IEP, écoles de commerce, droit… Ces filières qui forment de plus en plus de RSSI
Les voies pour devenir responsable de la sécurité des systèmes d'information (RSSI) se diversifient. Autrefois principalement réservé aux ingénieurs et techniciens de la cybersécurité, ce métier attire désormais de plus en plus de diplômés en droit, en commerce ou en sciences politiques. "Alors que le RSSI était auparavant plutôt geek et technicien, une diversification de ses voies d'accès amorcée dans les années 2010 s'amplifie", confirme François Ehly, manager et RSSI externe chez Almond. Gabriel de Brosses, ancien RSSI du groupe La Poste et président de Tevarua-Conseil, précise: "Désormais, des jeunes arrivent aux métiers de la cybersécurité avec des formations généralistes orientées management et gouvernance des entreprises et associées à de solides bases juridiques."
Une pénurie de talents favorable aux profils non techniques
Cette ouverture des voies d'accès au métier de RSSI s'explique par le manque de main-d'œuvre, estime Benoit Fuzeau, RSSI de la Casden Banque Populaire, président du Club de la sécurité de l'information français, et lui-même issu de l'Institut supérieur de gestion : "La pénurie de talents en cybersécurité crée un déséquilibre flagrant entre l'offre et la demande. Pour y faire face, les recruteurs élargissent naturellement leurs critères, et l'on constate donc l'émergence de profils issus d'écoles de commerce, de droit ou de Sciences Po."
C'est pourquoi elles sont de plus en plus nombreuses à fournir des formations dans ce domaine. Tandis que des écoles de commerce comme l'Essec ou l'EM Lyon Business School dispensent des cours de management des systèmes d'information, beaucoup de facultés de droit et de gestion introduisent désormais des enseignements juridiques de la cybersécurité dans leurs masters. Les Instituts d'études politiques (IEP) suivent ce mouvement depuis la fin des années 2010, affirme Adrien Gévaudan, ancien étudiant de l'IEP d'Aix-en-Provence, RSSI dans le secteur de l'énergie, et enseignant à Sciences Po Paris. "Mes cours de cybersécurité suscitent d'ailleurs des vocations, car ce secteur est ludique et stimulant. J'ai entre trois et six étudiants qui souhaitent travailler dans la cybersécurité chaque année."
Un profil adapté à la transformation du métier de RSSI
Cette tendance s'explique aussi par une transformation du métier de RSSI. Depuis le milieu des années 2010, la cybersécurité fait l'objet de nombreuses législations comme le règlement général de la protection des données, les deux directives network and information security, le digital operational resilience act, le cyber resilience act, etc. "Et traduire des exigences légales en politiques opérationnelles efficaces requiert une expertise juridique et réglementaire pointue. Les profils de RSSI issus du droit ou de la compliance s'avèrent particulièrement agiles pour structurer et piloter ce volet", estime Benoit Fuzeau.
Guillaume Vacher, business information security officer (BISO) dans un groupe du CAC 40, confirme que c'est grâce à un master réalisé à l'université Paris Dauphine, consacré à l'audit, au conseil et à la conformité dans la cybersécurité qu'il a pu exercer le métier de RSSI avant de devenir BISO. "Cette formation a été un choc pour moi. Elle m'a permis de comprendre qu'il faut relier les décisions de cybersécurité à la réglementation applicable, aux risques contractuels et à leur impact financier."
En outre, les risques cyber sont désormais pleinement pris en compte par la direction des entreprises. "Plus qu'avant, cela nécessite que le RSSI soit capable d'interagir avec différents acteurs dont les dirigeants", précise Adrien Gévaudan. "C'est pour cela qu'en France, l'appellation RSSI a tendance à être remplacée par celle de chief information security officer qui introduit l'idée que cette fonction est celle d'un cadre dirigeant avec des responsabilités supérieures. Or, ce nouveau type de RSSI issu des écoles de droit, de commerce ou de sciences politiques possède une certaine aisance dans la communication avec les directions générales, les directions financières et les ressources humaines", estime Gabriel de Brosses.
Désormais au centre de l'attention des dirigeants d'entreprise, le RSSI doit aussi posséder des qualités managériales auxquelles forment ces écoles, observe Benoit Fuzeau : "Le rôle de RSSI a dépassé le seul périmètre de la conformité et de la sécurité opérationnelle. Piloter un budget, animer une équipe pluridisciplinaire de pentesters, d'analystes SOC, d'ingénieurs cloud, et convaincre un comité de direction sont aujourd'hui au cœur de la fonction. C'est précisément cette dimension managériale qui explique l'intérêt croissant pour des profils au parcours non technique, capables d'apporter des compétences en leadership, en communication et en stratégie."
Les compétences techniques manquent-elles ?
Ce type de RSSI est néanmoins réservé aux grands groupes et aux entreprises de taille intermédiaire selon Jean-Philippe Gaulier, fondateur de Cyberzen, une société qui fournit des RSSI externes pour les petites et moyennes entreprises (PME) : "Ils ont une compréhension théorique de l'informatique et pratiquent la gouvernance mais n'ont jamais configuré un pare-feu ou chiffré des disques." "Certains délaissent la dimension technologique de la cybersécurité car ils se retrouvent à piloter des équipes et des budgets, et d'autres, dans des plus petites organisations ou par goût, acquièrent des compétences techniques supplémentaires", nuance François Ehly, qui dirige une équipe de RSSI externes.
Anaïs Barthe, manager de la gouvernance cybersécurité chez Lacoste et formée dans une école supérieure de commerce et à l'Ecole de guerre économique, estime qu'un RSSI n'a pas besoin d'être un expert technique pour exceller dans son métier. "Souhaitant devenir RSSI plus tard, je remarque que les profils comme le mien qui n'ont pas de formation d'ingénieur sont plus à l'aise sur les aspects de la gouvernance et du pilotage propres à ce métier. Comme on ne voit pas tout de suite les limitations techniques de certaines exigences que l'on veut appliquer, cela laisse ouvert le champ des possibles." "Il n'est pas nécessaire d'atteindre le niveau d'expert pentester ou ingénieur sécurité. Maîtriser quelques fondamentaux suffit. Par ailleurs, ces connaissances se construisent progressivement, au fil de l'expérience et de la formation continue", observe Benoit Fuzeau.