Ne négligez pas les certifications. Telle pourrait être la conclusion du dernier rapport de Foote Partners. Ce cabinet d’études floridien assure une veille du marché de l’emploi nord-américain dans le domaine des technologies de l’information. Les feuilles de paie de près de 22000 salariés aux Etats-Unis et au Canada sont évaluées. Sa dernière édition relève que les professionnels certifiés en sécurité ont vu leur salaire augmenter de 2% de juillet 2007 à juillet 2008. Deux labels sont concernés: le CISSP et le CISM.

Le CISSP (Certified Information System Security Professional) désigne une certification du niveau d’expertise de toute personne évoluant dans le milieu de la sécurité. Reconnue depuis 1995, créée par l’Information Systems Security Certification Consortium, cette certification confirme non seulement des compétences mais aussi l’exercice effectif et continu d’un métier de sécurité. Le CISM (Certified Information Security Manager) concerne plus précisément les RSSI (Responsables de Sécurité des Systèmes d’Information). Créée en 2003 par l’ISACA (Information Systems Audit and Control Association), cette certification valide un cursus de 5 années d’expérience dans le domaine de la sécurité dont 3 à un poste de manager.

Ces deux certifications rejoignent les 15, parmi un panel de 165 surveillées par Foote Partners, moteurs de carrière des professionnels de l’IT. Signe de la santé des métiers de la sécurité, outre les CISSP et CISM, 5 autres certifications figurent au nombre de celles valorisables sur un curriculum vitae:

     Certified Hacking Forensics Investigator

     GIAC (Global Information Assurance Certification) Security Expert

     GIAC Certified Intrusion Analyst

     GIAC Systems and Network Auditor

     Cisco Security Professional

Selon David Foote, fondateur et CEO de Foote Partners, le retour sur investissement avantageux de ces certifications s’explique par l’intérêt des entreprises pour les modèles de gouvernance de sécurité. Lesquels répondent aux nécessités de mise en conformité réglementaire des systèmes d’information, une tendance forte depuis Sarbanes Oxley. On peut certes arguer que les entreprises se rassurent avec ces certifications sur leur niveau des spécialistes qu’elles embauchent. L’absence d’une certification n’est pas le signe de l’incompétence ou de l’impréparation d’un RSSI. Interrogé en début d’année par LesNouvelles.net cette année sur le sujet des certifications, Bruno Kerouanton, Chef de groupe de compétences sécurité à la République et Canton du Jura, nuançait leur importance: « Un bon RSSI ne sera pas forcément certifié CISSP. Un RSSI qui est CISSP aura des atouts non négligeables, car ses équipes auront confiance. Le souci est que les DRH ont compris récemment la valeur de cette certification et la demande pour tous les métiers de la sécurité. Or un CISSP valide d’excellents auditeurs, mais ne garantit pas leur vocation manageuriale. L’ISO 27001 a une importance fondamentale car elle recouvre le management, on se détache du cadre IT. Un RSSI qui n’arriverait pas à être certifié 27001, je trouverais ça bizarre, alors que le CISSP peut être raté sans remettre en cause la compétence du RSSI ».