Responsables de la sécurité informatique : les soft skills indispensables

De nombreuses voies mènent au rôle de responsable de la sécurité des systèmes d’information (RSSI, ou CISO – Chief Information Security Officer). En raison d’un manque de parcours de formation établis, différentes certifications de compétence, telles que CISSP et CISM, ont fait leur place dans le domaine de la sécurité de l’information. En Suisse, le diplôme fédéral ICT Security Expert est, entre-temps, également devenu l’une des formations continues les plus prestigieuses pour les dirigeants et les cadres de la gestion de la sécurité.

Ce que toutes certifications réputées en sécurité informatique ont en commun, c’est qu’elles valident également des compétences en management en plus des connaissances techniques. Toutefois à des degrés différents. Alors que le CISM et CISSP testent avant tout les connaissances spécialisées par un QCM, les futur.e.s dimplômé.e.s fédéral ICT Security Experts doivent également démontrer leurs soft skills dans des simulations.

Découvrez en plus sur l’examen de l’ICT Security Expert DF ❯

Mais pourquoi ces soft skills sont-ils si cruciaux pour les responsables de la sécurité informatique ? De quels soft skills parle-t-on ? Prenons l’exemple de la formation continue ICT Security Expert et examinons-la de plus près.

Pourquoi les soft skills sont-ils déterminants dans la gestion de la sécurité informatique

Bien entendu, toutes les personnes certifiées expertes en cybersécurité sont littéralement des spécialistes dans leur domaine. Elles connaissent tous les détails techniques sur le bout des doigts. Comment sinon seraient-elles capables de reconnaitre et résoudre des problèmes, si elles ne maîtrisent pas leur domaine ? C’est la base indispensable d’un bon travail.

« Les personnes responsables de la sécurité dans une entreprise sont les lobbyistes de la sécurité. »

Mais dès qu’elles dirigent une équipe de sécurité, établissent un système de management de la sécurité de l’information (ISMS), exécutent des programmes de sécurité, gèrent des incidents de sécurité et de manière générale assument la responsabilité de la sécurité informatique d’une entreprise – et ainsi sont aussi le premier contact de la direction pour les questions de sécurité -, elles ont besoin de soft skills précis.

« Un thème indispensable, mais souvent sous-estimé, est le côté communicationnel », explique Bruno Blumenthal, consultant en Sécurité chez Temet, ancien CISO et expert en chef pour les simulations de l’examen du diplôme fédéral ICT Security Expert. « Les personnes responsables de la sécurité dans une entreprise sont les lobbyistes de la sécurité. Ça veut dire qu’elles doivent être capables de défendre ce sujet. Elles ont pour cela besoin de capacités de communication, donc de capacités à s’affirmer et donc d’un sens des responsabilités. C’est ce que nous examinons lors de l’examen et donc ce que nous recherchons chez les ICT Security Experts ».

Les 13 soft skills de l’ICT Security Expert

Nous analysons ci-dessous les 13 soft skills recherchés chez un.e ICT Security Expert et définissons les domaines d’action en particulier dans lesquels ils s’appliquent. Nous verrons également où se trouvent les plus grands défis rencontrés par les candidats à l’examen.

Cliquez sur les liens suivants pour accéder directement à l’explication du soft skill correspondant.

Aperçu des soft skills :

1. Autonomie
2. Capacité de communication
3. Loyauté
4. Capacité de jugement
5. Réflexion tournée vers l’avenir
6. Aptitude à s’imposer
7. Intégrité
8. Capacité d’innover
9. Aptitude au travail en équipe
10. Réflexion pluridisciplinaire
11. Pensée systémique
12. Capacité d’apprentissage
13. Sens des responsabilités

1. Autonomie

Êtes-vous capable d’accomplir des tâches de manière autonome et responsable ? Cette capacité n’est pas seulement importante pour les expert.e.s en sécurité, mais fait partie des soft skills les plus recherchés dans tous les profils d’emploi.

