Vis ma vie de (jeune) RSSI
D'humeur journalistique aujourd'hui, je vous propose pour mon premier article sur LinkedIn de vous présenter le métier que j'exerce actuellement. Un métier on ne peut plus actuel et à l'acronyme barbare: celui de RSSI. En plus d'être un retour d'expérience, l'article est aussi une réflexion personnelle sur cette profession, d'actualité certes mais encore trop mal comprise aujourd'hui.
Dessine-moi un RSSI
Le RSSI (ou Responsable de la Sécurité des Système(s) d'Information) est avant tout le "Monsieur Sécurité" de l'entreprise : il s'assure que les biens sensibles numériques, matériels et documentaires de l'entreprise sont protégés, le tout dans le respect de la réglementation et des politiques internes.
D'emblée, quelques clarifications sur cette définition maison s'imposent :
- En aucun cas le RSSI d'un organisme est le seul à assurer cet objectif ! C'est un travail d'équipe; je reviendrai plus loin sur ce point (très) important.
- Le RSSI est aussi évidemment une femme : moins de 10% sont des femmes, à l'image de ma prédécesseuse dans ma société actuelle AriadNEXT !
Malheureusement, les RSSI restent encore trop prisonniers de leur cliché : celui d'une personne esseulée, souvent quadragénaire voire + (80% des RSSI ont plus de 40 ans selon les statistiques récentes) et presque aigrie. En effet, il n'est pas rare de les voir refuser "par défaut" toute demande du Métier, de l'ouverture de flux à l'utilisation de logiciels qui ne sont pas sur étagère, en passant par le partage de fichiers entre membres d'une même équipe projet. C'est en tout cas le constat que j'ai pu faire au cours de mes 5 années de consultant, en côtoyant quelques RSSI de groupes et entités d'envergures et d'activités très différentes.
Un spécimen en voie d'évolution
Ce portrait peu flatteur du RSSI mal-aimé condamné à manger seul à la cantine doit et va changer. Plutôt qu'un frein, qu'il représente majoritairement à l'heure actuelle, il doit plutôt devenir un assistant d'aide à la conduite : anticiper et avertir des dangers, intervenir en cas de problème et...régulièrement se mettre à jour, à l'image des systèmes de navigation de nos automobiles !
Plutôt qu'un frein, le RSSI doit plutôt devenir un assistant d'aide à la conduite : anticiper et avertir des dangers, intervenir en cas de problème et...régulièrement se mettre à jour :-)
Dans un monde idéal, ces quelques actions sont exécutées sans accroc et notre Responsable Sécurité dort sur ses deux oreilles. Dans la pratique, c'est pour chacune de ces actions une lutte qui s'engage souvent pour lui :
- Une lutte pour avoir de la visibilité sur la stratégie de la société et les événements qui s'y produisent : nouvelles activités, recours à de nouveaux sous-traitants, déploiement de nouvelles solutions technologiques, etc.
- Une lutte pour avoir une oreille attentive aux problèmes qu'il a constatés. Il cherche souvent ce que l'on appelle un "sponsor" pour relayer son message et appuyer ses propos
- Une lutte pour participer à la prise de décision
- Une lutte pour arriver à suivre ce qui se passe également à "l'extérieur" de la société : l'évolution des technologies, de la menace, du cadre réglementaire, etc.
C'est précisément sur ce dernier point que je souhaiterais insister : tout bouge très vite. Car en (cyber)sécurité, rien n'est vraiment acquis. Les technologies évoluent, les usages changent, les motivations des attaquants aussi...le RSSI ne peut donc tout suivre tout seul.
La solution est évidente : s'entourer !
La cybersécurité offre justement une pléthore de métiers sur lesquels notre chef d'orchestre peut s'appuyer pour piloter efficacement la sécurité au sein de son organisme : analyste de la menace, architecte sécurité, auditeur sécurité, juriste spécialisé, expert en gestion de crise... Dans son récent panorama des métiers de la sécurité du numérique, l'ANSSI distingue précisément 5 grandes filières dans lesquelles ces profils peuvent se retrouver :
- Pilotage, Organisation et Gestion des risques
- Management de projets et cycle de vie
- Opération et Maintien en condition opérationnelle
- Support et Gestion des incidents
- Conseil, Audit et Expertise
Vous l'aurez compris : la cybersécurité ce n'est pas un métier mais des métiers spécifiques. Et c'est encore moins une compétence annexe que l'on acquière à l'issue d'une sensibilisation ou après la lecture de quelques publications sur le sujet.
"Le bon RSSI, c'est quelqu'un qui..."
