SÉCURITÉ INFORMATIQUE Un directeur de la sécurité de l’information me demandait récemment quels sont les critères qu’il devrait retenir dans le recrutement de son personnel et, plus particulièrement, quelle formation devrait-il privilégier.
Les cours universitaires dans le domaine n’existent à peu près pas, la sécurité informationnelle étant une discipline très jeune. Il y a bien quelques programmes sur le sujet, dont celui de gouvernance, audit et sécurité des TI offert au deuxième cycle à l’Université de Sherbrooke, mais cela demeure l’exception. Par contre, divers autres institutions offrent des programmes de formation, menant ou non à une certification.
En général, les employeurs préfèrent le deuxième cas, qui constitue une police d’assurance plus sûre quant aux compétences d’un candidat. La difficulté, par contre, consiste à reconnaître les certifications pertinentes parmi celles qui inondent le marché. Il suffit de consulter la très longue liste dressée par l’Institut de la sécurité de l’information du Québec (ISIQ), et publiée sur son site Web, pour avoir une idée du casse-tête que cela peut représenter.
À l’image du multimédia, la sécurité de l’information constitue un secteur particulièrement vaste, où abondent les sous-domaines : sécurité physique, bien sûr, mais aussi sécurité opérationnelle, qui englobe l’installation des produits, ainsi que la gestion du parc informatique et des incidents. Sans oublier la sécurité tactique, comprenant la sélection des produits, la définition des normes et l’architecture des solutions, de même que la sécurité stratégique, dans laquelle on s’occupe du plan directeur, des questions de conformité, de la définition des politiques, des rôles et des responsabilités. Qui plus est, une organisation doit procéder à l’audit de tous ces éléments.
Il n’est donc pas étonnant de retrouver une variété de certifications. On ne doit pas perdre de vue non plus qu’il s’agit d’un marché florissant, aux sources de revenus nombreuses : frais de formation et d’examen, vente de livres, droits d’association et autres paiements annuels. D’ailleurs, la plupart des certifications ne sont valides que durant 24 mois. Si on peut se réjouir à l’idée que les spécialistes aient à mettre à jour leurs connaissances dans un domaine évoluant aussi rapidement, en revanche on devine l’esprit mercantile derrière cette obligation de renouvellement.
Les certifications d’un employé en matière de sécurité doivent correspondre autant que possible aux responsabilités qu’on lui confie. On distingue trois types de certification : celles qui portent sur une technologie, un produit et des connaissances générales.
L’employeur doit s’attarder aux titres les plus connus. Pour les reconnaître, il peut, par exemple, voir lesquels sont le plus en demande sur les sites d’offres d’emploi tel Jobboom. Le fait de détenir une ou plusieurs certifications n’est pas toujours synonyme de compétence. Une certification sérieuse évalue le bloc de connaissances que détient un individu dans un secteur précis, ainsi que ses années d’expérience. Par contre, elle ne peut tenir compte de facteurs comme la capacité de travailler en équipe, de gérer les attentes ou de communiquer.
Au minimum, elle garantit deux choses à l’employeur : l’individu a réussi un examen portant sur ses connaissances dans le secteur visé, et il est tenu de respecter un code d’éthique, sous peine de sanctions. Autre élément rassurant, une certification majeure demande en moyenne une centaine d’heures d’étude et de préparation.
Dans le cadre du recrutement, l’employeur peut vérifier auprès de l’organisme émetteur si un candidat détient véritablement une certification. À cette fin, on peut voir si une liste existe sur son site Web ou, tout simplement, poser la question dans un courriel.
Comme aucune certification en sécurité informatique ne couvre en détail l’ensemble du domaine, la tendance aujourd’hui est d’en détenir non plus une, mais deux ou trois. En fait, la situation se compare à une course à l’armement : on a besoin d’une certification pour être pris au sérieux, et de plusieurs pour sortir du peloton.
