« Un responsable de la sécurité doit avoir de bonnes compétences en communication »

David Christen occupe le poste de Head of Digital Health Engineering chez Gerresheimer. Dans ce cadre, il est responsable de la cybersécurité d’applications médicales sensibles en matière de santé et accompagne la mise en place d’une organisation DevOps. Dans notre interview, il explique pourquoi suivre la formation continue « Certified Information Systems Security Professional (CISSP) » l’a aidé dans ses tâches.

Auteur / Autrice Digicomp
Date 31.10.2023
Temps de lecture 13 Minutes

Les médicaments peuvent être pris de différentes manières. Par exemple par ingestion, inhalation, injection ou par voie cutanée. Et dès qu’une solution médicale numérique entre en jeu, c’est David Christen qui est la personne de référence.

David Christen a commencé sa carrière professionnelle à l’école polytechnique de Zurich. Après ses études en électrotechnique et en technologies de l’information, il fait de la recherche dans le domaine de la biomécanique. Il développe des modèles d’ordinateur qui aident à évaluer le risque de fracture osseuse de patientes et patients. Après son passage dans l’industrie, il se concentre sur le développement d’applications logicielles pour des produits médicaux.

Aujourd’hui, David Christen est Head of Digital Health Engineering chez Gerresheimer, une entreprise spécialisée dans la fabrication de conteneurs pour produits pharmaceutiques et d’appareils pour l’administration de médicaments. Il est responsable du développement et de l’exploitation d’applications numériques de santé et de médecine et dirige une équipe de 10 ingénieur.e.s en logiciel.

Digicomp : Nous vous félicitons pour l’obtention de votre certification CISSP !  Pourquoi avez-vous décidé de faire cette certification ?

David Christen : Je pense que les entreprises devront à l’avenir s’orienter encore davantage vers la sécurité. Étant donné que j’ai repris la responsabilité de la cybersécurité spécifique aux produits, c’était pour moi important d’avoir une vue d’ensemble globale de cette thématique et de comprendre dès le départ les exigences sécuritaires pesant sur une organisation. Grâce à ces connaissances, je suis capable de mettre en place les processus adéquats qui permettent d’assurer la sécurité de nos solutions médicales.

De plus, le CISSP était très intéressant pour moi étant donné qu’il fait le lien entre des aspects d’ingénierie logicielle et d’opérations informatiques. D’autant plus que dans le cadre du développement web, les frontières entre le développement et l’exploitation sont floues.

Il existe de nombreuses autres certifications en cybersécurité en plus du CISSP. Pourquoi avez-vous opté pour le CISSP plutôt que le CISM, par exemple ?

Je me suis orienté vers le CISSP parce qu’il s’agit d’une certification internationalement reconnue et très ancrée dans l’industrie. De plus, c’était important pour moi de choisir une certification qui offre un bon équilibre entre la transmission de connaissances techniques spécialisées et de connaissances en matière de gouvernance et de gestion, ce que fait le CISSP.

Le CISSP en bref

Orientation : Plutôt technique et opératif

Groupe cible : CISO/ISO (RSSI), CIOs (responsables informatiques), IT/Security Directors & Managers, Security Systems Engineers, Security Analysts, Security Auditors, Security Architects, Security Consultants, Network Architects

Organisation examinatrice : (ISC)2

Contenu (Body of Knowledge) : Le CISSP comprend 8 domaines de compétence

  • Security & Risk Management
  • Asset Security
  • Security Architecture & Engineering
  • Communication & Network Security
  • Identity and Access Management
  • Security Assessment & Testing
  • Security Operations
  • Software Development Security

Examen : 100 à 150 questions à choix multiple en anglais pour 3h d’examen ou jusqu’à 250 questions en français ou en allemand pour 6h d’examen

Conditions d’admission : 5 ans d’expérience professionnelle dans 2 des 8 domaines de compétence

