slurps sécurité - kick #18 - certifications, grandeur et décadence

Chaque semaine, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps.

Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.

slurps constat

Le monde de la sécurité se transforme peu à peu pour devenir aussi consommateur de certifications de ce qui peut être fait dans le réseau ou le domaine applicatif.

Lorsque je parle de certifications, je fais clairement la séparation entre ce qui touche les entreprises et ce qui touche les individus. C’est le second cas qui m’intéresse, quoique les deux soient fortement liés.

Je vois aujourd’hui se développer à marche forcée le marché des certifications des acteurs de la sécurité, tandis que les certifications globales et indépendantes qui avaient un caractère élitiste il y a quelques années sont désormais passées avec une telle augmentation des proportions qu’elles en sont dévalorisées.

Oui, nous avons besoin de plus en plus d’experts pour adresser les besoins, mais cela doit-il se faire en bradant certains outils de valeurs que nous avions et en les transformant en machine commerciale (voir le mail accompagnant ce post)?

slurps retour d’expérience

Pour avoir été un grand consommateur à la fois sur le réseau (4), la téléphonie (3) et la sécurité (4) depuis maintenant plus de dix ans, je me permettrai de dresser un petit bilan.

Mes certifications m’ont-elles réellement apportées une amélioration dans ma carrière ? Je ne pense pas. Peut être ont-elles permis de me distinguer à certains moments ou cela était nécessaire mais guère plus. Mais il n’est sans doute pas à exclure que si je n’avais pas profité de cette dynamique, j’aurais pu le regretter amèrement aujourd’hui, le jugement est donc peut être à nuancer…

slurps positif

Ce que j’en retiens, c’est qu’elles m’ont permis de me structurer dans certains apprentissages en comblant des lacunes et en donnant une vision globale. Cette dernière remarque est l’un des apports essentiels en ce qui me concerne, car il faut de nombreux projets pour réussir à la construire de façon pratique.

En ce sens, la valeur est là, et c’est peut-être celle qui est la plus importante, car elle apporte une compréhension des ensembles qui facilite l’approche des solutions par la suite. Par ailleurs, un CV ayant des certifications en adhérence avec une expérience me semble être la marque de quelqu’un qui travaille intelligemment et qui a la volonté de progresser. Cela donne confiance (oui, j’enfonce les portes ouvertes, mais elles ont toujours besoin de l’être).

Autre point positif, une certification assez répandue permet de construire un socle et un vocabulaire commun. La capacité à se comprendre est un facteur essentiel pour la bonne marche d’un projet. La sécurité étant bien un domaine qui peut se révéler quelque peu étanche, cette culture commune ouvre donc un cycle vertueux d’amélioration.

slurps nuance

Maintenant, il faut probablement rappeler que le monde des certifications se décompose en deux grands ensemble : celles qui restent théoriques et celles qui incluent des labs. Je me suis toujours arrêté à la partie théorique, mais les échanges que j’ai pu avoir avec des personnes ayant affronté la pratique m’inspirent un certain respect. On ne joue pas dans la même dimension.

L’apprentissage passe d’un bachotage d’un mois à six, douze ou dix huit mois de concentration totale sur un sujet avec une vie monastique pour réussir. L’investissement n’est pas le même, le résultat non plus.

En dehors des courageux attaquant l’élite des certifications, il me semble donc indiscutable que la certification ne fera pas l’expert. Dans de nombreux domaines, et peut être en sécurité plus qu’ailleurs, c’est l’individu et son approche personnelle à la fois rigoureuse et empirique qui feront qu’un projet (ou un audit) sera mené à bien avec une qualité optimum.

pour conclure

Les certifications oui, mais pas n’importe comment. Tout le monde peut bachoter un QCM (je le sais, je l’ai fait, j’avoue avoir connu les bosons sur le bout des doigts à une époque), mais cela ne transforme pas tous les certifiés en experts.

La vraie valeur d’une certification sera portée par le travail de l’individu pour creuser le sujet (et non pas le mémoriser simplement) et surtout le recouper avec une expérience pratique qui donnera alors une vraie valeur à l’ensemble.

Je rajouterai que les certifications qui imposent un apprentissage continu dans le temps avec un minimum annuel (soumis à audit) me semble digne d’intérêt. Modus operandi que j’oppose à un modèle « QCM oneshot tous les trois ans », sans forcément d’activité sur le sujet entre les deux passages …

Cédric

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.