Mission sécurité pour les DSI

le 31/05/2012 L'AGEFI Hebdo

Face à la montée des risques opérationnels, les informaticiens concentrent toute leur attention sur la protection des systèmes.

Mission sécurité pour les DSI

Il y a du mouvement dans les directions des systèmes d’information (DSI). Après un bond de plus de 60 % de leurs effectifs entre 2004 et 2010, elles en demandent plus à leurs 19.110 informaticiens qui représentent désormais 9,4 % de la population bancaire totale. « Sous le poids d’enjeux de plus en plus lourds, et dans une période bousculée, les DSI des banques sont entrées dans une phase de transformations profondes et très intéressantes, explique Pascal Dumesnil, directeur adjoint de la transformation, des processus et des systèmes d’information chez Société Générale. Toutes ces mutations ont ouvert le champ de nos interventions, et ont en même temps accru l’exigence de professionnalisme, de qualité et d’efficacité. » Il faut dire que la sécurité est devenue la première des priorités pour les DSI, comme le confirme Pascal Dumesnil : « Dans l’univers bancaire, la sécurité a toujours été très importante. Mais avec la crise, l’essor d’internet, la complexité croissante des produits et la multiplication des échanges entre les établissements, la protection contre tous les types de menaces est désormais essentielle, avec notamment des risques opérationnels de plus en plus prégnants. » Une préoccupation qui a d’ailleurs conduit Natixis à constituer une équipe dédiée à la sécurité opérationnelle.

Mode projets

« Le volet fonctionnel a toujours bien été défini au sein de la banque, avec des responsables de sécurité du SI (système d’information, NDLR) qui ont en charge la définition, le contrôle et la mise en œuvre de la stratégie, indique Hervé Allain, responsable sécurité informatique opérationnelle de Natixis. En revanche, les activités opérationnelles de construction et d’exploitation étaient diluées dans nos différentes équipes. La décision prise en septembre dernier de regrouper en une seule entité tous les collaborateurs chargés de mettre en œuvre la sécurité opérationnelle n’est donc pas anodine. » Composée de trente ingénieurs, ces experts en administration systèmes, réseaux ou architectes ont tous initié des démarches personnelles pour se former à la sécurité à travers des formations ou des certifications. A présent, l’équipe met en œuvre et exploite le catalogue des solutions de sécurité de la banque. « Nous intégrons des programmes liés à la gestion d’identité afin de contrôler les habilitations des opérateurs de la banque, précise Hervé Allain. Nous mettons aussi en œuvre les solutions de lutte contre la fuite d’informations, la crainte de voir les données personnelles ou bancaires de nos clients piratées devenant de plus en plus forte avec l’essor d’internet et la mobilité. Dans le même ordre d’idées, nous travaillons beaucoup sur la certification et le cryptage des échanges en interne et avec nos partenaires extérieurs. Enfin, nous devons garantir la continuité de l’activité d’un point de vue opérationnel, via un plan de secours informatique qui doit permettre à la banque de faire face à n’importe quel sinistre. »

Les transformations que vivent les DSI ont également eu pour conséquence de mettre en lumière la nécessité de travailler en « mode projets ». On a ainsi vu apparaître des métiers qui n’existaient pas comme le « project management office », poste occupé par des ingénieurs qui ont commencé par du développement informatique ou de l’analyse, avant de s’orienter vers le pilotage de projets. Cette évolution a aussi fait le bonheur des business analysts, autre métier en plein développement. « Le rôle du ‘business analyst’ est d’accompagner les équipes du marketing et des produits lorsque celles-ci souhaitent faire évoluer un produit, le site internet, l’application mobile ou le CRM (‘customer relationship management’, NDLR), explique Nicolas Serre, 34 ans, manager business analyst chez ING Direct. Après l’expression des besoins du métier, il définit les spécifications fonctionnelles détaillées et récapitule toutes les changements à apporter au système d’information. Et lorsque le cahier des charges est validé, le ‘business analyst’ enfile le costume de chef de projet pour s’assurer que la demande est bien traitée tout au long de la chaîne. C’est ainsi lui qui gère les alertes, l’accompagnement des équipes de développement et de tests, ainsi que le support après la mise en production. » L’équipe menée par Nicolas Serre comprend aujourd’hui douze business analysts, majoritairement issus d’écoles d’ingénieurs ou de master 2 en mathématiques, physique ou informatique.

