CONTEXTE ET FACTEURS D’ÉVOLUTIONDU MÉTIERLa prise en compte du risque informatique est relativementrécente en France et certaines entreprises ontpu se rendre compte qu’il était difficile de chiffrer lesconséquences de pertes ou de corruption de données.Un nombre important de PME a longtemps négligéles investissements dans ce domaine, étant convaincuesque l’usage d’un antivirus et d’un firewall serévélait suffisant.Certains secteurs, dont le secteur bancaire et desmoyens de paiement ou la défense sont en pointedans ce domaine pour des raisons évidentes. Lerisque zéro dans ce domaine n’existe pas et l’ingéniositédes hackers permet de penser que le rôle des RSSIdevrait encore se renforcer dans les années à venir.Dans certaines grandes entreprises, les tests d’intrusionde premier niveau qui étaient autrefois confiésà des prestataires sont ré-internalisés, et le RSSImanage alors des prestataires qui interviennent surdes domaines d’expertises complexes.L’essor du Web collaboratif, du cloud computing, desapplications Web mobile, du paiement en ligne, la multiplicationdes standards (pour les applications mobiles)ainsi que certains exemples récents d’intrusions sur dessites d’entreprises a priori sécurisés, y compris d’émetteursde certificats, expliquent l’importance que prennentles problématiques de sécurité informatique.La notion de sécurité évolue des systèmes vers lesdonnées : le RSSI doit désormais comprendre etprendre en compte les nouveaux usages de l’informatiquequi ont un impact fort sur la sécurité des données(poste de travail nomades, BOYD [Bring yourown device], usage d’Internet et des réseauxsociaux…). Il contribue à la réflexion sur la sécurisationdes données économiques confidentielles avecles risk managers de l’entreprise.Il est demandé désormais au RSSI de mener uneveille juridique sur la conservation de données personnelles(de clients, prestataires ou salariés de l’entreprise),d’assister les métiers dans la gestion desdonnées personnelles et d’être partie prenante desproblématiques d’e-réputation.–LE PROFIL–DIPLÔMES REQUIS• Formation de niveau Bac +5 (master) spécialiséeen sécurité informatique et/ou télécoms, sécuritédes systèmes informatiques et des réseaux, sécurité,cryptologie et codage de l’information…• École d’ingénieurs (informatique, télécoms, généraliste).DURÉE D’EXPÉRIENCEAu moins 5 à 7 ans d’expérience sont généralementrequis car il s’agit de postes nécessitant une certainematurité ainsi qu’une bonne connaissance des systèmesd’information.COMPÉTENCES TECHNIQUES• Bonne connaissance de la stratégie de l’entreprise,de son organisation, de ses métiers et des enjeux.• Bonne connaissance du système d’information global,de l’urbanisation et de l’architecture du SI etdes interfaces en application.• Maîtrise des normes et procédures de sécurité etdes outils et technologies qui s’y rapportent :firewall, antivirus, cryptographie, serveurs d’authentification,tests d’intrusion, PKI, filtrages d’URL…• Connaissance des principaux prestataires du marchéde la sécurité informatique (éditeurs, sociétésde service…).• Bonne connaissance des réseaux et systèmes.• Bonne connaissance des outils d’évaluation et demaîtrise des risques (méthode Marion MEHARI…).• Connaissance des méthodologies (ex. : OSSTMM,OWASP…).• Bonnes connaissances juridiques en matière desécurité et de droit informatique.• Connaissance des normes ISO (si l’entreprise disposed’une certification) et/ou PCI/DSF (banques,grande distribution ou e-commerce).• Maîtrise de l’anglais, car 90 % des documents relatifsà la sécurité sont rédigés en anglais.APTITUDES PROFESSIONNELLES• Sens de la confidentialité, intégrité et éthique carle responsable sécurité a accès à des informationssensibles et stratégiques pour l’entreprise.• Rigueur, capacité d’anticipation et sens de laméthode afin de mettre en place des programmesde sécurité efficients.• Pédagogie pour expliquer aux utilisateurs lesrègles à respecter pour ne pas mettre en danger lesystème d’information de l’entreprise.• Diplomatie, écoute, sens du dialogue, persuasion,pour convaincre les utilisateurs des risques encouruset du bien-fondé des procédures mises en place.• Résistance au stress pour faire face à des situationsde crise nombreuses et inattendues (intrusion,virus, problème de sécurité matérielle[incendies, fuites d’eau…]) et à prioriser les actionsà mener.• Curiosité, car le responsable sécurité doit, en permanence,se tenir au courant des nouveaux risqueset des nouvelles parades (virus et antidotes).• Force de proposition pour faire évoluer la stratégie,ainsi que les pratiques.116APEC – RÉFÉRENTIEL DES MÉTIERS CADRES DES SYSTÈMES D’INFORMATION
