L’expert en sécurité devient cadre

Ce qui est rare est cher, surtout avec un ‘certificat’ en poche. Et l’expert en sécurité doit davantage devenir cadre.

Ce qui est rare est cher, surtout avec un ‘certificat’ en poche. Et l’expert en sécurité doit davantage devenir cadre.

Tels sont les conclusiosn de l’étude annuelle ‘Global Information Security Workforce’ d'(ISC)2, réalisée par Frost & Sullivan.

L’International Information Systems Security Certification Consortium – également connu sous l’appellation un peu plus concise d'(ISC)2 – est l’organisation qui soutient des certificats de compétence liés aux personnes comme le certificat populaire CISSP (Certified Information Systems Security Professional). Chaque année, (ISC)2 interroge des experts en sécurité du monde entier, et donc également d’Europe, sur leur situation professionnelle.

La préoccupation croissante des entreprises pour les conséquences potentiellement néfastes des problèmes liés à la sécurité ressort clairement des résultats. La perte de réputation et la perte de confiance auprès des clients y étant associée (une préoccupation importante pour 71% des personnes interrogées), la nécessité de satisfaire aux obligations gouvernementales et sectorielles en matière de sécurité et la conscience que le plus haut dirigeant de l’entreprise est aussi responsable personnellement, sont des facteurs qui y contribuent.

Par conséquent, un tiers des personnes interrogées déclarent être essentiellement confrontées à des tâches de management, tandis que 48% pensent qu’elles le seront d’ici quelques années. Pas moins de 33% des personnes interrogées rapportent déjà directement à la direction de l’entreprise (en plus d’environ un tiers relevant du département IT). D’après Frost & Sullivan, l’augmentation des législations et réglementations internationales et régionales (PCI, EU Directive 2002/58/EC, ISO 270018/27002 etc.) fera encore augmenter la communication directe avec la gestion de l’entreprise.

Par ailleurs, le nombre de spécialistes de la sécurité a augmenté dans le monde entier en 2007 pour atteindre environ 1,6 million et devrait, selon les attentes (Frost & Sullivan), s’élever à environ 2,7 millions en 2012. Pour l’Europe, cela concerne respectivement 405.900 et 737.470 experts en sécurité. Chez 27% des personnes interrogées, le budget consacré au personnel lié à la sécurité a également augmenté.

Tout cela a un impact sur l’approche des experts en sécurité. Ainsi, les personnes interrogées reconnaissent la nécessité d’acquérir davantage de compétences de gestion (comme pouvoir communiquer, négocier, diriger, etc.) en plus de connaissances spécifiques en matière de sécurité (en ce qui concerne la technologie et les menaces). Davantage de formations dans ces orientations sont donc recherchées et demandées. Par ailleurs, l’Europe comptait toutefois le plus faible pourcentage (27%) de personnes interrogées ayant vu augmenter le budget consacré à la formation au cours de l’année écoulée (et le pourcentage le plus élevé chez qui il a baissé). Plus de la moitié des personnes interrogées, cependant, semblaient optimistes en ce qui concerne l’augmentation de leurs budgets formation (un phénomène que l’on rencontre aussi chaque année dans l’enquête sur les salaires de Data News, pour constater à chaque fois que cette croissance semblait illusoire)!

Pour ceux qui doivent engager des experts en sécurité, l’importance des ‘certificats’ augmente encore, comme une mesure de garantie en ce qui concerne le niveau de compétence réel des personnes qui se présentent. D’après 78% d’entre eux, un tel certificat est ‘très important’ à ‘important’ lors de l’engagement. Avec ça, les détenteurs de celui-ci font leur beurre car les personnes possédant un certificat d'(ISC)2 , par exemple, ont pu enregistrer jusqu’à 30% de rémunération en plus en Europe. Un tel certificat entraîne cependant l’obligation de suivre une formation continue, sinon le certificat est supprimé. Le grand nombre de certificats ‘neutres’ (non liés à un fournisseur de sécurité) ou ‘spécifiques à un fournisseur’ pose cependant un problème. Ils ne constituent pas non plus automatiquement une garantie absolue, de sorte que des voix s’élèvent afin de travailler davantage d’après des profils de fonction bien définis (voir encadré).

Les certificats restent toutefois un élément important et (ISC)2 en tient compte en développant un nouveau certificat: le Certified Secure Software Lifecycle Professional (CSSLP). Le principe consiste à traiter de préférence le problème de sécurité à la racine étant donné qu’aujourd’hui plus de 70% des vulnérabilités se présentent au niveau de l’application. Bref, un CSSLP doit être initié aux best practices afin de défendre l’aspect sécurité tout au long du cycle de vie du logiciel. La ‘common body of knowledge’ (la connaissance supposée) d’un CSSLP comprend des éléments tels que des concepts, des exigences, la conception, l’implémentation/le codage et le test de la sécurité du logiciel, ainsi que l’acceptation, le déploiement, la maintenance et l’élimination de celui-ci’. Un tour d’horizon est encore effectué en ce moment au sujet du CSSLP, avec vers le milieu de l’année 2009, la première possibilité de passer l’examen en question.