Formations certifiantes : intérêt ou leurre
"Il est cependant un point où tout le monde s'entend, s'accorde déplorablement, disons-le : l'enseignement a pour objectif réel le diplôme ." Voici ce que disait Paul Valéry, en 1935, au sujet du baccalauréat. En effet, selon lui, le problème avec l'obsession des diplômes, c’est que le but de la formation devient son obtention, et non plus la formation de l’esprit.
Dans le domaine de la sécurité de l'information, on voit fleurir les formations certifiantes : ISO 27001 Lead Auditor, Risk Manager ISO 27005, CISSP ... Mais est-ce vraiment une bonne chose ?
Formation certifiante : les pièges
Le premier piège réside dans le temps perdu dans la formation à l'apprentissage du vocabulaire de la norme et du référentiel (et souvent d'ailleurs des pièges des traductions entre les versions originales en anglais et leur traduction en français) dans l'objectif de passage de l'examen.
Or l'objectif final de l'examen est difficilement compatible avec une formation de fond, puisque l’acquisition du diplôme suppose l’usage de toute une série d’expédients ou, si vous préférez, de “trucs et astuces”, contraires à une véritable réflexion.
“Je n’hésite jamais à le déclarer, le diplôme est l’ennemi mortel de la culture. Plus les diplômes ont pris d’importance dans la vie, plus le rendement de l’enseignement a été faible.” disait encore Paul Valéry.
Formation certifiante : les intérêts
L'intérêt principal, bien compris par les organismes de formation, réside dans l'obtention du diplôme. Ainsi dans le domaine de la sécurité de l'information, mais comme dans d'autres domaines des Systèmes d'Information, il est souvent nécessaire de montrer dans les CV que nous disposons des diplômes ad'hoc.
On peut comprendre que pour des formations techniques (formation à un firewall, à un système d'exploitation, ...) l'obtention du certificat valide les compétences acquises et présume que la personne est à même de mettre en oeuvre cet objet, fonction ...
Malheureusement pour des sujets aussi vastes que la gestion des risques, la mise en oeuvre d'un SMSI, la sécurité de l'information ... cette notion de certication en quelques jours semble un leurre et fait perdre beaucoup trop de temps à la préparation à l'examen.
D'ailleurs, il est, paraît-il, assez courant que des experts de ces domaines (experts au sens maîtrise du sujet d'un point de vue théorique et pratique) obtiennent des notes plus faibles à ces examens (qui privilègient une maîtrise superficielle du sujet) que des novices du domaine.