Quel socle de connaissances pour le RSSI ?

Dans son livre "La fonction RSSI" (Edition Dunod), Bernard Foray, RSSI de Casino Information Technology, du Groupe Casino, rappelle une vérité déplaisante  pour quiconque - attiré vers cette fonction – cherche à poursuivre cette voie : "Il n’y pas de cycle d’étude, de diplôme de RSSI".  Et encore moins de voie royale. Chemin faisant, un apprenti RSSI doit agréger une myriade de connaissances et compétences. On peut toutefois dégager un tronc commun, qui laisse de côté les a priori.

Premier d’entre eux : le RSSI n’est pas qu’un technicien hors pair, féru de contre techniques de hacking, et de vulnérabilités. "La fonction de RSSI est une fonction de stratège et de manager, donc ce n’est pas lui qui va faire de la veille technologique sur les virus. C’est quelqu’un qui ne doit pas se tromper sur les objectifs généraux" précise Rodolphe Arnoux, directeur commercial de Lexsi, cabinet d’audit et de conseil en Sécurité des Systèmes d’Information. Le responsable d’un organisme de formation reconnaît avoir dû segmenter en deux son programme, en faisant de la technique un cursus distinct de la gestion organisationnelle :  "On s’était aperçu que des RSSI décrochaient sur la synthèse technique". Cette réalité peut s’expliquer par le parcours des professionnels de cette fonction de sécurité. Ainsi, un RSSI en poste n’hésite pas à affirmer que la plupart de ses pairs ne viennent pas du monde l’informatique. Si cet avis peut être discuté, il n’en reste pas moins que nombre d’entre eux viennent de la qualité par exemple. Ces derniers disposent alors d’un socle tout aussi sérieux que ceux disposant d’un background technique.

Pour autant peut-on se passer d’une formation technique dans ce métier ? Un début de réponse est à chercher en définissant la fonction de RSSI. Le Cercle Européen de la Sécurité, dans son enquête 2007 désigne par RSSI "tout professionnel en charge de la définition et/ou de la mise en œuvre d’une Politique Sécurité dans son entreprise". Le périmètre est assez large pour englober divers profils. Selon la taille de l'entreprise, et les moyens alloués à la sécurité des SI, on note fréquemment deux profils. Certains RSSI disposent d'une équipe, de techniciens et managers. D'autres représentent seuls la fonction de sécurité dans leur entreprise. L'ampleur de la tâche - et sa difficulté - varient. Mais le dénominateur commun est de comprendre les enjeux techniques et de savoir faire les choix. La différence entre les deux profils ? L’un devra plus mettre "les mains dans le cambouis" et intervenir au niveau de la mise en œuvre, tandis que l’autre veille d’abord à la cohérence des choix, et au suivi de projets, à la gestion des équipes techniques.

La première compétence s’acquiert en amont par une formation initiale, et/ou se complète par une formation continue. Diverses écoles  , dans leur 3e cycle, ont su intégrer des spécialisations en Sécurité des Systèmes d’Information. La technique est mise en avant, avec pour objectif de fournir aux étudiants un socle théorique apte à les rendre directement opérationnels. Cependant, ces études sanctionnent des compétences qui ouvrent surtout à des postes de consultants, d’architectes, d’administrateurs réseaux.  Cela ne ferme pas la porte au métier de RSSI, bien au contraire. Michel Belli, Directeur Général d’Orsys, en témoigne : "les RSSI qui assistent à nos cours souhaitent se former majoritairement sur des domaines techniques et exploitables à court terme". Preuve est faite que ce champ technique reste utile, si ce n’est obligatoire. Ce qui explique que de nombreux stages de formation continue ont donc tendance à privilégier la transmission d’acquis spécifiques. Une approche qui répond à une recherche fréquente de nombre de RSSI. Dans ce cas de figure, ceux-ci cherchent la maîtrise d’un domaine – une technologie ou une typologie de solutions – souvent dans l’objectif d’un projet à mettre en œuvre à moyen terme.