Sera-t-on bientôt RSSI comme l’on est aujourd’hui médecin, notaire, avocat ou pharmacien ? Un projet de loi dans les cartons de Bercy propose en effet de créer un statut officiel pour la profession de Responsable de la Sécurité des Systèmes d’Information.

Si le texte est adopté le RSSI devra alors suivre une formation d’Etat sanctionnée par la délivrance d’une autorisation d’exercer. Cette dernière sera financée en partie par son entreprise et en partie par un prélèvement sur ses droits individuels à la formation (DIF).

La formation sera dispensée par des centres agréés référencés auprès du Ministère de la Formation Professionnelle et de l’Apprentissage. Le cabinet HSC serait déjà en cours de certification mais d’autres suivront, notamment en province. Dans l’état actuel du projet la formation durerait cinq semaines intensives à plein temps. Les stagiaires seraient donc tenus de loger sur place ou à proximité de leur centre de formation.

L’enseignement se veut pluri-disciplinaire, concret et adapté aux défis quotidiens des RSSI. Le contenu est actuellement en cours d’élaboration à l’ANSSI sur le modèle de son référentiel du métier d’architecte référent en SSI, avec l’aide de consultants externes (juristes, sociologues, psychologues…). D’après les premières informations que nous avons pu recueillir le programme serait divisé en huit modules. Chacun devra être validé pour prétendre décrocher le précieux sésame.

Les modules de la certification RSSI (document provisoire)

Bases. Ce module s’attache à donner aux futurs RSSI des bases solides et pragmatiques. Il s’appuie en grande partie sur les 40 règles d’hygiène informatique définies par l’ANSSI. Le stagiaire devra être en mesure de réciter les quarante recommandations par coeur, dans l’ordre et à rebours. Une dissertation sur table d’une durée de cinq heures viendra en outre valider sa compréhension des enjeux de l’un des 40 points (tiré au sort en présence d’un huissier de justice le jour de l’examen)

Conformité. Il s’agit ici de préparer le RSSI à ses relations avec les auditeurs. Ce module développera notamment la capacité du stagiaire à identifier les projets SSI qui ne correspondent pas à une case à cocher précise chez l’auditeur, afin de les éviter.

Risques. Une bonne maîtrise des risques étant une qualité essentielle pour l’aspirant RSSI, un stage de conduite sur glace en MEHARI sera proposé aux stagiaires. Ils apprendront ainsi à éviter les dérapages budgétaires des analyses de risque au périmètre mal verrouillé.

Politique. Ce module mettra l’accent sur le développement de réflexes de survie en entreprise. Il développera des compétences telles que l’usage de la Copie Carbone dans les emails, la course au débrief après chaque réunion pour gagner une meilleure visibilité, l’analyse des stratégies CYA (Cover Your Ass), la génération de rapports colorés sur la base du travail chiffré de ses équipes, la neutralisation de projets dont le niveau de compétence dépasse dangereusement celui du candidat, l’allumage de contre-feux et la bonne mise en avant de ses propres réalisations mineures.

Juridique. Elaboré avec l’aide d’avocats et de membres du Syndicat de la Magistrature, le programme de ce module tentera de préparer les stagiaires à faire face à leur responsabilité pénale, notamment après une fuite de données à caractère personnel. Ils travailleront ainsi le retrait des cravates et des lacets ainsi que la toux sur commande.

Communication. La sensibilisation étant un domaine largement sous-estimé en SSI, le programme de cette formation mettra l’accent sur les opérations de jeu et d’éveil. Par ailleurs les stagiaires apprendront des techniques de séduction (Pickup Artists, méthode américaine) afin d’être en mesure de communiquer efficacement avec leur direction de la communication. Enfin une formation élémentaire en PNL et en standup comedy leur donnera les clés nécessaires pour animer efficacement les séminaires de sensibilisation ou pour parler à la presse.

Veille. Ce module enseignera aux stagiaires les réflexes de base des veilleurs professionnels tels que la vérification de la date des articles du web après la lecture, l’abonnement payant à au moins trois magazines de la presse informatique papier et la visite régulière de securityvibes.wpengine.com.

Sécurité physique. Les dernières 48h du stage seront consacrées à une mise en situation de protection de données. Les stagiaires n’auront pas la possibilité de dormir pendant la durée de cet exercice. Il leur sera demandé d’assurer la protection de données sensibles au sein d’un datacenter menacé. Répartis en équipes (sécurité statique, data protection rapprochée) et sous la direction d’un chef d’équipe choisi parmi eux, ils devront ré-évaluer la menace tout au long de ces 48 heures et adapter leur plan de sécurité en conséquence. Des exercices de type AoD (Attack on Data) menés par une red team d’instructeurs viendront tester leur vigilance de manière aléatoire. Les stagiaires devront notamment faire la preuve de leur maîtrise des procédures d’exfiltration de données. Dans le cadre de cette formation les candidats seront équipés d’armes non-léthales (câbles RJ45). Mais un module complémentaire optionnel permettra de qualifier les stagiaires sélectionnés à l’usage d’armes de poing (agrafeuses de bureau calibre 26/8)

Une version originale et plus détaillée de ce programme est disponible en ligne (probablement par erreur) sur le site du Ministère. Il est peut-être encore temps de la télécharger en cliquant ici.

Que pensez-vous de cette tentative de formalisation de la profession ? Etes-vous concernés ? Venez nous donner votre avis en cliquant ici !