il faut avoir le tact nécessaire pour ménager les susceptibilités très chatouilleuses chez des employés ayant leurs habitudes. Certaines études, en fait, placent les compétences techniques au troisième rang des priorités dans la sélection du personnel, après l’esprit d’initiative et les capacités cognitives.
Bien faire ses devoirs
Dans un premier temps, une organisation doit soigneusement jauger le personnel qu’elle a sous la main, et déterminer si ses compétences se situent avant tout au niveau opérationnel, tactique ou stratégique. Le conseiller auquel on fera appel devra nécessairement compléter les qualités des employés. Le personnel des TI est comme une équipe de hockey; on a besoin d’un mélange heureux, comprenant des plombiers pour appuyer les étoiles.
Le fait de savoir travailler en équipe prend ici une importance primordiale. Le conseiller aura-t-il la souplesse nécessaire pour s’adapter au milieu de travail où on l’intègre? Pour en avoir le coeur net, on peut commencer par consulter ses propres références, celles qui ne sont pas explicitement indiquées dans le curriculum d’un candidat. Il serait utile également d’exiger des exemples de livrables préparés dans le passé par ce dernier, question de vérifier sa capacité à exprimer clairement ses idées et à communiquer avec la direction.
Vérifier tout de même les compétences techniques
La pertinence de l’expérience constitue un autre élément clé dans la décision d’engager ou non un conseiller. Si les tâches que l’on prévoit lui confier portent sur le développement d’applications, le plan de continuité des affaires, la conformité légale, l’enquête criminelle ou l’éthique, par exemple, on veillera à ce qu’il connaisse à fond ces domaines.
C’est ici que ses qualités de nature technique entrent en ligne de compte. Pour les évaluer, on devra s’attarder à des éléments comme les certifications qu’il a obtenues, les méthodes d’analyse de risque (AS/NZS 4630, MEHARI, NIST SP800-30, Octave, etc.) et les cadres de référence (CobiT, IATF et ISO 27000) qu’il maîtrise. L’organisation doit penser à long terme. Un conseiller peut livrer la marchandise dans le cadre d’un mandat immédiat, mais saura-t-il le faire lors de mandats subséquents? À cet égard, on peut s’enquérir de son plan de perfectionnement, qui passe notamment par les associations auxquelles il appartient, telles l’ASIMM et l’ASIQ.
Par ailleurs, la sécurité de l’information est un domaine délicat, pour lequel on doit prendre d’indispensables précautions. Une entreprise devra ainsi scruter le passé d’un candidat afin de s’assurer que son casier judiciaire est vierge et que son crédit personnel n’est pas entaché d’irrégularités importantes.
En sécurité de l’information, on se targue de passer 80 % de son temps à communiquer. En outre, l’évolution de la discipline se fait dans des contextes toujours différents, caractérisés par des enjeux politiques considérables. Situation complexe, qui demande que l’on fasse appel à des conseillers possédant non seulement des compétences techniques élevées, mais également une grande capacité d’adaptation aux équipes qu’ils joignent.
