Définir des règles est améliorer son management

Le responsable de la sécurité des systèmes d'information (RSSI) quitte peu à peu sa fonction de simple technicien pour embrasser celle de manager. Qui dit management de la sécurité dit méthodes, organisation d'un service, d'équipes, définition d'une politique, communication et sensibilisation. Autant de domaines qui, s'ils peuvent s'apprendre avec le temps, répondent toutefois à un certain nombre de principes enseignables, que les formations organisationnelles abordent. Elles concernent ainsi tout autant les RSSI que les spécialistes de sécurité envisageant une telle carrière, voire les directions générales.Le fait que l'ensemble des cadres dirigeants participe à ces formations se justifie par leur contenu. ' Notre public souhaite apprendre les typologies de dommages et comprendre les problématiques de responsabilité civile et pénale ', détaille Denis Virole, directeur du centre de formation chez Telindus Arche. Un RSSI suivant de tels cours n'a pas nécessairement encore rédigé son référentiel de sécurité. ' Dans les rangs, nous retrouvons des RSSI qui viennent d'être nommés, parfois issus d'autres milieux, comme la qualité ', confirme Pascal Gouache, le responsable de la filière sécurité de l'organisme de formation Orsys.

Faire fi de la technique

Les différents enseignements organisationnels comportent ainsi un tronc commun de sujets, tels que la politique de sécurité, le schéma directeur, les différentes méthodologies, les normes, la législation et les aspects contractuels. Les technologies ne sont abordées que pour donner une vue d'ensemble à ceux qui ne travaillent pas au quotidien dans une direction des systèmes d'information. ' Pour un RSSI, suivre des cours techniques ne constitue pas la priorité. Il officie souvent dans la maîtrise d'ouvrage de la DSI ', justifie Denis Virole.Un rôle confirmé par Rodolphe Arnoux, directeur commercial de Lexsi, société de conseil qui compte 90 % de RSSI parmi ses stagiaires en formation : ' L'objectif est qu'ils acquièrent les compétences nécessaires pour exercer dans une maîtrise d'ouvrage de sécurité. A savoir, définir les besoins, identifier les contraintes, déterminer les priorités des chantiers et gérer les sous-traitants. '

Apprendre à gérer des situations de crise

L'aspect manager d'hommes d'une fonction de RSSI paraît assez prédominant pour que les formations tentent de l'aborder. Toutefois, dans le temps imparti (quatre jours en moyenne), une société ne peut espérer de miracle. S'il ne l'est pas déjà, un stagiaire ne se transformera pas si vite en manager compétent. La plupart des organismes de formation tâchent d'inculquer certains principes : sens de la diplomatie, du compromis, de la pédagogie. Cela passe souvent par des cours sur la sensibilisation des directions générales. ' Nos stagiaires ne doivent pas se tromper sur les objectifs généraux, tout en sachant trouver des exemples concrets pour persuader leur hiérarchie, et réussir ainsi à obtenir leurs budgets ', défend Rodolphe Arnoux.A terme, suivre un MBA (Master of Business Administration) est d'ailleurs une option intéressante. Quelques RSSI l'envisagent. Toutefois, la pratique n'est pas courante de ce côté de l'Atlantique.En complément des formations habituelles de management de la sécurité des systèmes d'information, suivre celles qui abordent les questions de maîtrise des situations de crise peut s'avérer utile. Capgemini Institut en fait d'ailleurs un cursus à part, sur deux jours. ' A l'origine, il ciblait les PDG. Mais désormais sont visés notamment les RSSI, car la sécurité des systèmes d'information est devenue une préoccupation majeure dans l'entreprise. ' Préparer et mettre en ?"uvre une gestion de crise s'applique aux hommes de la sécurité. Et ceux-ci doivent s'impliquer dans ces situations, même si elles s'avèrent sans rapport direct avec le système d'information.