Devenir rapidement opérationnel

• Formez toute l'entreprise à la sécurité informatique !
• Savoir déployer une stratégie de sécurité dans son entreprise
• Devenir rapidement opérationnel
• Comprendre le respect des normes et la valeur d'un audit

Sur le terrain, la gestion opérationnelle de la sécurité des systèmes d'information (SSI) concerne en premier lieu tout un volet d'expertise de haut niveau. Il inclut la gestion au quotidien de la conformité réglementaire, l'identification des dangers majeurs et l'évaluation de ceux induits par les acteurs de valeur ? en particulier les fournisseurs. En second lieu, la gestion opérationnelle de la SSI porte sur la notion de continuité d'activité qui tend à remplacer le PRA (Plan de reprise d'activité après incident ou accident) et le PCA (Plan de continuité d'activité) grâce à la norme ISO 22301, publiée au printemps dernier.

Un panel de certifications pour experts

En matière de sécurité opérationnelle, les formations s'adressent généralement à des profils d'experts qui cherchent à valoriser leurs compétences (bac + 5) ainsi que leur expérience d'au moins cinq ans dans la SSI au travers de certifications. La plus connue, au plan international, est CISSP (Certified Information Systems Security Professional) dont le programme est géré par ISC (International Information Systems Security Certification Consortium). Parmi les instituts qui assurent la préparation à cette certification, citons, entre autres, Auditware, Cabestan Consultants et Sysdream. On trouve également d'autres certifications qui s'adressent à des cibles différentes. Dont CISM (Certified Information Security Manager) qui intéresse les RSSI et correspondants sécurité en entreprise, comme il est décrit dans la formation d'Auditware (cinq jours) dont l'examen est certifié par Isaca (International System Audit and Control Association).

Démarrage en trombe pour les offres de continuité d'activité

Quant à la continuité d'activité, elle fait l'objet, avec la récente norme ISO 22301, d'une effervescence toute nouvelle de l'offre en formations. A l'instar d'ISO 27001 pour l'analyse de risques, la segmentation des stages porte sur l'introduction à la continuité d'activité (un à deux jours chez Alliacom, Devoteam, Lexsi, Lisis Conseil…), la certification d'experts pour l'implémentation (HSC, Scassi Conseil, Sekoia…), et celle pour l'audit (Devoteam, HSC, Provadys, Sekoia…). “ ISO 22301 aura une importance énorme, car cette norme pose la question de savoir si les prestataires seront en mesure d'assurer la continuité des activités de leurs clients ”, soulève Hervé Schauer, président de HSC. En effet, sous la pression des clients, de nombreux opérateurs seront dans l'obligation de prouver leur capacité à garantir de la continuité. Notamment les opérateurs de services en ligne et de services cloud.Une chose est sûre, ISO 22301 débouche sur la mise en œuvre et l'audit de SMCA (Systèmes de management de la continuité d'activité). Dans cet esprit, les formations de cinq jours portent sur la définition du périmètre (lieux géographiques, activités…), l'analyse de l'impact financier et opérationnel des sinistres potentiels sur chaque métier, et l'évaluation des solutions ? entre autres les opérateurs télécoms, Saas (Software as a Service), les tiers de confiance et les prestataires… “ Bien sûr, il ne faut pas oublier le test et le maintien en condition opérationnelle des solutions retenues ”, explique Olivier Pantaléo, directeur associé chez Provadys.