De la théorie en école à la pratique en stage

Dans les métiers de la sécurité, les formations initiales ont leur rôle à jouer sur le plan technique. Presque inconnue de l'enseignement supérieur au début 2000, la sécurité des systèmes d'information s'est peu à peu imposée. Supélec, l'Enst, l'Ensta, l'Esiea, l'Epita et Supinfo, entre autres, ont incorporé dans leur cursus des spécialisations en sécurité des systèmes d'information. De niveau bac +5 ou 6, ces diplômes sanctionnent des études techniques (surtout théoriques) de haut niveau sur la sécurité des réseaux et des systèmes, la cryptographie, la programmation sécurisée, mais aussi la définition de référentiels et de politiques de sécurité.

Très peu de formations au niveau bac +3

En revanche, au niveau bac +3, très peu de formations existent. L'Ectei du groupe ECE délivre depuis deux ans un Bachelor sécurité et réseaux, en partenariat avec l'université René-Descartes (Paris-V). Ses étudiants se destinent surtout à l'administration des réseaux, à des postes de consultants, voire d'architectes réseaux. Cela reste une excellente porte d'entrée aux métiers de la sécurité, pour lesquels, selon Gilles Comblez, responsable pédagogique de l'école, les étudiants manifestent un intérêt croissant : ' La sécurité forme un sujet abordé à très haut niveau dans les entreprises. Les étudiants savent que cette formation les rend rapidement opérationnels. 'Plusieurs IUT proposent, en sortie de DUT, des licences professionnelles réseaux et télécommunications spécialisées en sécurité. Comme à Orsay (' sécurité des réseaux et systèmes informatiques ') ou Villetaneuse (' sécurité et qualité réseaux '). En deçà de bac +3, la sécurité n'est pas sérieusement abordée.

L'indispensable bagage technique

Cette rareté des diplômes de premier cycle spécifiques à la sécurité témoigne du haut niveau théorique qu'atteignent les formations. Il fait écho aux exigences des métiers de la sécurité des systèmes d'information, qui nécessitent un important bagage technique. Toutefois, un RSSI témoigne d'un décalage existant entre la formation et la pratique : ' Il est assez rare que je doive programmer de manière sécurisée ou me plonger dans un algorithme de cryptographie ! ' Or, ces chapitres sont longuement détaillés au sein des écoles d'ingénieurs. Superflu ? Pas forcément. Car, quand bien même les étudiants se destinent à un poste de RSSI, il leur faudra comprendre le point de vue des développeurs, voire des cryptographes. L'objectif est de leur donner toutes les armes pour appréhender l'ensemble des problématiques techniques de sécurité. A charge pour eux de savoir passer de la théorie à la pratique.Ces prérequis aident les ingénieurs à suivre des formations techniques spécifiques au cours de leur carrière professionnelle. ' Toutes les personnes intéressées par des stages pratiques sont des professionnels en exercice, qui doivent maîtriser rapidement un produit ou une technologie ', affirme Pascal Gouache, responsable de la filière sécurité d'Orsys. Les stages restent donc courts et les contenus, très ciblés, insistent sur la mise en pratique : déploiement d'une infrastructure à clés publiques, d'un single sign-on, méthodes de filtrage, prévention des intrusions, sécurité du sans-fil, de la voix sur IP, etc. Suivre ces formations requiert non seulement une base théorique, mais aussi une compréhension fine de l'intégration de ces technologies et problématiques dans un système d'information et dans l'organisation d'une entreprise. Raison pour laquelle ces stages rassemblent souvent des RSSI et ingénieurs évoluant dans des équipes de maîtrise d'?"uvre. Ces deux populations présentent des besoins similaires, plus ou moins poussés, de connaissance technique de ces sujets. En revanche, la mise en pratique effective sera rarement dévolue au RSSI.