Contrairement aux Inconnus, la différence entre le bon et le mauvais RSSI est plutôt claire. Loin de rédiger ses politiques et procédures dans sa tour d'ivoire et d'en descendre uniquement pour venir distribuer quelques coups de bâton, le bon RSSI est rarement assis sur sa chaise. Car c'est avant tout quelqu'un qui doit aller à la rencontre des Métiers et des utilisateurs de son/ses SI.
La connaissance parfaite du SI de l'entreprise et des métiers qui la compose est en effet absolument primordiale. Il s'agit même à mon sens de la première action qu'un RSSI doit mener à sa prise de poste : comprendre en détails le fonctionnement et les services offerts par son entreprise pour à terme prendre les bonnes décisions. Cela passe bien évidemment par des échanges avec les différents pôles/métiers (Production, Développement, RH, Juridique et Commerce généralement); son rôle est donc transverse. A titre personnel, j'en apprends encore beaucoup aujourd'hui sur le fonctionnement de nos SI et la conception de nos produits, bientôt 1 an après avoir posé mes valises.
"Un bon RSSI est rarement assis sur sa chaise." (phrase prononcée lors des Assises de la Sécurité 2018)
L'autre caractéristique du bon RSSI est de savoir dire oui ! Entendons-nous bien, il ne s'agit (surtout) pas de dire oui à tout mais bien d'oser dire oui quand le niveau de risque est acceptable. Trop souvent on entend des auto-proclamés experts cybersécurité affirmer "cette techno n'est pas sécurisée, il y a une faille qui a été découverte récemment". Beaucoup oublient malheureusement que la sécurité n'est pas un état absolu, mais un état relatif ! L'objectif n'est pas de viser la mesure de sécurité parfaite - qui n'existe pas - mais celle(s) qui répond(ent) le mieux à nos besoins de sécurité. Plus les besoins de sécurité (confidentialité, intégrité et disponibilité) sont élevés, plus naturellement on optera pour des mesures de sécurité robustes et éprouvées. Mais à moyens techniques et humains illimités, plus rien n'est à l'épreuve du feu : tout n'est qu'alors qu'une question de temps...
Enfin, sa dernière caractéristique est certainement de privilégier l'humain à la technique. Car quel intérêt à pousser des produits de sécurité si les utilisateurs en font mauvais usage ? quel intérêt à mettre en place des mesures de sécurité drastiques si ces dernières volent en éclat suite à l'imprudence d'un administrateur, piégé par un mail de phishing ? L'humain reste encore le maillon faible quand il s'agit de (cyber)sécurité, aussi bien en entreprise que chez les particuliers.
Le poids de la jeunesse
Ces qualités sont certes nécessaires, mais la réalité du terrain montre qu'elles ne sont pas suffisantes. D'autres aspects viennent très vite complexifier l'équation :
- L'aspect financier. Que ce soit le recours à des prestations intellectuelles, techniques ou à des produits de sécurité, le RSSI est vite amené à composer avec le métal blanc. Plus l'entreprise est grande, plus le périmètre à couvrir l'est, et plus la gestion financière devient ardue.
- L'aspect politique. Toute société est finalement est un ensemble d'individus, de processus et de relations (aussi bien en interne qu'en externe) qui forme un tout en équilibre. Son rôle étant encore une fois transverse, sa surface d'impact est large. Le RSSI ne doit donc pas bouleverser cet équilibre, mûrir chaque réflexion et bien communiquer.
- L'aspect juridique. Le cadre réglementaire autour de la sécurité des systèmes d'information se durcit, c'est un fait. Les réquisitions judiciaires, les contrats avec les clients/partenaires, les vérifications sur les extraits de casier judiciaire et bien d'autres sont là pour rappeler au RSSI que l'on ne peut pas faire n'importe quoi, et qu'il est plus qu'utile de parler le même langage que les juristes !
Pour ma part, je n'avais pas nécessairement perçu l'importance de ces aspects avant d'exercer ce métier. Passer du conseil (consultant) à la décision (RSSI) a été évidemment déroutant les premières semaines, et ces aspects complémentaires rendent ce métier proche de celui d'un équilibriste par moments !
J'aimerais pour terminer aborder une autre difficulté dans ce métier mais qui s'est probablement transformée en force : la jeunesse. Après tout, il s'agit d'une partie du titre; il était donc nécessaire que j'aborde ce point.
