Référentiel+des+métiers+des+systèmes+d'information

CONTEXTE ET FACTEURS D’ÉVOLUTIONDU MÉTIERLa prise en compte du risque informatique est relativementrécente en France et certaines entreprises ontpu se rendre compte qu’il était difficile de chiffrer lesconséquences de pertes ou de corruption de données.Un nombre important de PME a longtemps négligéles investissements dans ce domaine, étant convaincuesque l’usage d’un antivirus et d’un firewall serévélait suffisant.Certains secteurs, dont le secteur bancaire et desmoyens de paiement ou la défense sont en pointedans ce domaine pour des raisons évidentes. Lerisque zéro dans ce domaine n’existe pas et l’ingéniositédes hackers permet de penser que le rôle des RSSIdevrait encore se renforcer dans les années à venir.Dans certaines grandes entreprises, les tests d’intrusionde premier niveau qui étaient autrefois confiésà des prestataires sont ré-internalisés, et le RSSImanage alors des prestataires qui interviennent surdes domaines d’expertises complexes.L’essor du Web collaboratif, du cloud computing, desapplications Web mobile, du paiement en ligne, la multiplicationdes standards (pour les applications mobiles)ainsi que certains exemples récents d’intrusions sur dessites d’entreprises a priori sécurisés, y compris d’émetteursde certificats, expliquent l’importance que prennentles problématiques de sécurité informatique.La notion de sécurité évolue des systèmes vers lesdonnées : le RSSI doit désormais comprendre etprendre en compte les nouveaux usages de l’informatiquequi ont un impact fort sur la sécurité des données(poste de travail nomades, BOYD [Bring yourown device], usage d’Internet et des réseauxsociaux…). Il contribue à la réflexion sur la sécurisationdes données économiques confidentielles avecles risk managers de l’entreprise.Il est demandé désormais au RSSI de mener uneveille juridique sur la conservation de données personnelles(de clients, prestataires ou salariés de l’entreprise),d’assister les métiers dans la gestion desdonnées personnelles et d’être partie prenante desproblématiques d’e-réputation.–LE PROFIL–DIPLÔMES REQUIS• Formation de niveau Bac +5 (master) spécialiséeen sécurité informatique et/ou télécoms, sécuritédes systèmes informatiques et des réseaux, sécurité,cryptologie et codage de l’information…• École d’ingénieurs (informatique, télécoms, généraliste).DURÉE D’EXPÉRIENCEAu moins 5 à 7 ans d’expérience sont généralementrequis car il s’agit de postes nécessitant une certainematurité ainsi qu’une bonne connaissance des systèmesd’information.COMPÉTENCES TECHNIQUES• Bonne connaissance de la stratégie de l’entreprise,de son organisation, de ses métiers et des enjeux.• Bonne connaissance du système d’information global,de l’urbanisation et de l’architecture du SI etdes interfaces en application.• Maîtrise des normes et procédures de sécurité etdes outils et technologies qui s’y rapportent :firewall, antivirus, cryptographie, serveurs d’authentification,tests d’intrusion, PKI, filtrages d’URL…• Connaissance des principaux prestataires du marchéde la sécurité informatique (éditeurs, sociétésde service…).• Bonne connaissance des réseaux et systèmes.• Bonne connaissance des outils d’évaluation et demaîtrise des risques (méthode Marion MEHARI…).• Connaissance des méthodologies (ex. : OSSTMM,OWASP…).• Bonnes connaissances juridiques en matière desécurité et de droit informatique.• Connaissance des normes ISO (si l’entreprise disposed’une certification) et/ou PCI/DSF (banques,grande distribution ou e-commerce).• Maîtrise de l’anglais, car 90 % des documents relatifsà la sécurité sont rédigés en anglais.APTITUDES PROFESSIONNELLES• Sens de la confidentialité, intégrité et éthique carle responsable sécurité a accès à des informationssensibles et stratégiques pour l’entreprise.• Rigueur, capacité d’anticipation et sens de laméthode afin de mettre en place des programmesde sécurité efficients.• Pédagogie pour expliquer aux utilisateurs lesrègles à respecter pour ne pas mettre en danger lesystème d’information de l’entreprise.• Diplomatie, écoute, sens du dialogue, persuasion,pour convaincre les utilisateurs des risques encouruset du bien-fondé des procédures mises en place.• Résistance au stress pour faire face à des situationsde crise nombreuses et inattendues (intrusion,virus, problème de sécurité matérielle[incendies, fuites d’eau…]) et à prioriser les actionsà mener.• Curiosité, car le responsable sécurité doit, en permanence,se tenir au courant des nouveaux risqueset des nouvelles parades (virus et antidotes).• Force de proposition pour faire évoluer la stratégie,ainsi que les pratiques.116APEC – RÉFÉRENTIEL DES MÉTIERS CADRES DES SYSTÈMES D’INFORMATION