Une fois expérimentés, les meilleurs consultants pourront évoluer vers le « risk management » ou le poste de responsable de la sécurité des systèmes d’information.


« La variété de nos missions constitue l’un des intérêts du métier », souligne Hervé Schauer, fondateur de HSC, cabinet indépendant de conseil spécialisé en sécurité des systèmes d’information. Des aspects techniques aux caractéristiques fonctionnelles, les missions du consultant en sécurité englobent, en effet, toutes les facettes du système d’information. Elles concernent l’audit de sécurité, les tests d’intrusion externe et interne, l’audit d’architectures, de configurations et d’applications critiques, mais aussi les aspects fonctionnels, normatifs ou juridiques. L’intégration de systèmes fait aussi appel à ces consultants pour accompagner la spécification, la conception, la réalisation, ou le déploiement d’architectures de sécurité dans des environnements de haute sensibilité (économique, militaire, etc.)
Les consultants seniors effectuent des missions d’accompagnement global chez leurs clients. Ils analysent les grands enjeux de sécurité, proposent des réponses – techniques ou non –, et assistent les directions générale et informatique dans leur mise en œuvre. Ils peuvent également prendre la direction de grands projets de sécurité. Ils interviennent dans les phases d’avant-vente et encadrent les consultants juniors.

Un excellent programmeur avant tout

Les trois quarts des consultants de HSC sont de jeunes diplômés informaticiens bac+5, formés en interne. En effet, des études en sécurité ne sont pas indispensables : « Il faut d’abord être un excellent programmeur ou un très bon administrateur systèmes et réseaux, dit Hervé Schauer. Les spécificités de la sécurité des systèmes d’information, elles, sont simples à acquérir sur le terrain. »
Outre les qualités exigées de tout consultant (aptitudes à la communication et à la rédaction, maîtrise de la langue anglaise, etc.), ce cabinet de conseil souhaite que ses recrues aient un « esprit curieux ». D’autres employeurs, tel Euriware, privilégient la certification : « Nous recherchons des certifications comme CISSP (Certified Information System Security Professional) délivrée par l’ISC2 (International Information Systems Security Certification Consortium) en fonction des domaines d’activité de nos clients », précise Bernard Cardebat, responsable de l’offre sécurité de la SSII. Euriware emploie en France plus de 100 consultants en sécurité. Ces experts sont soit multicompétents, soit spécialisés – dans la sécurité des SGBD ou celle des infrastructures à très haute disponibilité, par exemple. Cette année, la SSII prévoit 20 embauches supplémentaires, réparties à parts égales entre jeunes diplômés et profils expérimentés.
Après quelques années d’expérience, les consultants sécurité peuvent évoluer vers le « risk management » ou devenir responsable de la sécurité des systèmes d’information. « Et ainsi, doubler parfois leur salaire », précise Hervé Schauer.