La première chose à souligner est le regard des autres. Après la surprise en interne, c'est surtout en externe (partenaires, clients, écosystème de la cybersécurité en général, etc.) que le regard se fait sentir. Quand vous êtes encore dans votre vingtaine et que revendiquez ce métier, inutile de vous dire que la curiosité - voire parfois la méfiance - dénature le début de beaucoup d'échanges. En réalité le préfixe Responsable me fait prendre d'emblée vingt autres années: rappelez-vous en effet que dans l'imaginaire commun le responsable est affublé d'une belle barbe, masquant légèrement le nœud de cravate de son impeccable costume. Pourtant, l'adage arménien nous rappelle que si derrière chaque barbe il y avait de la sagesse, les chèvres seraient toutes prophètes. Au lieu d'obtenir cette sagesse par la barbe, j'essaie donc de l'obtenir par la prudence et les discussions avec toutes les personnes familières avec chaque sujet auquel je contribue. Nous en revenons ici à la nécessité de s'entourer, en particulier quand l'on est jeune sur le poste...et jeune tout court :-) Le manque d'expérience devient alors presque une force : la majorité des situations auxquelles je suis confronté étant nouvelles pour moi, je les traite comme telles nécessairement avec de la précaution. La force du doute ?
"Si derrière chaque barbe il y avait de la sagesse, les chèvres seraient toutes prophètes." (Proverbe arménien).
L'autre point relativement inattendu concerne les softs skills. J'ai vite compris l'importance de ces attributs lors de mon passage en société de services (Capgemini & Orange Cyberdéfense pour ne pas les citer), où le consultant doit absolument travailler son "savoir-être" en plus de son savoir-faire. Les SSII insistent à juste titre sur ce volet relationnel du métier de consultant, impératif pour se faire comprendre et se rendre indispensable auprès des décideurs. Mais le métier de RSSI ce sont aussi de nombreux softs skills qui ne sont pas innés, de nombreux détails qui sont autant de difficultés pour le petit jeune que je suis : savoir accueillir et accompagner un auditeur de conformité, orchestrer les échanges avec l'ANSSI et la CNIL, placer le curseur entre permission et fermeté, améliorer son éloquence... Une chose en revanche que j'avais déjà intégré avant d'endosser ce rôle : la nécessité de proposer une solution alternative dès lors que l'on dit "non". Croyez-moi, les gens ne vous louperont pas dans le cas contraire, et ceci est tout à fait compréhensible ! Sans compter que cela peut même d'avoir l'effet inverse : les personnes ayant essuyé le refus risquent de vous court-circuiter, aussi bien pour cette demande que toutes celles à venir. Bravo cher(e) RSSI, vous venez de perdre -10 pts de confiance et -10 pts de crédibilité auprès de vos interlocuteurs.
De la même manière, "déconstruire" ce que l'on connaît en (cyber)sécurité pour se mettre au niveau de l'utilisateur n'est pas inné, même le temps d'un instant. C'est pourtant quelque chose d'impératif si l'on veut faire passer efficacement un message. Le RSSI est donc un vulgarisateur, qualité que tout professionnel se doit, à mon sens, de posséder. La liste des qualités de notre Monsieur Sécurité est encore incomplète, mais je ne la connais malheureusement pas. L'expérience et les échanges avec d'autres homologues me permettront certainement de l'étoffer !
Quel bilan alors ?
La logique voudrait que je conclue cet article en faisant un bilan personnel de mes premiers pas en tant que RSSI. Sur ce point oui, le bilan est clairement positif et me conforte dans mon envie de continuer à la fois dans le milieu de la cybersécurité, et dans ce métier bien précis (dans lequel je m'éclate, n'ayons pas peur des mots).
Mais au lieu de cela j'aimerais plutôt terminer sur un message aussi personnel qu'universel : laissons donc une chance aux jeunes ! Un message conformiste et dégoulinant de bons sentiments certes, mais encore trop vrai au vu du marché du travail actuel. Par pitié chers recruteurs, qualifiez avant tout la personne avant son nombre d'années; la volonté d'apprendre et celle de sortir de sa zone de confort valent mille chiffres à mon sens. La capacité d'un candidat à répondre à un problème concret auquel il pourra être confronté une fois recruté devrait être un des seuls critères de sélection. "Nous cherchons des gens avec la tête bien faite et l'envie de s'impliquer. Et plutôt que de chercher une personne pour la rentrer dans une case, nous cherchons à l'inverse à construire la case autour la personne." m'avait expliqué la Direction de ma société pendant mon entretien d'embauche. Une philosophie à généraliser ?
Responsable de pôle
5 ansexcellent !
Co-Dirigeante NETFORMATIC - Experte cybersécurité | ISO 27001 LI, NIST CSF, NIS2, EBIOS RM, RGPD | +10 ans d'expérience
5 ansUn témoignage frais, sincère et éclairant. Bravo !
Directeur Alliances & Partenariats | Identité numérique et European Digital Identity Wallet EUDI | Minimaliste engagé
6 ansMerci Nicolas tant pour le fond que pour la forme, une belle lecture!
Responsable systèmes informatiques chez YKOE
6 ansUne agréable lecture, un soupçon d’ironie, d’humour sur ce métier de vieux sérieux aigris .... heureuse de faire partie des 10%....ouf !