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS), Gestion des parties prenantes

Défi typique :

• Documenter et rendre compte des résultats d’audit de conformité

2. Capacité de communication

Il s’agit ici de votre capacité à faire passer vos messages. Et votre aptitude à transmettre ceux-ci de manière adaptée à vos interlocutrices et interlocuteurs, que ce soit vos collègues, la direction ou votre clientèle. En particulier lorsque vous devez informer votre direction pour qu’elle puisse prendre des décisions sur la base de faits pertinents. Il est alors important de trouver les mots qui seront également compréhensibles et clairs pour des personnes qui n’ont pas d’expertise technique. C’est ici que se trouve le plus gros défi.

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS), Direction du programme relatif à la sécurité, Gestion des parties prenantes

Défis typiques :

• Communiquer et présenter de manière adaptée aux différentes interlocutrices et interlocuteurs
• Élaborer des stratégies de sécurité de l’information sur la base de l’appétence pour le risque du conseil d’administration et de la direction
• Déterminer le niveau de maturité de la sécurité d’une entreprise
• Préparer des contenus didactiques et adaptés aux groupes cibles pour des campagnes de sensibilisation
• Conseiller la cellule de crise et soutenir la prise de décision
• Informer les parties prenantes et les responsables des processus sur les dépendances pertinentes dans le processus commercial
• Et bien plus encore …

3. Loyauté

Il s’agit ici de votre fermeté et persévérance. Restez-vous fidèle à votre cause ? Restez-vous loyal envers vous-même, envers votre sujet, mais aussi envers votre entreprise ? Ce soft skill n’est en règle générale pas un défi particulier pour les candidates et candidats à l’examen.

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS)

4. Capacité de jugement

Il s’agit ici avant tout de votre esprit critique professionnel. Vous devez ici prouver votre capacité à effectuer une évaluation objectivement bien fondée sur la base de différentes informations individuelles, de faits existants et d’estimations.

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS), Direction du programme relatif à la sécurité, Gestion des parties prenantes, Maîtrise d’événements

Défis typiques :

• Définir des scénarios de menaces pertinents pour l’entreprise
• Analyser la situation sécuritaire et les risques et élaborer des mesures d’urgence appropriées
• Comprendre les questions des parties prenantes et y répondre de manière appropriée
• Vérifier si les aspects sécuritaires sont pris en compte dans le plan de continuité d’activité

5. Réflexion tournée vers l’avenir

En bref : pensez-vous à l’avenir ? En détail : Est-ce que vous montrez que vous comprenez l’importance et les conséquences d’actions ou d’événements passés et présents pour l’entreprise ? Ce n’est pas toujours simple, mais faisable.

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS), Direction du programme relatif à la sécurité, Garantie de la fourniture d’informations

Défis typiques :

• S’informer en continu sur des thèmes relatifs à la sécurité comme les nouvelles technologies, les scénarios d’attaque et les concurrents et intégrer les nouvelles connaissances dans les règles internes et la gestion des risques
• Esquisser les exigences d’un modèle technique théorique pour le paysage des systèmes et des applications informatiques
• Imposer une technique de cryptage et son application en fonction de la situation
• Vérifier les aspects de sécurité du stockage, des technologies d’archivage et de classification

6. Aptitude à s’imposer

Pouvez-vous vous affirmer, vous et votre cause ? C’est ici que votre capacité à vous imposer face à la direction est particulièrement importante. Prenez conscience de vos préoccupations, poursuivez-les de manière conséquente et faites-les aboutir, même en cas de résistance.

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS), Création d’une prise de conscience (sensibilisation), Maîtrise d’événements

Défi typique :

• Informer les parties prenantes et les responsables des processus opérationnels des dépendances pertinentes dans le processus commercial

7. Intégrité

L’intégrité partage quelques traits communs avec la loyauté exposée au point 3, mais est plus axée sur des standards éthiques. C’est-à-dire : Restez-vous fidèle à vos valeurs lorsqu’il le faut ?

