L’Université de Luxembourg a mis en place un master en Management de la Sécurité des Systèmes d’Information, en collaboration avec les professionnels du secteur de la sécurité de l’information (par l’intermédiaire du Clussil), les chercheurs scientifiques et le Centre de Recherche Public Henri Tudor. Grâce à une collaboration étroite entre ces différentes instances, « la formation est en mesure de s’adapter régulièrement à l’évolution rapide de la problématique de la sécurité de l’information », explique Jean-Claude Asselborn, Directeur des études du master.

Participez à la Session d’Information: Master en Management de la Sécurité des Systèmes d’Information – plus d’infos sur ce lien
Le Master sur le site de l’Université de Luxembourg

Claude Pahaut, RSSI au Crédit Agricole Luxembourg

Quelle est votre avis sur la formation?
“Cette formation est réellement enrichissante, non seulement pour les nombreuses connaissances qu’elle vous permet d’acquérir, mais également pour rencontrer des personnes qui ont les mêmes préoccupations que les vôtres, dans un domaine où l’échange d’information n’est pas toujours évident.”

Qu’est-ce que cela vous a apporté ?
“La formation m’a permis d’élargir mes connaissances mais également d’avoir une idée plus précise sur ce que devrait être idéalement le job d’un RSSI. Les cours sont éclectiques, allant du très technique jusqu’au droit, en passant par des notions de comptabilité. Au fil de l’eau, on se rend compte que tous, sans exception, ont de l’importance dans la mission quotidienne du RSSI. Et même si vous ne pouvez pas tout connaître, cette formation vous permet de savoir où chercher ou retrouver l’information nécessaire.”

Quel était le sujet de votre mémoire?
“Le sujet de mon mémoire était “la classification de l’Information”. L’objectif principal d’un RSSI est de réduire les risques de sécurité à un niveau acceptable par l’entreprise. Pour arriver à ce résultat, il est nécessaire de protéger les informations critiques de l’organisation, à condition de savoir quelles sont ces informations critiques, qui décide de leur niveau de criticité, qui décide des mesures de protection à mettre en place et quelles sont les règles à respecter. Les réponses à ces questions peuvent être apportées par une Classification de l’Information. En revanche, l’absence de classification de l’information peut entraîner une mauvaise protection des données suite à un manque de concertation dans la définition et l’utilisation de celles-ci, ainsi que des coûts importants liés à la sous-protection ou surprotection des informations. ”

“Mieux vaut prévenir que guérir! La mise en place des mesures préventives et détectives nécessaires pour assurer la protection des données sensibles est plus efficace et moins coûteuse que la réparation des dégâts, une fois le mal fait. Il ne sert à rien d’implanter les meilleures mesures techniques si le cadre organisationnel est mal défini et non maintenu. ”

Bruno Clicque, RSSI au CEPS-instead, Centre d’Etudes de Populations, de Pauvreté et de Politiques Socio-Economiques

Pourquoi avoir choisi de suivre le Master?
Au cours des dernières années, le CEPS/INSTEAD a vu une augmentation importante des bases de données scientifiques nationales et internationales comparatives qu’il est amené à traiter. Dans mon travail, la partie de gestion de l’information prend de plus en plus d’ampleur et la formation que délivre le master devait m’apporter les outils nécessaires à mieux appréhender une mise en œuvre d’un système de management de la sécurité de l’information.

Qu’est-ce que cela vous a apporté selon vous?
“Certains cours comme les mesures de sécurité ou la protection des données à caractère personnel ont été très important pour moi et m’on permis d’analyser certain aspects de mon travail quotidien avec un autre regard et d’aller plus loin dans
l’implémentation de mesures internes.”

Pourquoi une telle formation est-elle importante aujourd’hui?
“Elle permet d’avoir accès à des spécialistes du domaine en très peu de temps.”