« Nous recrutons des candidats qui ont entre trois et cinq ans d’expérience dans le domaine de l’assistance à la maîtrise d’ouvrage au sein de sociétés de services informatiques ou chez nos confrères, confie Malik Elgoni, vice-président IT (‘information technology’) & operations d’ING Direct. Nous cherchons des personnes ayant une forte envie de travailler avec les équipes métier qui sont d’ailleurs impliquées dans les recrutements. Car pour réussir dans cette fonction, il faut un savant mélange de qualités personnelles et de compétences techniques et fonctionnelles afin de pouvoir apporter la valeur ajoutée attendue par les opérationnels. » « C’est ce qui fait tout l’intérêt de ce poste, complète Nicolas Serre. Il y a une partie très ‘business’ dans le conseil et l’accompagnement, et en même temps un volet très technique. Car même si mon équipe et moi-même ne sommes pas des experts ultra-chevronnés, nos affinités techniques et relationnelles nous permettent de dialoguer à la fois avec le métier et les équipes informatiques. » Ces interactions toujours plus nombreuses avec les clients internes et les prestataires externes ont d’ailleurs incité certaines DSI à créer des postes de responsables de la relation client. « Pour tout ce qui est développements et tests, nous travaillons avec des partenaires en mode ‘tierce maintenance applicative’ (la maintenance appliquée à un logiciel assurée par un prestataire externe), explique Malik Elgoni. Nous avons donc besoin de collaborateurs pour piloter ces prestations, s’assurer que les budgets, le planning et la qualité sont respectés. Pour ce faire, nous recrutons essentiellement des ingénieurs ayant une expérience forte en développement, et qui ont quitté cet univers pour évoluer vers un rôle de management et de pilotage. »

Métiers en tension

Les récentes mutations ont pour effet de placer certains postes en tension. Il est par exemple très difficile de dénicher de bons architectes des systèmes d’information ou des experts en réseaux sociaux et technologies liées à la mobilité. « Nous avons aussi beaucoup de mal à trouver de très bons exploitants informatiques, complète Marc Zuili, directeur des systèmes d’information de Deloitte. Internet nous a en effet habitués à avoir un fonctionnement 24 heures sur 24, 365 jours par an, et nos utilisateurs ne comprendraient pas que notre informatique n’applique pas les mêmes standards de qualité. Ce qui nous oblige à recruter des exploitants, des informaticiens capables d’appliquer et de suivre les procédures, mais aussi de gérer la conduite du changement afin de limiter les impacts pour les utilisateurs. »

Pour attirer des candidats sur tous ces métiers émergents ou en tension, les recruteurs ne pratiquent pas de surenchère salariale, comme le constate Patricia Bravin, directrice de FMT Consulting, cabinet de recrutement spécialisé en finance de marchés et informatique financière : « Les rémunérations se situent dans le marché, et il n’y a pas de prime particulière pour les collaborateurs des DSI par rapport à la moyenne des rémunérations dans les autres métiers au sein des banques. Un junior qui possède deux ou trois ans d’expérience sera rémunéré entre 40.000 et 45.000 euros annuels, plus les primes. Les profils plus seniors peuvent espérer des rémunérations qui oscillent entre 80.000 et 100.000 euros, plus les primes, en fonction des années d’expérience. » Une modération salariale due aussi aux contraintes d’optimisation, voire de réductions de coûts qui s’imposent aujourd’hui aux DSI comme aux autres grandes fonctions.

A lire aussi