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS), Gestion des parties prenantes, Garantie de la fourniture d’informations

Défis typiques :

• Négocier et vérifier des contrats de prestation concernant la sécurité de l’information avec la clientèle et les fournisseurs
• Vérifier les aspects sécuritaires du stockage, des technologies d’archivage et de la classification
• Créer un concept de classification

8. Capacité d’innover

Misez-vous sur les bonnes vieilles méthodes ou avez-vous le courage et l’énergie d’introduire de la nouveauté qui fera avancer votre entreprise ? Que ce soit une nouvelle technologie, un nouveau processus ou une nouvelle stratégie. Bravo !

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS)

Défi typique :

• S’informer en continu sur des thèmes relatifs à la sécurité comme les nouvelles technologies, les scénarios d’attaque et les concurrents et intégrer les nouvelles connaissances dans les règles internes et la gestion des risques

9. Aptitude au travail en équipe

L’esprit d’équipe est l’une des autres compétences sociales demandées dans presque tous les postes. C’est une compétence particulièrement recherchée chez les ICT Security Experts lorsqu’ils travaillent sur des projets et doivent consolider leur réseau de relations dans le domaine de la sécurité de l’information. De plus, vous devez être capable de travailler en équipe dans le cadre d’une collaboration avec des cellules de crise. Ce soft skill n’est en généralement pas un défi typique pour les responsables de la sécurité de l’information.

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS), Direction du programme relatif à la sécurité, Gestion des parties prenantes, Maîtrise d’événements

10. Réflexion pluridisciplinaire

Ici, il s’agit de penser plus loin que le bout de son nez. Êtes-vous capable de reconnaitre et d’analyser l’interaction de différents facteurs et d’en tirer des propositions d’action ?

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS), Direction du programme relatif à la sécurité, Gestion des parties prenantes

Défis typiques :

• Analyser le paysage des systèmes informatiques et des applications et établir les implications sur les menaces internes et externes
• Esquisser les exigences d’un modèle technique théorique dans les domaines du système informatique et des applications

11. Pensée systémique

Il faut ici une vision globale. C’est-à-dire, en ce qui concerne les experts en sécurité : vous êtes l’entreprise, vous représentez l’entreprise dans sa globalité par le prisme de la sécurité et c’est ce que la direction veut voir de vous.

Compétences opérationnelles : Mise en place du système de gestion de la sécurité de l’information (ISMS), Direction du programme relatif à la sécurité, Création d’une prise de conscience (sensibilisation), Garantie de la fourniture d’informations

Défis typiques :

• Créer de A à Z un ISMS
• S’informer en continu sur des thèmes relatifs à la sécurité comme les nouvelles technologies, les scénarios d’attaque et les concurrents et intégrer les nouvelles connaissances dans les règles internes et la gestion des risques
• Définir une solution pour un événement de sécurité et évaluer les dommages causés
• Vérifier si les aspects sécuritaires sont pris en compte dans le plan de continuité d’activité
• Déduire et prioriser des mesures à partir de l’impact d’un événement
• …

12. Capacité d’apprentissage

Êtes-vous motivé à suivre des formations continues et à vous former de manière autonome ? Et êtes-vous capable d’accepter la critique, de reconnaitre vos erreurs et de changer de cap si nécessaire ? Très bien, car c’est exactement de quoi il est question ici.

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS)

13. Sens des responsabilités

Le dernier soft skill de notre liste, mais pas des moindres : assumer une responsabilité, qu’est-ce que ça veut dire ? En quelques mots, que vous résistez bien dans des situations de stress et que vous êtes prêt à payer les pots cassés.

Compétences opérationnelles : Ancrage de la stratégie en matière de sécurité, Mise en place du système de gestion de la sécurité de l’information (ISMS), Direction du programme relatif à la sécurité, Maîtrise d’événements, Garantie de la fourniture d’informations

Défi typique :

• Vérification des aspects sécuritaires du stockage, des technologies d’archivage et la classification

Remarque : Tous les domaines de compétences opérationnelles, les critères de performance et les soft skills se trouvent également dans le guide officiel de l’examen professionnel supérieur du Diplôme fédéral ICT Security Expert d’ICT Formation professionnelle.