Quel était le sujet de votre mémoire? Pourquoi l’avoir choisi?
“La mise en œuvre d’un Système de Management de la Sécurité de l’Information en conformité avec la norme ISO/CEI 27001. J’ai choisi ce mémoire afin de mettre en application cette norme dans mon entreprise, en effet notre centre héberge une
quantité importante de données, la norme nous permettra d’avoir un label international de notre compétence à gérer nos données.”

Alexandre Rosevegue, Analyste sécurité chez BNP Paribas Luxembourg

Pourquoi avoir choisi de suivre le master?
“La sécurité de l’information nécessite de multiples compétences comme la maîtrise des contraintes juridiques et la connaissance du contexte sectoriel de l’entreprise. Bien avant les événements à l’étranger qui ont fait la une des journaux, j’étais convaincu que la sécurité de l’information allait devenir l’un des atouts stratégiques de la place.”

“Une simple certification obtenue en quelques jours ne suffirait pas à maîtriser l’ensemble des techniques de gestion de la sécurité. J’ai donc cherché une formation plus complète qui pourrait également me donner une valeur ajouté à mon niveau d’étude.”

Quelle est votre avis sur la formation?
“Cette formation très complète est donnée par des professeurs qui exercent presque tous un autre métier dans la vie active. La formation est passionnante et proche de la réalité. En revanche, il ne faut pas cacher qu’elle exige d’y consacrer du temps. Il est important d’en discuter avec les anciens élèves pour se faire une idée. De plus il faut rester ouvert aux disciplines que l’on a pas forcément l’habitude de pratiquer. Après chaque module, les professeurs utilisent l’avis des élèves pour améliorer le contenu de leurs cours. C’est un gage de qualité qui montre que cette formation va continuer à prendre de la valeur.”

Qu’est-ce que cela vous a apporté selon vous?
“Cette formation m’a apporté les techniques de management de la sécurité qu’il faut connaître sous peine d’aller à contre sens des intérêts de son organisation. Elle me permet maintenant de recommander les bonnes mesures de protection organisationnelle ou technique et me permet de démontrer leur efficacité. Cette formation offre également bien d’autres avantages en alimentant un réseau d’experts en management de la sécurité. Nous échangeons régulièrement nos points de vue sur les bonnes pratiques du marché. C’est un avantage par rapport à ceux qui ne sont pas intégré à ce type de réseau.”

Pourquoi une telle formation est-elle importante aujourd’hui?
“Cette formation contribue à maintenir un haut niveau de confiance auprès du gouvernement et des dirigeants d’entreprises. Elle va devenir la référence pour les organisations qui ont intérêt à protéger leurs informations. Le secret médical, les secrets de fabrication, les données personnelles et bien sûr le secret bancaire sont concernés. Je pense qu’elle offre également un avantage concurrentiel sur le marché de l’emploi.”

Quel était le sujet de votre mémoire? Pourquoi l’avoir choisi?
“J’ai choisi de faire mon mémoire sur le nomadisme en entreprise parce qu’il me permettait d’appliquer un grand nombre de techniques de management de la sécurité concernant des données particulièrement exposées à un environnement hostile. D’autre part, même en période de crise le nombre d’utilisateurs mobiles augmente de façon vertigineuse (ventes en progression : RIM +96%, Iphone +245%, source business mobile.fr). Il fallait donc proposer à ma direction une gestion spécifique de la sécurité des informations pour anticiper cette révolution.”

Philippe Stassin, Information Security Consultant chez Verizon Business Security Solutions

Pourquoi avoir choisi de suivre le master ?
“Le Master MSSI était la suite logique de ma démarche en sécurité de l’information ; avec un graduat en Informatique Industrielle en poche depuis 1987, j’avais développé mes compétences en sécurité au fil des ans et des missions de consultance et, j’avais cumulé les certifications les plus représentatives du secteur, ne disposant pas de formation diplômante à proximité immédiate. Ainsi, le Master MSSI à Luxembourg était pour moi une opportunité extraordinaire d’acquérir un diplôme universitaire en ayant peu de temps disponible. Je suis en permanence en déplacement à l’étranger et il était primordial de m’imposer un minimum de contraintes quant aux horaires des cours. Ceux-ci sont concentrés sur deux journées entières consécutives, le vendredi et le samedi, et ce, deux fois par mois.
Un autre élément déterminant a été la qualité et la diversité des intervenants qui, pour la plupart, avait acquis une solide expérience et notoriété sur la place dans des secteurs d’activité très diversifiés tels que l’industrie, la finance, le légal, la consultance, etc.”