Recertification : Preuve de 40 heures de formation continue par année

Formation : pas de certification préalable nécessaire, 3 spécialisations possibles en architecture, ingénierie ou gestion

Orientation : Plutôt technique et opératif

Groupe cible : CISO/ISO (RSSI), CIOs (responsables informatiques), IT/Security Directors & Managers, Security Systems Engineers, Security Analysts, Security Auditors, Security Architects, Security Consultants, Network Architects

Organisation examinatrice : (ISC)2

Contenu (Body of Knowledge) : Le CISSP comprend 8 domaines de compétence

  • Security & Risk Management
  • Asset Security
  • Security Architecture & Engineering
  • Communication & Network Security
  • Identity and Access Management
  • Security Assessment & Testing
  • Security Operations
  • Software Development Security

Examen : 100 à 150 questions à choix multiple en anglais pour 3h d’examen ou jusqu’à 250 questions en français ou en allemand pour 6h d’examen

Conditions d’admission : 5 ans d’expérience professionnelle dans 2 des 8 domaines de compétence

Recertification : Preuve de 40 heures de formation continue par année

Formation : pas de certification préalable nécessaire, 3 spécialisations possibles en architecture, ingénierie ou gestion

Chez Gerresheimer, vous avez par exemple développé un appareil d’inhalation connecté en Bluetooth avec une application mobile et web. Pourquoi la cybersécurité est-elle absolument centrale dans ce domaine d’application médical ?

La cybersécurité dans le domaine de la médecine est bien sûr toujours critique : les données et l’application sont très sensibles. Rien que l’information de l’existence d’un problème médical peut déjà être très sensible pour la personne concernée. Il s’agit de données de santé qui doivent être particulièrement protégée.

Donc cela nécessite la mise en œuvre des mesures de sécurité des plus élevées disponibles ?

En effet, la cyberprotection dans le domaine médical est encore un cran plus difficile que dans les autres domaines, étant donné que nous devons aussi toujours mettre en compétition sécurité et sûreté. Il y a différents processus établis avec des autorités de régulation qui s’assurent que les applications médicales sont « safe », c’est-à-dire sûres, sans dangers. Et ceux-ci sont partiellement en contradiction avec les exigences que nous avons du côté que la sécurité. Par exemple, du côté de la sécurité, nous voulons toujours pouvoir mettre à jour rapidement et facilement les logiciels sur le terrain, alors que du point de vue de la sûreté, il est essentiel de tester les changements et de s’assurer qu’ils n’entrainent pas de risques supplémentaires avant de les appliquer.

Pendant votre formation continue CISSP, vous vous êtes aussi intéressé de près à ce que la reprise de la responsabilité de la cybersécurité d’une entreprise signifiait. Qu’est-ce qui fait pour vous un bon responsable de la sécurité ?

Un responsable de la sécurité doit avoir de bonnes compétences en communication. Malgré tout, le thème de la sécurité est encore nouveau pour de nombreuses organisations, il est trop peu implanté et très souvent traité de manière encore trop floue. C’est pour cette raison que ce poste nécessite un grand travail d’information. Il est donc d’autant plus important pour les responsables de la sécurité d’acquérir le bagage de la communication et de pouvoir agir en conséquence dans l’organisation – c’est ce que le CISSP fait d’ailleurs très bien. De plus, des connaissances techniques approfondies sont bien entendu également essentielles. En effet, après les tâches de communication vient un travail systématique assez détaillé et fondamental pour garantir la cybersécurité.

Le CISSP est probablement aussi réputé parce que l’examen de certification est considéré comme extrêmement exigeant.

L’examen du CISSP et sa préparation sont effectivement plutôt exigeants, parce que les connaissances requises couvrent non seulement un très large spectre, mais vont également très en profondeur. Ça va de la gouvernance aux détails des algorithmes de cryptage en passant par la sécurité physique. C’est donc beaucoup de matière qu’il faut apprendre, mais aussi montrer pendant l’examen.

