« Un responsable de la sécurité doit avoir de bonnes compétences en communication »

Les médicaments peuvent être pris de différentes manières. Par exemple par ingestion, inhalation, injection ou par voie cutanée. Et dès qu’une solution médicale numérique entre en jeu, c’est David Christen qui est la personne de référence.

David Christen a commencé sa carrière professionnelle à l’école polytechnique de Zurich. Après ses études en électrotechnique et en technologies de l’information, il fait de la recherche dans le domaine de la biomécanique. Il développe des modèles d’ordinateur qui aident à évaluer le risque de fracture osseuse de patientes et patients. Après son passage dans l’industrie, il se concentre sur le développement d’applications logicielles pour des produits médicaux.

Aujourd’hui, David Christen est Head of Digital Health Engineering chez Gerresheimer, une entreprise spécialisée dans la fabrication de conteneurs pour produits pharmaceutiques et d’appareils pour l’administration de médicaments. Il est responsable du développement et de l’exploitation d’applications numériques de santé et de médecine et dirige une équipe de 10 ingénieur.e.s en logiciel.

Digicomp : Nous vous félicitons pour l’obtention de votre certification CISSP !  Pourquoi avez-vous décidé de faire cette certification ?

David Christen : Je pense que les entreprises devront à l’avenir s’orienter encore davantage vers la sécurité. Étant donné que j’ai repris la responsabilité de la cybersécurité spécifique aux produits, c’était pour moi important d’avoir une vue d’ensemble globale de cette thématique et de comprendre dès le départ les exigences sécuritaires pesant sur une organisation. Grâce à ces connaissances, je suis capable de mettre en place les processus adéquats qui permettent d’assurer la sécurité de nos solutions médicales.

De plus, le CISSP était très intéressant pour moi étant donné qu’il fait le lien entre des aspects d’ingénierie logicielle et d’opérations informatiques. D’autant plus que dans le cadre du développement web, les frontières entre le développement et l’exploitation sont floues.

Il existe de nombreuses autres certifications en cybersécurité en plus du CISSP. Pourquoi avez-vous opté pour le CISSP plutôt que le CISM, par exemple ?

Je me suis orienté vers le CISSP parce qu’il s’agit d’une certification internationalement reconnue et très ancrée dans l’industrie. De plus, c’était important pour moi de choisir une certification qui offre un bon équilibre entre la transmission de connaissances techniques spécialisées et de connaissances en matière de gouvernance et de gestion, ce que fait le CISSP.

Chez Gerresheimer, vous avez par exemple développé un appareil d’inhalation connecté en Bluetooth avec une application mobile et web. Pourquoi la cybersécurité est-elle absolument centrale dans ce domaine d’application médical ?

La cybersécurité dans le domaine de la médecine est bien sûr toujours critique : les données et l’application sont très sensibles. Rien que l’information de l’existence d’un problème médical peut déjà être très sensible pour la personne concernée. Il s’agit de données de santé qui doivent être particulièrement protégée.

Donc cela nécessite la mise en œuvre des mesures de sécurité des plus élevées disponibles ?

En effet, la cyberprotection dans le domaine médical est encore un cran plus difficile que dans les autres domaines, étant donné que nous devons aussi toujours mettre en compétition sécurité et sûreté. Il y a différents processus établis avec des autorités de régulation qui s’assurent que les applications médicales sont « safe », c’est-à-dire sûres, sans dangers. Et ceux-ci sont partiellement en contradiction avec les exigences que nous avons du côté que la sécurité. Par exemple, du côté de la sécurité, nous voulons toujours pouvoir mettre à jour rapidement et facilement les logiciels sur le terrain, alors que du point de vue de la sûreté, il est essentiel de tester les changements et de s’assurer qu’ils n’entrainent pas de risques supplémentaires avant de les appliquer.

Pendant votre formation continue CISSP, vous vous êtes aussi intéressé de près à ce que la reprise de la responsabilité de la cybersécurité d’une entreprise signifiait. Qu’est-ce qui fait pour vous un bon responsable de la sécurité ?

Un responsable de la sécurité doit avoir de bonnes compétences en communication. Malgré tout, le thème de la sécurité est encore nouveau pour de nombreuses organisations, il est trop peu implanté et très souvent traité de manière encore trop floue. C’est pour cette raison que ce poste nécessite un grand travail d’information. Il est donc d’autant plus important pour les responsables de la sécurité d’acquérir le bagage de la communication et de pouvoir agir en conséquence dans l’organisation – c’est ce que le CISSP fait d’ailleurs très bien. De plus, des connaissances techniques approfondies sont bien entendu également essentielles. En effet, après les tâches de communication vient un travail systématique assez détaillé et fondamental pour garantir la cybersécurité.

Le CISSP est probablement aussi réputé parce que l’examen de certification est considéré comme extrêmement exigeant.

L’examen du CISSP et sa préparation sont effectivement plutôt exigeants, parce que les connaissances requises couvrent non seulement un très large spectre, mais vont également très en profondeur. Ça va de la gouvernance aux détails des algorithmes de cryptage en passant par la sécurité physique. C’est donc beaucoup de matière qu’il faut apprendre, mais aussi montrer pendant l’examen.

Qu’est-ce qui vous a aidé pendant la préparation à l’examen ?

Étant donné que les thèmes abordés sont aussi vastes que détaillés, suivre le cours de préparation à la certification CISSP a été un élément central de ma préparation. Cette formation m’a permis d’acquérir une bonne vue d’ensemble de toute la matière et grâce aux formateurs expérimentés, j’ai pu identifier ce qui était absolument pertinent et comment se préparer au mieux. Mais bien entendu, il est nécessaire de se plonger dans les livres après le cours pour continuer sa préparation.

Grâce à la certification CISSP, vous avez acquis une bonne vue d’ensemble du domaine de la cybersécurité. Avez-vous identifié des thèmes dans lesquels vous voudriez encore acquérir des connaissances spécialisées ?

Il y a deux domaines de formation continue qui m’intéressent. D’une part, je voudrais bien approfondir mes connaissances dans le domaine de la sécurité du cloud et d’autre part la gouvernance des aspects sécuritaires me semble également intéressante.

Merci beaucoup pour cet entretien et ces perspectives passionnantes.

Retrouvez plus d’information sur le CISSP dans nos articles de blog :

• CISSP ou CISM ? Quelle certification est faite pour vous ?
• Responsable de la sécurité informatique : les soft skills indispensables