Quelle est votre avis sur la formation ?
“La formation couvre un éventail très large de matières et permet de préparer des généralistes au métier du Management de la sécurité. Elle devrait idéalement pouvoir être complétée par des modules de type courts et spécialisés dans les domaines de l’ IT Gouvernance et de l’audit.”

Qu’est-ce que cela vous a apporté selon vous ?
“Mon plus grand intérêt dans la formation concernait les matières relatives à la sécurité des données à caractère personnel et la législation afférente. Cette matière à été parfaitement couverte par plusieurs intervenants dont Monsieur Pierre Weimerskirch, membre effectif de la Commission Nationale et Maitre Cyril Pierre-Beausse du Cabinet Allen & Overy.”

Pourquoi une telle formation est-elle importante aujourd’hui ?
“Cette formation est tout simplement stratégique dans le contexte particulier des affaires au Luxembourg où le développement des services basés sur les technologies de l’information revêt une importance toujours croissante. Dans ce contexte, il est primordial de garantir aux individus et aux entreprises que les traitements de leurs données sont effectués dans le respect de la vie privée et que cette problématique est prise très au sérieux par tous les acteurs de la place.”

Quel était le sujet de votre mémoire ? Pourquoi l’avoir choisi ?
“Mon mémoire consistait en une Proposition de Référentiel de Sécurité des Données à Caractère Personnel.”

Philippe Jeanbaptiste, RSSI au Crédit Agricole Luxembourg Private Bank

Pourquoi avoir choisi de suivre le master?
Il y avait plusieurs raisons à cela. Tou d’abord, nous vivons dans une société où tout va tellement vite qu’il faut de temps à autre se mettre à jour. De plus, tout est lié: technique, législation, procédures, gouvernance, … Où trouver toutes ces mises à jour sinon dans un environnement universitaire ? Ensuite, mes activités extra-professionnelles (CLUSSIL, cours, …) font que je suis en contact avec pas mal de personnes d’horizons différents: il faut donc que je sois capable de dialoguer et échanger. Encore une fois, la richesse du programme Master MSSI en est le garant.
De plus, professionnellement je suis RSSI. Mais qu’est-ce qu’un RSSI ? Comme beaucoup d’autres métiers à Luxembourg, celui-ci s’est fait “sur le tas”, ce qui est très bien. Mais à certains moments, on a besoin d’un environnement défini, savoir où l’on va, où l’on doit aller. Enfin, Luxembourg est petit et tout le monde connait tout le monde. Il est donc agréable de se retrouver entre amis mais également entre passionnés. Et pourquoi ne pas être passionné par la matière de son métier ?”

Quelle est votre avis sur la formation?
“Comme ce qui précède tend à démontrer, la formation rencontre beaucoup de domaines inhérents à la sécurité de l’information qu’il ne faut pas confondre avec la sécurité informatique qui n’en est qu’une composante. En effet, l’informatique pure ne traite pas de législation concernant les données, de règlementation des contrôles, de normes et standards de sécurité, de project management, de comptabilité (et oui…), d’algoritmes d’encryption, d’analyse de risque et d’autres domaines qui sont le territoire quotidien d’un RSSI. Et cependant, ce RSSI doit également savoir ce qu’est un réseau ou un protocole https… C’est tout cela que la formation du Master m’a apporté.”

“J’ai fait partie de la première promotion et, bien sûr, il y a des améliorations à apporter ainsi que quelques tirs à corriger. Et c’est ce qui est en train de se faire de par la volonté de l’Université et du Professeur Asselborn de collaborer avec diverses instances professionnelles dans un but d’amélioration constante de cette formation.”