• Capacité à travailler et à s’adapter à tous lesniveaux d’interlocuteurs de l’entreprise en adaptantson langage et son niveau d’explication à lapopulation avec laquelle il est amené à travailler.–LA MOBILITÉ–POSTES PRÉCÉDENTS (P-1)• Ingénieur développement• Ingénieur sécurité• Ingénieur systèmes et réseaux• Consultant ou ingénieur réseaux télécoms• Administrateur réseaux ou système réseaux• Architecte technique• Risk managerÉVOLUTIONS PROFESSIONNELLES(P+1)• Directeur de projets sécurité• DSI• Directeur de la production/exploitation informatique• Directeur des systèmes/réseaux/télécoms• Expert sur un domaine très pointu de sécurité web• Responsable des risques opérationnels–TÉMOIGNAGE–BERNARD FORAY,DIRECTEUR DE LA SÉCURITÉDES SYSTÈMES D’INFORMATION(DSSI), GROUPE CASINO« En charge de la sécurité du système d’informationdu groupe CASINO, je dois impérativement garantirla continuité de service. »Après avoir commencé à travailler comme électronicienchez Thomson CSF (aujourd’hui Thalès) en 1980,Bernard Foray s’oriente vers l’informatique et, tout enoccupant un poste d’ingénieur système, il obtient unemaîtrise d’informatique (option réseaux/systèmes/bases de données) à l’université de Paris VI-Jussieu.À partir de 1992, il travaille pour une SSII et notammentpour Sun Microsystèmes, sur des problématiquessystèmes, réseaux et sécurité avant d’intégreren 1997 GEMPLUS, le leader des cartes à puces oùil occupera la fonction de directeur d’un pôle sys-tème/réseaux/bases de données/portail applicatif/sécurité. En 2007, il rejoint le groupe CASINO(grande distribution) pour y créer le poste de RSSI ausein de la direction informatique. Il définit alors leplan directeur sécurité informatique ainsi que lesprofils des collaborateurs de son équipe (une douzainede personnes).« La première mission du responsable de la sécuritéinformatique, c’est d’identifier les risques qui peuventêtre de différente nature : applications obsolètes maldocumentées, sécurité des applications métier, pannesphysiques, mais aussi risques d’espionnage économique,risques liés aux processus, ou risques de notoriété.» Ensuite, Bernard Foray les évalue et leshiérarchise. « Il faut que la parade à un risque soitproportionnelle à la probabilité qu’il survienne et à lavaleur des pertes qui en résulteraient. Nous avonségalement un certain nombre de contraintes légales :notamment, nous devons respecter le standard PCI/DSS pour le cryptage et la sécurité des données bancaires,standard imposé par les banques pour lestransactions monétiques. »Il définit des scénarios de risques réalistes et lesmoyens pour y faire face. « Dans la grande distribution,le risque le plus important est le manque de continuitéde service. Il est facile d’imaginer l’impact sur le chiffred’affaires d’une panne des applications métier (parexemple systèmes d’encaissement ou logistique). L’amplitudedes horaires d’ouverture des magasins ainsi quele développement du e-commerce rendent plus difficilela planification des tests de continuité d’activité. »Une des missions de Bernard Foray consiste à auditer etsurveiller tous les éléments relevant de la sécurité informatique: audit du back up et des solutions de secours,suivi en temps réel des tentatives d’intrusion sur leréseau, fonctionnement anormal ou erreurs logicielles,animation ou coanimation d’une cellule de gestion decrise. « Un RSSI doit savoir garder son sang-froid et nejamais prendre de décision hâtive face à la pression dubusiness. Il faut être raisonnable et rigoureux . » Parailleurs, il aide les équipes métiers à sécuriser leurs processuset participe en tant que DSSI au comité desrisques avec les autres risk managers métiers.Pour Bernard Foray, le RSSI joue un rôle essentieldans la sensibilisation des utilisateurs, tant avec lepersonnel qu’avec les managers, car il est difficile demettre en place des procédures de sécurité en avaldes process métiers. Il organise des formations ou desactions de sensibilisation.« Cette fonction est en constante évolution car denouveaux types de risques apparaissent liés au développementdu Web ; un des enjeux sera de gérer lesproblématiques liées à la e-réputation de l’entreprisesans pour autant restreindre la liberté d’expressiondes utilisateurs sur les réseaux sociaux. » •LES MÉTIERS DE LA PRODUCTION 15 – RESPONSABLE SÉCURITÉ INFORMATIQUEAPEC – RÉFÉRENTIEL DES MÉTIERS CADRES DES SYSTÈMES D’INFORMATION 117
