Engager un conseiller en sécurité de l’information : les compétences techniques ne sont pas tout

SÉCURITÉ INFORMATIQUE Un ami m’a téléphoné récemment pour me demander mon avis au sujet de l’embauche d’un conseiller en sécurité de l’information. Il venait de vivre à cet égard une expérience difficile, ayant engagé un spécialiste qui, en fin de compte, n’a pas répondu aux attentes.

Plus il me donnait de détails sur son cas, plus s’imposait un élément crucial : le conseiller avait été choisi sur la base de ses compétences techniques presque exclusivement. Peu de cas avaient été faits de ses aptitudes générales, de son attitude au travail et de son esprit d’équipe. Résultat : le type n’a pas réussi à bien s’intégrer à l’effectif en place, ni à communiquer efficacement ses idées.

L’une des principales qualités d’un conseiller en sécurité de l’information, justement, est de savoir éviter les conflits. Les spécialistes de la sécurité sont perçus un peu comme des policiers. Ils doivent souvent interdire afin de faire régner l’ordre. Dans ce contexte, il faut avoir le tact nécessaire pour ménager les susceptibilités très chatouilleuses chez des employés ayant leurs habitudes. Certaines études, en fait, placent les compétences techniques au troisième rang des priorités dans la sélection du personnel, après l’esprit d’initiative et les capacités cognitives.

Bien faire ses devoirs

Dans un premier temps, une organisation doit soigneusement jauger le personnel qu’elle a sous la main, et déterminer si ses compétences se situent avant tout au niveau opérationnel, tactique ou stratégique. Le conseiller auquel on fera appel devra nécessairement compléter les qualités des employés. Le personnel des TI est comme une équipe de hockey; on a besoin d’un mélange heureux, comprenant des plombiers pour appuyer les étoiles.

Le fait de savoir travailler en équipe prend ici une importance primordiale. Le conseiller aura-t-il la souplesse nécessaire pour s’adapter au milieu de travail où on l’intègre? Pour en avoir le coeur net, on peut commencer par consulter ses propres références, celles qui ne sont pas explicitement indiquées dans le curriculum d’un candidat. Il serait utile également d’exiger des exemples de livrables préparés dans le passé par ce dernier, question de vérifier sa capacité à exprimer clairement ses idées et à communiquer avec la direction.

Vérifier tout de même les compétences techniques

La pertinence de l’expérience constitue un autre élément clé dans la décision d’engager ou non un conseiller. Si les tâches que l’on prévoit lui confier portent sur le développement d’applications, le plan de continuité des affaires, la conformité légale, l’enquête criminelle ou l’éthique, par exemple, on veillera à ce qu’il connaisse à fond ces domaines.

C’est ici que ses qualités de nature technique entrent en ligne de compte. Pour les évaluer, on devra s’attarder à des éléments comme les certifications qu’il a obtenues, les méthodes d’analyse de risque (AS/NZS 4630, MEHARI, NIST SP800-30, Octave, etc.) et les cadres de référence (CobiT, IATF et  ISO 27000) qu’il maîtrise. L’organisation doit penser à long terme. Un conseiller peut livrer la marchandise dans le cadre d’un mandat immédiat, mais saura-t-il le faire lors de mandats subséquents? À cet égard, on peut s’enquérir de son plan de perfectionnement, qui passe notamment par les associations auxquelles il appartient, telles l’ASIMM et l’ASIQ.

Par ailleurs, la sécurité de l’information est un domaine délicat, pour lequel on doit prendre d’indispensables précautions. Une entreprise devra ainsi scruter le passé d’un candidat afin de s’assurer que son casier judiciaire est vierge et que son crédit personnel n’est pas entaché d’irrégularités importantes.

En sécurité de l’information, on se targue de passer 80 % de son temps à communiquer. En outre, l’évolution de la discipline se fait dans des contextes toujours différents, caractérisés par des enjeux politiques considérables. Situation complexe, qui demande que l’on fasse appel à des conseillers possédant non seulement des compétences techniques élevées, mais également une grande capacité d’adaptation aux équipes qu’ils joignent.

Articles connexes

Québec numérique lance la WAQadémie, une offre de formation pour faire vivre le WAQ à l’année

Québec numérique, l’organisme derrière l’événement phare du Web à Québec (WAQ), annonce le lancement de la WAQadémie. Il s’agit d’une nouvelle formule qui veut faire vivre l’esprit du WAQ toute l'année. Dès le mois de février, une programmation mensuelle, connectée sur la communauté et à l'affût des tendances, sera offerte aux professionnels et aux amateurs du numérique, en présentiel, à Québec. 

Les tendances de la transformation numérique dans les PME québécoises

Une récente étude de GetApp se penche en détails sur la stratégie numérique des entreprises québécoises et dévoile les tendances dans ce domaine pour les deux prochaines années. Dans le cadre de cette étude, GetApp a interrogé des employés des PME du Québec afin de déterminer comment la stratégie numérique de leur entreprise a évolué et si elle a rencontré le succès escompté.

Attentes et comportement des consommateurs québécois sur la confidentialité des données

Les résultats d’un sondage publiés cette semaine par GetApp Canada explorent les pratiques des Québécois quant à la confidentialité de leurs données. Il s’agit du second volet d’une enquête auprès de 230 consommateurs québécois.

Loi 64 sur la protection des renseignements personnels : Votre entreprise est-elle prête ?

Certaines dispositions de la « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels » (autrefois le projet de loi 64) entreront en vigueur dans un peu plus d’un mois, le 22 septembre. Votre entreprise sera-t-elle prête à s’y conformer ?

MISE À JOUR – Actions collectives contre Rogers suite à la panne de vendredi dernier

Le cabinet juridique montréalais LPC Avocat a déposé une demande d’autorisation d’action collective contre le géant des télécommunications Rogers Communications en raison de la panne de son réseau vendredi dernier qui a privé bon nombre de Canadiens de service durant au moins 15 heures.