Qu’est-ce que cela vous a apporté selon vous?
“Je pense que ce qui précède répond à la question et il faut également y ajouter l’autorité certaine que vous confère un tel titre dans votre entreprise. Car en effet, pouvoir participer à des réunions et donner votre avis sur telle et telle matière ainsi que trouver des solutions multi-disciplinaires vous donne une écoute attentive.
Mais il y a plus: sur le plan humain, la sensation d’appartenir à un monde spécifique, une élite dans son domaine. De plus une certaine reconnaissance puisque depuis l’obtention de ce Master j’ai déja été invité à prendre la parole dans diverses instances nationnales et internationales. Je pense que c’est également très important dans le déroulement d’une carrière professionnelle.”

Pourquoi une telle formation est-elle importante aujourd’hui?
“Comme je l’ai déja dit, la sécurité de l’information est un domaine englobant des domaines aussi différent que l’informatique, le législatif et autres disciplines variées. Ou voulez-vous bénéficier d’une telle formation sinon dans une université? Il y a bien sur des certifications (je suis moi-même CISSP) mais, par définition, une certification est limitée à un domaine relativement réduit. Le Luxembourg ne sera plus longtemps le coffre fort de l’Europe. Mais il est bien parti pour devenir le coffre fort de l’information européenne, ce qui signifie l’élaboration d’une forteresse virtuelle, garante de l’information que l’on y dépose: garantie technique mais également législative.”

Quel était le sujet de votre mémoire? Pourquoi l’avoir choisi?
“”La criminalité en entreprise: aspects techniques et légaux de la preuve” est un titre qui résume bien ce que j’ai développé ici avant. La problématique abordée est la réponse de notre société à une utilisation criminelle des nouvelles technologies de l’information. Le problème n’est pas neuf : que ce soit Bonnie et Clyde utilisant la voiture à des fins de cambriolage ou la scission de l’atome utilisée pour construire une bombe, toutes les nouvelles technologies sont un jour détournées de leur but premier. Les entreprises se trouvent donc confrontées à cette nouvelle forme de criminalité. Et comme dans toute affaire criminelle, il faut, pour prouver le délit, établir les faits et les comparer à des textes de loi : en effet, personne ne peut être poursuivi et puni si les éléments du délit ne sont pas définis par la loi. Curieuse situation dans laquelle se retrouvent technologies de pointe et lois poussiéreuses (certaines datant du 19e siècle)… ”

“Dans le cadre de mon métier –la sécurité de l’information- cette problématique est omniprésente car, comme je le répéterai, ce n’est pas parce que la technologie permet tout que nous pouvons, nous, tout nous permettre. Cette préoccupation est renforcée du fait que les métiers dans les entreprises ont tendance à se spécialiser jusqu’à en devenir très pointus. Dès lors, peut-on demander à un administrateur de réseau informatique de connaître la Code Pénal ainsi que les diverses lois régulièrement votées ou amendées ? Je ne le pense pas.”

“C’est ce qui m’a amené à faire le choix de ce sujet de mémoire : la personne en charge de la sécurité de l’information – donnons-lui le nom de RSSI – a, dans l’exercice de son métier, une obligation de moyens. Il lui faut donc connaître ces moyens. J’espère donc que ce travail se révèlera être utile pour les praticiens.
Mais ce sujet débouche sur un constat légèrement pessimiste: ce n’est pas parce que la technique permet tout que nous pouvons tout nous permettre. D’un côté les lois, de l’autre les fraudeurs; entre eux la technique à utiliser de manière “ad hoc”.
De plus, les entreprises sont généralement dépourvues devant la découverte d’un cas de fraude: elles considèrent trop souvent que “de toutes façons il n’y a rien à faire” parce qu’elles sont ignorantes de la législations en la matière et ne pensent pas que la justice possèdent les armes nécessaires pour punir cette fraude. Et qu’elle le fait….”