Samedi 21 octobre 2017
NASDAQ : 6629.0532 23.9863   nasdaq0.36 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE, SUR LE TERRAIN

Ingénieur sécurité : voyage au pays des perles rares

Imprimer Envoyer à un ami Contacter la rédaction
Par Rédaction le 07/03/2002 - indexel.net
 

Face à la multiplication des menaces, les entreprises préfèrent confier leur sécurité aux experts. "Perles rares" des métiers de l´informatique, les ingénieurs sécurité sont très recherchés. Trois spécialistes racontent leur parcours.

 

Malgré la morosité ambiante du marché, il y a un secteur qui ne connaît pas la crise : la sécurité informatique. Selon une étude publiée par le cabinet IDC, les revenus dans ce domaine ont augmenté de 25 % l´année dernière et la croissance devrait durer dans les cinq années à venir. Les méchants virus et vilains pirates font-ils peur aux entreprises qui se ruent sur les logiciels et experts en sécurité ?
"Il y a une focalisation ces derniers temps sur les risques liés à Internet et cela profite bien sûr aux spécialistes de la sécurité. Nous sommes de plus en plus recherchés", sourit Laurent Asselin (photo), "futur" jeune ingénieur. En attendant d´être diplômé de l´Enic Télécom (Ecole nouvelle d´ingénieurs en communication) au mois de juin, il est employé à la SNCF à un poste d´analyse des risques informatiques. Il est donc un de ces "perles rares" du marché de l´emploi qui souffre d´une pénurie d´experts.

Peu de formations spécialisées

"La sécurité a été longtemps un domaine négligé, l´administrateur réseau ou le DSI s´en occupaient quand ils avaient le temps. Aujourd´hui, la complexité des menaces nécessite l´intervention d´un spécialiste. Or il y a très peu d´écoles qui proposent une formation dans ce domaine", regrette Laurent Asselin. En dehors de l´Enic, à Lille, qui propose une spécialisation en la matière, le mastère de sécurité informatique de l´Ensi à Bourges et quelques DESS, le tableau des formations disponibles est effectivement maigre.

Où se forment alors ces nouveaux ingénieurs ? Quels sont les parcours qui emmènent au titre de "Monsieur Sécurité" ? Ce sont généralement les administrateurs réseaux qui évoluent vers ce poste : leur connaissance des réseaux et télécoms est indispensable pour cette fonction. "Mais attention, il y a deux profils d´expert en sécurité. Et ils appartiennent à des mondes complètement différents", souligne Alain Vielpeau, responsable de la sécurité des systèmes d´information au Crédit Lyonnais. Cet ingénieur télécom qui a 20 ans d´expérience vient d´un parcours technique, mais ce n´est le cas de tout le monde. "Un ingénieur sécurité dans une SSII et un responsable sécurité dans une entreprise ne font pas le même travail", raconte-t-il.
"Le premier est opérationnel : c´est lui qui installe les antivirus, configure le firewall, crée un VPN ou développe une PKI (réseau privé virtuel et système de cryptage et d´identification, ndlr). Il a donc besoin de compétences techniques très pointues, souvent limitées à un environnement. Or le second a plutôt un rôle de contrôleur, définit des procédures, fait des audits de sécurité et de la veille. Il travaille comme un chef de projet qui touche un peu à tout, mais sans avoir de connaissances pointues".

Un manager de 40-50 ans

Ainsi, au Crédit Lyonnais, il n´est pas chargé du paramétrage des produits ou des mises à jour des antivirus. Il contrôle plutôt les administrateurs réseaux qui s´en occupent, définit les règles à respecter pour se protéger des attaques, analyse les risques et décide des patches à installer. "On ne peut pas être juge et partie. Si on s´occupe de tout, on n´a pas assez de recul pour contrôler", explique-t-il. Mais ce statut de "contrôleur" ne le libère pas des responsabilités, au contraire. C´est vers lui que tout le monde se tournera si un jour le site de la banque est piraté.

"L´ingénieur sécurité dans une SSII peut avoir un profil de débutant. Mais le responsable de la sécurité d´une entreprise est obligatoirement un informaticien expérimenté, un manager de 40-50 ans", explique Franck Dubray (photo), directeur de la SSII Intrinsec, spécialisée en sécurité.
Mais pour cet ingénieur diplômé de l´Epita, qui s´est auto-formé à la sécurité, "même pour les jeunes ingénieurs, des bases solides en système et réseau ne suffisent pas. L´aspect organisation et gestion de projet est très important. La sécurité n´est pas le métier des bordéliques".

Quid des hackers reconvertis ? "Pour bien protéger les systèmes, il faut absolument savoir comment on les attaque. Comme les pompiers qui ont besoin de comprendre les raisons d´un incendie. Mais ce n´est pas pour cela qu´ils sont pyromanes !", répond Franck Dubray. "Officieusement, avoir une expérience du piratage est conseillée car vous apprenez beaucoup de choses sur les vulnérabilités. Mais c´est très mal vu officiellement", ajoute de son côté Laurent Asselin. "En France, les employeurs ne font pas confiance aux hackers car ils pensent qu´ils ne pourront pas les contrôler".
"Le hacker peut avoir un profil technique très intéressant, mais la technique n´est pas tout", précise Franck Dubray. Le responsable sécurité doit surtout être un bon communicant. "Nous sommes souvent vus comme un "des empêcheurs de tourner en rond" car nous imposons des règles à respecter. Il faut savoir expliquer aux utilisateurs les raisons des restrictions", déclare Laurent Asselin. "Et aussi aux autres informaticiens, car souvent nos objectifs ne sont pas les mêmes", ajoute Franck Dubray. "On demande au service informatique des outils conviviaux et des fonctionnalités supplémentaires. Or, le responsable sécurité est surtout là pour contraindre".

Fiche métier

Formation : diplôme d´ingénieur.
Expérience : Connaissances des réseaux indispensables. Profils jeunes dans les SSII, mais expérimentés en entreprises car appelés à des missions transversales qui nécessitent une vision globale. Expérience de hacker utile, mais pas très appréciée par les entreprises. Parfois des profils non techniques, anciens consultants ou chefs de projet.
Salaire : de 50 000 euros à 100 000 euros, en fonction de l´entreprise.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages