Emploi : la reprise passera-t-elle par les métiers de la sécurité ?

Reprise ou pas reprise ? C'est la question du moment. Après trois années de vaches maigres, les principaux acteurs du monde des technologies de l'information n'osent encore y croire. Il faut dire que la menace de l'offshore et la perspective de budgets toujours aussi serrés n'incitent guère à l'optimisme. Seul, ou presque, le secteur de la sécurité informatique suscite une recrudescence des espoirs ­ notamment en termes de recrutement.' La sécurité et le sans-fil sont des postes très demandés ', affirme Albert Benhamou, vice-président d'Aruba Networks, une société californienne spécialisée dans le Wi-Fi. ' C'est normal, car, dans ce domaine, beaucoup de travail reste à faire. Les salariés chargés de veiller à la sécurité sont sous la coupe du service informatique, les auditeurs chargés de certifier les comptes sont loin d'être prêts, et les lois susceptibles de s'appliquer ne le sont pas non plus ! ' Autant dire que les chantiers qui s'ouvrent sont immenses.Deux indications récentes donnent le vertige. D'abord, le nombre de messages électroniques à caractère commercial non sollicités (le fameux ' spam ') vient de dépasser aux Etats-Unis, pour la première fois, celui des messages ' légitimes '. Et, selon l'estimation fournie par Brightmail, un éditeur de logiciels antispam, cet effet de ciseaux ne fera que s'accentuer au cours de l'année qui commence : à Noël prochain, c'est près des deux tiers du courrier électronique qui parviendra dans les entreprises et chez les citoyens américains sous forme de pourriel.Autre signe inquiétant pour la sécurité informatique, le peu d'implication des dirigeants d'entreprise. Selon notre confrère britannique The Economist, de nombreux présidents-directeurs généraux persisteraient à ouvrir directement leurs pièces jointes, sans se soucier du contenu ni, naturellement, de l'expéditeur. De la même manière, la plupart des dirigeants ne connaissent pas l'identité de la personne qui vient chercher leur ordinateur quand il donne des signes de défaillance. Ainsi que le confiait récemment le directeur des systèmes d'information d'une grande entreprise française, ' les réflexes des PDG sont là, mais uniquement lorsqu'ils vantent les bonnes pratiques de leur organisation en introduction du rapport annuel. Le reste du temps, ça ne les intéresse pas '.

Des gisements d'emplois en perspective

Mais à quelque chose malheur est (peut-être) bon. Car l'amateurisme qui prévaut encore dans beaucoup d'entreprises dès qu'il s'agit de promouvoir la sécurité informatique crée un appel d'air salutaire en faveur de l'emploi. ' Il existe un décalage énorme entre, d'une part, les grands discours sur la sécurité tenus par les dirigeants d'entreprise et, d'autre part, leur traduction sur le terrain ', confirme Jamal Labed, directeur général de Staff & Line, spécialiste de la gestion de parc. ' Dans bien des cas, on s'aperçoit que l'ensemble de l'information de l'entreprise, c'est-à-dire à peu près toutes ses données, est disponible. C'est effarant ! Il est indispensable de former les gens à la sécurité. Mais, pour cela, il faut déjà connaître avec précision l'état des lieux. 'Et ce n'est pas chose facile : selon un récent livre blanc publié par Staff & Line, ' compte tenu de la variété des licences, de l'étalement de leur acquisition et de l'état des contrats de maintenance, il est extrêmement difficile d'obtenir une photographie de ce que l'on a le droit d'utiliser à un instant donné '. Le cabinet McKinsey, cité dans ce même document, n'est pas plus encourageant. Il estime en effet que, ' au niveau mondial, 10 % des licences, lors d'installations de logiciels, ne sont pas conformes aux obligations contractuelles '. Pour quelle raison exactement ? Selon ce cabinet de consultants, plus de la moitié des personnes interrogées allèguent, pour expliquer ces dysfonctionnements, le manque de ressources et de temps. Et Staff & Line de supposer, sans grand risque d'erreur, que, ' en filigrane, on devine également l'absence de sensibilisation du personnel technique '.La prise de conscience est donc un préalable d'autant plus urgent que nombre de sociétés commencent à dématérialiser massivement les flux de documentation. ' Comment s'assurer que tous les documents qui font foi sont bien des textes certifiés, dûment authentifiés ? ' s'inquiète Charles du Boullay, directeur général de CDC Zantaz (groupe Caisse des dépôts). ' L'e-mail ayant la même valeur juridique qu'un courrier, on ne peut se dispenser d'avoir une politique d'archivage digne de ce nom. ' D'où la nécessaire montée en force, ' à un moment ou à un autre du processus, de juristes spécialisés dans les technologies de l'information '. Au surplus, le développement de l'archivage numérique fait émerger une multitude de profils. Toujours selon Charles du Boullay, ' on recrute dans le domaine de la facturation électronique, pour des motifs parfois très prosaïques ­ par exemple, pour vérifier que la TVA a bien été payée '.