Qu’est-ce qui vous a aidé pendant la préparation à l’examen ?

Étant donné que les thèmes abordés sont aussi vastes que détaillés, suivre le cours de préparation à la certification CISSP a été un élément central de ma préparation. Cette formation m’a permis d’acquérir une bonne vue d’ensemble de toute la matière et grâce aux formateurs expérimentés, j’ai pu identifier ce qui était absolument pertinent et comment se préparer au mieux. Mais bien entendu, il est nécessaire de se plonger dans les livres après le cours pour continuer sa préparation.

Grâce à la certification CISSP, vous avez acquis une bonne vue d’ensemble du domaine de la cybersécurité. Avez-vous identifié des thèmes dans lesquels vous voudriez encore acquérir des connaissances spécialisées ?

Il y a deux domaines de formation continue qui m’intéressent. D’une part, je voudrais bien approfondir mes connaissances dans le domaine de la sécurité du cloud et d’autre part la gouvernance des aspects sécuritaires me semble également intéressante.

Merci beaucoup pour cet entretien et ces perspectives passionnantes.

 

Retrouvez plus d’information sur le CISSP dans nos articles de blog :

 

Nos formations en cybersécurité

La sécurité passe aussi par notre comportement. Sensibilisez-vous et vos collaborateurs aux menaces sécuritaires :

  • Sensibilisation des collaborateurs à la sécurité informatique (SITSEC)

Grâce à nos formations, adoptez la perspective d’un hacker pour renforcer la sécurité de l’infrastructure de votre entreprise :

  • Ethical Hacking – Fondamentaux (ETHHAK)
  • Certified Ethical Hacker v11 (CEHB)

Apprenez à défendre vos systèmes et protéger vos données :

  • CISSP – Certified Information Systems Security Professional (CSP)
  • CISM – Certified Information Security manager (CS1)
  • CISA – Certified Information Systems Auditor (CAM)
  • Public Key Infrastructures (PKI)
  • Sécurité de l’IoT dans l’industrie, l’entreprise et le privé (IOTSEC)
  • ISO/IEC 27005 Risk Manager (HSR)
  • ISO/IEC 27001 Foundation (ISF)
  • ISO/IEC 27001:2022 Transition (HST)
  • ISO/IEC 27001 Lead Auditor (HSI)
  • ISO/IEC 27001 Lead Implementer (HSL)
  • RGPD/GDPR – Certified Data Protection Officer (CDPO)
  • RGPD/GDPR – Foundation (GDPRF)

 

La sécurité passe aussi par notre comportement. Sensibilisez-vous et vos collaborateurs aux menaces sécuritaires :

  • Sensibilisation des collaborateurs à la sécurité informatique (SITSEC)

Grâce à nos formations, adoptez la perspective d’un hacker pour renforcer la sécurité de l’infrastructure de votre entreprise :

  • Ethical Hacking – Fondamentaux (ETHHAK)
  • Certified Ethical Hacker v11 (CEHB)

Apprenez à défendre vos systèmes et protéger vos données :

  • CISSP – Certified Information Systems Security Professional (CSP)
  • CISM – Certified Information Security manager (CS1)
  • CISA – Certified Information Systems Auditor (CAM)
  • Public Key Infrastructures (PKI)
  • Sécurité de l’IoT dans l’industrie, l’entreprise et le privé (IOTSEC)
  • ISO/IEC 27005 Risk Manager (HSR)
  • ISO/IEC 27001 Foundation (ISF)
  • ISO/IEC 27001:2022 Transition (HST)
  • ISO/IEC 27001 Lead Auditor (HSI)
  • ISO/IEC 27001 Lead Implementer (HSL)
  • RGPD/GDPR – Certified Data Protection Officer (CDPO)
  • RGPD/GDPR – Foundation (GDPRF)

 


Auteur / Autrice

Digicomp