Publicité en cours de chargement...
RSSI : stupide tentative de classification
Le premier axe de classification concerne la technique : il y a les RSSI techniques (pour la maîtrise d’œuvre, MŒ), et les RSSI fonctionnels (pour la maîtrise d’ouvrage, MOA). Les premiers ne sont pas à proprement parler des RSSI, mais plutôt des ingénieurs Sécurité, ce qui n’est absolument pas péjoratif. Dans le métier, la composante MOA ne peut pas suffire à elle seule : à un moment donné, il faut de l’expertise technique et de la compétence de terrain pour choisir et déployer des solutions de protection périmétrique, des antivirus, des sondes IDS (le jour où ça marchera), des moteurs IA d’analyse comportementale (le jour où cela existera), des solutions pour sécuriser le Cloud (le jour où le Cloud sera sécurisable, autant dire quand le Cloud Act aura été abrogé, autant dire jamais). Bref, la composante technique, opérationnelle, de terrain, est au moins aussi importante que la composante fonctionnelle (RSSI MOA) qui, quant à elle, s’occupe de fixer les orientations, d’exprimer les besoins, etc.
Le deuxième axe, qui ne devrait d’ailleurs pas en être un, est l’appétence de l’individu au regard de la culture Qualité. Il m’arrive de faire des interventions auprès d’un public exclusivement technique (ingénieurs en école dans la plupart des cas), et je ne résiste jamais au plaisir de commencer par les mots suivants : « Je suis RSSI et je n’en ai rien à faire des antivirus, je me fiche des pare-feu et me contrefiche du niveau des patches OS sur les PC des utilisateurs. » Effet garanti : alors que les auditeurs s’attendaient à un énième cours sur le bit n° 16 de poids fort sur la trame TCP/IP dans la RFC n° X, je leur explique pendant quelques heures que la technique ne sert à rien si l’on ne vérifie pas régulièrement la dérive, l’apparition de nouvelles menaces, si l’on ne révise pas l’ensemble des comptes à privilège, etc. Bref, la SSI, c’est de la qualité, et le reste n’est que quincaillerie. Le deuxième axe peut donc s’exprimer de la sorte : il y a ceux qui ont intégré que la démarche de type PDCA doit rythmer leur travail, et ceux qui ne l’ont pas encore compris.
Le troisième axe est certainement celui qui est, en tout cas selon ce que je peux en percevoir, le plus sujet à débat : la dimension « négociation ». Un seul exemple littéraire pour l’illustrer : dans Saint-Germain ou la Négociation [1], le héros – Henri de Malassise, un diplomate et négociateur professionnel – est envoyé par le roi pour négocier la paix qui mettra fin aux guerres de Religion. Lors de son entrevue avec le monarque, il lui demande de combien il peut reculer dans la position qu’on lui demande de tenir ? Le roi, outré, lui répond de ne lâcher aucun pouce de terrain. Henri de Malassise lui rétorque alors qu’il n’a pas besoin d’un négociateur, mais d’un militaire. Le roi finit alors par comprendre que, par principe, négocier, c’est renoncer à une partie de ce à quoi l’on prétend.
Sur certains sujets délicats, comme l’installation d’un progiciel réclamé par telle ou telle maîtrise d’ouvrage ou tel organisme public, il n’est pas rare de constater des manquements élémentaires aux bonnes pratiques SSI, voire à la réglementation elle-même. On observe alors deux types de RSSI : ceux qui s’en tiennent à la position initiale et refusent de bouger d’un pouce, arguant le « je vous l’aurai dit » si le projet se déroule tout de même sans leur aval, et ceux qui partent du principe que, si le projet doit se faire malgré tout parce que raison d’État, il vaudra toujours mieux sécuriser a minima, quitte à lâcher du lest sur les points importants, que de laisser le projet avoir lieu malgré eux et contre eux.
Compétences techniques, culture Qualité et capacité à la négociation, voilà certainement les trois axes à cultiver lorsque l’on prétend être RSSI, et que l’on entend le rester dans un environnement complexe et protéiforme.
[1] Saint-Germain ou la Négociation, Francis Walder, prix Goncourt 1958.
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...