Profil : une espèce en voie d'apparition

Juristes, comptables, auditeurs capables de maîtriser tous les supports électroniques pour agir en conformité avec les nouvelles normes de présentation des comptes sont autant de profils recherchés. L'un des paradoxes de la sécurité informatique, c'est justement qu'elle ne requiert pas seulement des profils d'informaticiens au sens traditionnel du terme. Son caractère multiforme lui fait recourir aux compétences d'autres professions. Pour le Club informatique des grandes entreprises françaises (Ci-gref), beaucoup d'étudiants issus des écoles d'ingénieurs acquièrent une première expérience dans un cabinet d'audit, ou, tout simplement, chez un éditeur de logiciels spécialisés dans la sécurité. C'est seulement après ce premier passage qu'ils intègrent réellement cette double compétence, généraliste et spécialisée. En effet, ' la sécurité informatique a ceci de particulier qu'elle se situe à la jonction des métiers des systèmes d'information et du business ', observe Jacques Auzat, responsable sécurité groupe de l'assureur Aviva France. ' De fait, reprend-il, un poste tel que celui occupé par les responsables sécurité des systèmes d'information (RSSI) ne doit pas ­ ou ne devrait pas ­ être rattaché à la DSI, mais plutôt à d'autres fonctions dans l'entreprise. ' A la direction générale, par exemple ?En tout cas, pour Jacques Auzat, la diversification des risques rend impérieuse la maîtrise des processus de décision. ' Chez nous, nous sommes confrontés à la fois aux risques financiers et stratégiques, aux risques opérationnels, à ceux directement liés au fonctionnement du système d'information, et aux situations aléatoires. Il nous faut réévaluer en permanence la pondération de ces dangers de façon à pouvoir gérer les priorités. 'Pour toutes ces raisons, résume-t-il, ' on arrive en quelque sorte à la croisée des chemins : dans les entreprises, les gens se rendent compte que la sécurité informatique est devenue quelque chose d'essentiel. Mais le problème auquel tout le monde se heurte, c'est qu'elle est encore mal contrôlée. ' Tout est là.Des profils diversifiés pour des exigences multiples : chacun en convient, les spécialistes de la sécurité informatique constituent ­ une fois n'est pas coutume ­, une espèce en voie... d'apparition. En toute logique, ces spécimens encore rares devaient être en mesure de faire prévaloir, dans les négociations d'embauche, des salaires impressionnants. Est-ce vraiment le cas ? 'Pour un débutant, le salaire de base s'échelonne entre 35 000 et 40 000 euros par an. Mais, avec de l'expérience, il peut monter à 50 000 euros ', estime Jamal Labed. Pour lui, ' la multiplication des risques favorise aujourd'hui la prise de conscience des dirigeants. La perception de la sécurité informatique passe actuellement du stade de " nice to have " à celui de " must have " ' ­ autrement dit, et traduit en français : ce qui était souhaitable devient nécessaire. Néanmoins, si les salaires n'atteignent pas les sommets espérés, c'est que, comme le note Diego de Brisoult, ' les budgets sécurité ont été fortement' impactés ', ces dernières années, par la réduction générale des budgets '. D'où une rigueur salariale marquée dans de nombreuses entreprises, tous secteurs confondus.

La fonction publique en ligne de mire

Débouché inattendu pour les spécialistes de la sécurité : les métiers de la fonction publique. Le CFSSI (Centre de formation à la sécurité des systèmes d'information), rattaché au ministère de la Défense, se donne ainsi pour vocation ' d'aider les ministères à prendre en compte les exigences de sécurité dans l'implantation et l'utilisation de leurs systèmes d'information. Avec, pour objectif, de les rendre les plus autonomes possible dans ce domaine. ' La Police nationale, elle aussi, est susceptible d'attirer les informaticiens. Dans certains aéroports, la reconnaissance des empreintes digitales du personnel est testée par des techniques biométriques. Une procédure qui pourrait être amenée à s'étendre. Mais la biométrie n'est pas seule à intéresser la maréchaussée. D'une façon générale, tous les procédés d'identification sont appelés à se développer. Ainsi ' la montée du sans-fil intéresse beaucoup la police, toujours à la recherche d'experts en sécurité ', constate Xavier Bigeard, responsable pour la France du cabinet de recrutement Aldrin & Brooks. ' Et quand on examine le temps de recherche d'emploi pour un candidat, on s'aperçoit que celui qui a déjà une expérience de la sécurité trouve plus vite que les autres. 'Peut-on définir un profil type et recommander des formations adéquates à qui veut faire carrière dans la sécurité informatique ? Diego de Brisoult, responsable RH de Devoteam France, est formel : ' Nous recherchons essentiellement des généralistes dotés de très fortes compétences métier. Sachant que, d'une part, les métiers sont de plus en plus segmentés, et que, d'autre part, les expertises technologiques sont de plus en plus pointues. ' Le Cigref confirme cette tendance à la double, voire la triple casquette selon les moments de la journée : le candidat à un poste de responsable de la sécurité informatique doit être capable de mener à bien un appel d'offres, d'identifier les points à améliorer dans la stratégie de l'entreprise, ou encore de présenter, sous forme de tableaux de bord synthétiques, l'essentiel de son action à la direction générale ou, plus simplement, à son DSI.Du côté de l'offre de formations, les choses commencent aussi à se mettre en place. Outre de nombreux organismes privés, le milieu universitaire et les grandes écoles n'hésitent plus à évaluer le vivier d'emplois que constitue, dès à présent, l'ardente obligation de sécuriser les systèmes d'information. Xavier Bigeard indique, par exemple, que ' l'INT ouvrira une formation spécialement dédiée à ce secteur en 2004 '. Et que ce cas est loin d'être isolé : ' L'Enst Bretagne et l'Ensi Bourges proposent également de telles options.' On n'aurait garde d'oublier, dans cette énumération certes non limitative, ' l'existence de plusieurs DESS, notamment à Brest, à Limoges et à l'université de Paris-I '.