Bureau d’étude Sûreté, Expert Sûreté ou Architecte ?
L’origine du métier d’architecte
Dans « architecte en systèmes d’informations de sûreté » je retiens tout d’abord la notion d’architecte. C’est une notion qui nous vient du monde du bâtiment, son rôle est de concevoir les bâtiments et de réaliser le suivi de sa construction. L’architecte veille au bon respect des règles de l’art et des normes.
Cette notion s’est donc tout naturellement étendue aux systèmes d’informations classiques « bureautique » voire Cloud mais curieusement cette notion est peu présente dans le monde de la sûreté.
Cependant, entre la multiplication des contraintes réglementaires et recommandations (RGPD, LPM, ANSSI, APSAD, …) et la prédominance de l’informatique dans notre métier il est plus que nécessaire de pouvoir faire appel à un professionnel reconnu dans le domaine.
Qu’apporte l’architecte en systèmes d’informations de sûreté à son client ?
L’objectif premier de l’architecte en systèmes d’informations de sûreté est de garantir à son client que le système défini et installé sera conforme aux règles de l’art, à la réglementation et aux bonnes pratiques de cybersécurité. Il pourra, fort de ses connaissances, l’optimiser, le rendre plus efficace, plus pertinent. Enfin la sécurité devra être prise en compte dès la conception pour éviter d’accumuler des couches de sécurité pour rattraper des éventuelles vulnérabilités.
Qui peut jouer ce rôle ?
Jusqu’alors les ingénieurs avant-ventes des distributeurs ou constructeurs – dont j’ai fait partie – jouaient plus ou moins ce rôle grâce à leur « devoir de conseil ». Néanmoins la partialité, ou tout simplement le manque de maitrise de l’ensemble du scope par ces profils ne permettent pas d’apporter une réponse complète à cette problématique.
Les bureaux d’étude ? Les experts sûreté ? Oui ou non selon la spécialité de chacun !
Finalement, le terme est beaucoup trop flou, entre ceux qui sont parfaits pour réaliser les plans courant fort, courant faible d’un bâtiment public, ceux qui sont spécialisés sur une technologie ou sur un logiciel, les anciens des forces spéciales et finalement ceux qui additionnent les propositions des fabricants. Attention l’idée n’est pas d’émettre un jugement à l’encontre de ces professionnels mais plutôt de démontrer que le terme est trop imprécis. C’est pourquoi le terme architecte en SI de sureté me semble plus adapté à la mission que j’ai décrite précédemment.
Quelles compétences ?
L’architecte étant un homme-orchestre il se doit d’être en mesure de dialoguer avec un ensemble de spécialistes et de synthétiser les expertises au profit de son client. Ainsi les compétences suivantes me semblent indispensables :
Les compétences humaines dans un premier temps : comprendre le besoin et savoir le retranscrire. Savoir prendre du recul et être méthodique.
Les compétences techniques pointues ensuite, connaissances des technologies, des logiciel et systèmes largement diffusés. Mais également des connaissances informatiques : infrastructure, OS, virtualisation et bien évidemment en cybersécurité.
Enfin des connaissances réglementaires, différentes en fonction du client et du projet : RGS, LPM, IGI1300, PCI DSS, APSAD R81, R82, D83, D32, Recommandations ANSSI « Recommandations sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection », guide de bonne pratique, etc
Mais ce triptyque ne serait pas complet sans la veille technologique que l’architecte doit mettre en place constamment pour se remettre en cause et sans cesse évoluer dans sa pratique.