Dans son livre « La fonction RSSI » (Edition Dunod), Bernard Foray, RSSI de Casino Information Technology, du Groupe Casino, rappelle une vérité déplaisante  pour quiconque – attiré vers cette fonction – cherche à poursuivre cette voie : « Il n’y pas de cycle d’étude, de diplôme de RSSI ».  Et encore moins de voie royale. Chemin faisant, un apprenti RSSI doit agréger une myriade de connaissances et compétences. On peut toutefois dégager un tronc commun, qui laisse de côté les a priori.

Premier d’entre eux : le RSSI n’est pas qu’un technicien hors pair, féru de contre techniques de hacking, et de vulnérabilités. « La fonction de RSSI est une fonction de stratège et de manager, donc ce n’est pas lui qui va faire de la veille technologique sur les virus. C’est quelqu’un qui ne doit pas se tromper sur les objectifs généraux » précise Rodolphe Arnoux, directeur commercial de Lexsi, cabinet d’audit et de conseil en Sécurité des Systèmes d’Information. Le responsable d’un organisme de formation reconnaît avoir dû segmenter en deux son programme, en faisant de la technique un cursus distinct de la gestion organisationnelle :  « On s’était aperçu que des RSSI décrochaient sur la synthèse technique ». Cette réalité peut s’expliquer par le parcours des professionnels de cette fonction de sécurité. Ainsi, un RSSI en poste n’hésite pas à affirmer que la plupart de ses pairs ne viennent pas du monde l’informatique. Si cet avis peut être discuté, il n’en reste pas moins que nombre d’entre eux viennent de la qualité par exemple. Ces derniers disposent alors d’un socle tout aussi sérieux que ceux disposant d’un background technique.

Pour autant peut-on se passer d’une formation technique dans ce métier ? Un début de réponse est à chercher en définissant la fonction de RSSI. Le Cercle Européen de la Sécurité, dans son enquête 2007 désigne par RSSI « tout professionnel en charge de la définition et/ou de la mise en oeuvre d’une Politique Sécurité dans son entreprise ». Le périmètre est assez large pour englober divers profils. Selon la taille de l’entreprise, et les moyens alloués à la sécurité des SI, on note fréquemment deux profils. Certains RSSI disposent d’une équipe, de techniciens et managers. D’autres représentent seuls la fonction de sécurité dans leur entreprise. L’ampleur de la tâche – et sa difficulté – varient. Mais le dénominateur commun est de comprendre les enjeux techniques et de savoir faire les choix. La différence entre les deux profils ? L’un devra plus mettre « les mains dans le cambouis » et intervenir au niveau de la mise en oeuvre, tandis que l’autre veille d’abord à la cohérence des choix, et au suivi de projets, à la gestion des équipes techniques.

La première compétence s’acquiert en amont par une formation initiale, et/ou se complète par une formation continue. Diverses écoles  , dans leur 3e cycle, ont su intégrer des spécialisations en Sécurité des Systèmes d’Information. La technique est mise en avant, avec pour objectif de fournir aux étudiants un socle théorique apte à les rendre directement opérationnels. Cependant, ces études sanctionnent des compétences qui ouvrent surtout à des postes de consultants, d’architectes, d’administrateurs réseaux.  Cela ne ferme pas la porte au métier de RSSI, bien au contraire. Michel Belli, Directeur Général d’Orsys, en témoigne : « les RSSI qui assistent à nos cours souhaitent se former majoritairement sur des domaines techniques et exploitables à court terme ». Preuve est faite que ce champ technique reste utile, si ce n’est obligatoire. Ce qui explique que de nombreux stages de formation continue ont donc tendance à privilégier la transmission d’acquis spécifiques. Une approche qui répond à une recherche fréquente de nombre de RSSI. Dans ce cas de figure, ceux-ci cherchent la maîtrise d’un domaine – une technologie ou une typologie de solutions – souvent dans l’objectif d’un projet à mettre en oeuvre à moyen terme.

Si le RSSI doit collaborer avec des équipes techniques, comprendre les tenants et aboutissants des enjeux technologiques de sécurité, il est toutefois aussi confronté au quotidien à des profils non techniques, issus des métiers de l’entreprise. « Nos qualités de communicant sont essentielles dans ce métier » rappelle Bernard Foray dans son ouvrage. En echo, résonne la qualité de manager d’hommes. Au-delà, le vocable utilisé par la profession et les consultants est significatif : on parle souvent de management de la sécurité des systèmes d’information. Ce management inclut son lot de gestion de projets, d’hommes, d’un service. Auquel il convient d’ajouter la définition et le suivi de la politique de sécurité, de la pédagogie dans la transmission des messages essentiels, et la sensibilisation des employés. Des formations donnent la matière nécessaire aux RSSI pour décliner cette gamme de compétences.  Cela débute par la capacité à se poser en maîtrise d’ouvrage de la DSI, ce qui va nécessiter de savoir : définir des besoins, identifier des contraintes, prioriser les projets, gérer les sous-traitants. Des cursus de sensibilisation des directions générales existent. Ils doivent permettre aux RSSI de ne pas perdre de vue les objectifs généraux, tout en sachant trouver des exemples pour persuader leur hiérarchie, et ainsi arriver à obtenir et faire progresser leurs budgets.

En complément, la formation pour être certifié sur la norme ISO 27001 a le vent en poupe. Cette norme recouvre la notion de Système de Management de la Sécurité de l’Information. Un tel système se définit par l’établissement d’une politique de sécurité, d’objectifs, et de moyens mis en oeuvre pour les atteindre. Deux certifications existent qui ne sauraient être ignorées de la profession, auditeur et responsable d’implémentation. « C’est un processus de certification qui est équivalent à celui de la qualité. La 27001 est à la sécurité ce que la 9001 est à la qualité » rappelle Alexandre Fernandez-Toro, auditeur de certification en charge des activités ISO 27001 de la société de conseil HSC. Elle donne l’assurance au RSSI de suivre un cadre reconnu et approuvé. Hervé Schauer, fondateur et directeur de la société HSC voit dans cette certification une passerelle, attendue, « entre les mondes de la direction et de la technique ».

Que le RSSI décide de suivre ou non à la lettre un processus de certification du management de la sécurité de son SI, est une question de choix. Mais s’y former, connaître la norme, lui donne les arguments d’une communication persuasive avec les métiers et la direction générale, en fixant des objectifs raisonnés et en présentant les moyens de contrôle permanent à mettre en oeuvre. Lesquels doivent être organisationnels, techniques et humains. Il y a fort à parier que cette capacité devienne un « must have » pour les RSSI. Elle peut même être préférée au CISSP (Certified Information System Security Professional), une certification très prisée dans le monde anglo-saxon. Elle sanctionne le niveau d’expertise de toute personne évoluant dans le secteur de la sécurité, justifiant d’une expérience opérationnelle de 3 ans. De fait, de nombreux consultants, ou ingénieurs avant vente d’éditeurs de sécurité, sont certifiés aux côtés de RSSI. Le CISM (Certified Information Security Manager) concerne plus ces derniers, car il est axé sur le management de la sécurité des SI. Si les deux ne sont pas jugés indispensables par nombre de RSSI français, ils ont toutefois tendance à valoriser un CV. Et ainsi participer à la gestion de carrière de ces professionnels.