- Page 3:
-LES MÉTIERSDES SYSTÈMESD’INFOR
- Page 7:
-ENTREPRISESET CADRESDES SYSTÈMESD
- Page 10 and 11:
-Tableau 4--LES SERVICES DE L’INF
- Page 12 and 13:
Parmi ces structures, la taille dé
- Page 14 and 15:
-LES PRINCIPAUX PÔLES DE COMPÉTIT
- Page 16 and 17:
nombre de DSI se sont dotées d’o
- Page 18 and 19:
possibles, à optimiser les applica
- Page 20 and 21:
-CARTOGRAPHIEDES MÉTIERSPAR FAMILL
- Page 22 and 23:
-CARTOGRAPHIEDES MÉTIERSSELON L’
- Page 25 and 26:
-1DIRECTEUR DES SYSTÈMESD’INFORM
- Page 27 and 28:
VARIABILITÉ DES ACTIVITÉSLes miss
- Page 29 and 30:
est présenté au comité exécutif
- Page 31 and 32:
-2RESPONSABLE INFORMATIQUE-• RESP
- Page 33 and 34:
Au sein de l’entreprise, le respo
- Page 35:
EXEMPLE D’OFFREResponsable inform
- Page 39 and 40:
-3DIRECTEUR DES ÉTUDESINFORMATIQUE
- Page 41 and 42:
• Dans certaines grandes entrepri
- Page 43 and 44:
cess proches de CMMI. Par ailleurs,
- Page 45 and 46:
-4CONSULTANT MAÎTRISE D’OUVRAGE-
- Page 47 and 48:
tique (soit dépendant de la direct
- Page 49 and 50:
et rédaction d’un cahier des cha
- Page 51 and 52:
-5URBANISTE -ARCHITECTE FONCTIONNEL
- Page 53 and 54:
fonctionnels (travaillant au sein d
- Page 55 and 56:
MICHEL DARDET,DIRECTEUR ASSOCIÉ EN
- Page 57 and 58:
-6DIRECTEURDE PROJET INFORMATIQUE-
- Page 59 and 60:
des fonctions de représentation lo
- Page 61 and 62:
manière à équilibrer les phases
- Page 63 and 64:
-7CHEF DE PROJET MAÎTRISED’ŒUVR
- Page 65 and 66:
Quelques chefs de projets sont des
- Page 67 and 68: UMUT SARIYILDIZ, CHEF DE PROJETPROG
- Page 69 and 70: -8CONSULTANT INTÉGRATEURDE PROGICI
- Page 71 and 72: • Le type d’entrepriseQuand il
- Page 73 and 74: d’Oracle par Hana. Demain, les é
- Page 75 and 76: -9INGÉNIEURDÉVELOPPEMENT LOGICIEL
- Page 77 and 78: significatifs et impliquant un nomb
- Page 79 and 80: de délais, sur le projet pour comm
- Page 81 and 82: -10CONSULTANT INFORMATIQUEDÉCISION
- Page 83 and 84: ithmes dans une démarche explorato
- Page 85 and 86: un ensemble de systèmes souvent fo
- Page 87: EXEMPLE D’OFFREAnalyste R&D big d
- Page 91 and 92: -11DIRECTEUR DES INFRASTRUCTURESET
- Page 93 and 94: • Chez l’utilisateur, il occupe
- Page 95 and 96: « L’informatique n’a pas pour
- Page 97 and 98: -12RESPONSABLE DE PARCINFORMATIQUE-
- Page 99 and 100: En société de services, la dimens
- Page 101: EXEMPLE D’OFFREGestionnaire de pa
- Page 104 and 105: -13INGÉNIEURDE PRODUCTIONINFORMATI
- Page 106 and 107: -TÉMOIGNAGE-HUGUES FRITSCH,RESPONS
- Page 109 and 110: -14INGÉNIEUR QUALITÉ/MÉTHODES IN
- Page 111 and 112: - Chez le prestataire, le responsab
- Page 113: EXEMPLE D’OFFREEXEMPLE D’OFFREI
- Page 116 and 117: -15RESPONSABLE SÉCURITÉINFORMATIQ
- Page 120 and 121: EXEMPLE D’OFFRERSSI H/FIssy-les-M
- Page 122 and 123: -16ARCHITECTEINFRASTRUCTURES--LE PO
- Page 124 and 125: -TÉMOIGNAGES-SÉBASTIEN HURST,DIRE
- Page 126 and 127: EXEMPLE D’OFFREArchitecte infrast
- Page 128 and 129: -17INGÉNIEUR SYSTÈME--LE POSTE-AC
- Page 130 and 131: ÉVOLUTIONS PROFESSIONNELLES(P+1)
- Page 132 and 133: EXEMPLE D’OFFREIngénieur systèm
- Page 134 and 135: -18ADMINISTRATEURDE BASES DE DONNÉ
- Page 136 and 137: COMPÉTENCES TECHNIQUES• Bonne co
- Page 138 and 139: encontrer des interlocuteurs varié
- Page 140 and 141: -19INGÉNIEURRÉSEAUX/TÉLÉCOMS--L
- Page 142 and 143: • Très bonnes connaissances des
- Page 144 and 145: EXEMPLE D’OFFREIngénieur réseau
- Page 146 and 147: -ORGANISMESINSTITUTIONNELS-ANSSI (A
- Page 148 and 149: -SYNDICATSPROFESSIONNELS-FIEEC (FÉ
- Page 150 and 151: -ÉTABLISSEMENTSDE FORMATION-De nom
- Page 152 and 153: MASTER RÉSEAUX,TÉLÉCOMMUNICATION
- Page 154 and 155: ENSIMAG (École nationale supérieu
- Page 156 and 157: -SITES INTERNET-Cette liste est une
- Page 158 and 159: -ABRÉVIATIONS ET SIGLES-AMOA : Ass
- Page 160 and 161: -D-DatacenterSite physique (interne
- Page 162 and 163: Réseau socialCommunauté d’indiv