Publicité en cours de chargement...

Publicité en cours de chargement...

RSSI : stupide tentative de classification

09 sept. 2019 - 20:04,
Tribune - Cédric Cartau
Stupide car, généralement, quand vous essayez de classifier ce type de fonction un peu bizarre au sein de l’organisation, la plupart de vos interlocuteurs ne manquent pas de vous faire remarquer que vous oubliez tel ou tel aspect de la question, qu’un de leurs confrères ne rentre pas dans le moule, etc. Même pas peur, et puis, de toute manière, on a bien le droit de penser à haute voix – au clavier en l’occurrence –, non ?

Le premier axe de classification concerne la technique : il y a les RSSI techniques (pour la maîtrise d’œuvre, MŒ), et les RSSI fonctionnels (pour la maîtrise d’ouvrage, MOA). Les premiers ne sont pas à proprement parler des RSSI, mais plutôt des ingénieurs Sécurité, ce qui n’est absolument pas péjoratif. Dans le métier, la composante MOA ne peut pas suffire à elle seule : à un moment donné, il faut de l’expertise technique et de la compétence de terrain pour choisir et déployer des solutions de protection périmétrique, des antivirus, des sondes IDS (le jour où ça marchera), des moteurs IA d’analyse comportementale (le jour où cela existera), des solutions pour sécuriser le Cloud (le jour où le Cloud sera sécurisable, autant dire quand le Cloud Act aura été abrogé, autant dire jamais). Bref, la composante technique, opérationnelle, de terrain, est au moins aussi importante que la composante fonctionnelle (RSSI MOA) qui, quant à elle, s’occupe de fixer les orientations, d’exprimer les besoins, etc.

Le deuxième axe, qui ne devrait d’ailleurs pas en être un, est l’appétence de l’individu au regard de la culture Qualité. Il m’arrive de faire des interventions auprès d’un public exclusivement technique (ingénieurs en école dans la plupart des cas), et je ne résiste jamais au plaisir de commencer par les mots suivants : « Je suis RSSI et je n’en ai rien à faire des antivirus, je me fiche des pare-feu et me contrefiche du niveau des patches OS sur les PC des utilisateurs. » Effet garanti : alors que les auditeurs s’attendaient à un énième cours sur le bit n° 16 de poids fort sur la trame TCP/IP dans la RFC n° X, je leur explique pendant quelques heures que la technique ne sert à rien si l’on ne vérifie pas régulièrement la dérive, l’apparition de nouvelles menaces, si l’on ne révise pas l’ensemble des comptes à privilège, etc. Bref, la SSI, c’est de la qualité, et le reste n’est que quincaillerie. Le deuxième axe peut donc s’exprimer de la sorte : il y a ceux qui ont intégré que la démarche de type PDCA doit rythmer leur travail, et ceux qui ne l’ont pas encore compris.

Le troisième axe est certainement celui qui est, en tout cas selon ce que je peux en percevoir, le plus sujet à débat : la dimension « négociation ». Un seul exemple littéraire pour l’illustrer : dans Saint-Germain ou la Négociation [1], le héros – Henri de Malassise, un diplomate et négociateur professionnel – est envoyé par le roi pour négocier la paix qui mettra fin aux guerres de Religion. Lors de son entrevue avec le monarque, il lui demande de combien il peut reculer dans la position qu’on lui demande de tenir ? Le roi, outré, lui répond de ne lâcher aucun pouce de terrain. Henri de Malassise lui rétorque alors qu’il n’a pas besoin d’un négociateur, mais d’un militaire. Le roi finit alors par comprendre que, par principe, négocier, c’est renoncer à une partie de ce à quoi l’on prétend.

Sur certains sujets délicats, comme l’installation d’un progiciel réclamé par telle ou telle maîtrise d’ouvrage ou tel organisme public, il n’est pas rare de constater des manquements élémentaires aux bonnes pratiques SSI, voire à la réglementation elle-même. On observe alors deux types de RSSI : ceux qui s’en tiennent à la position initiale et refusent de bouger d’un pouce, arguant le « je vous l’aurai dit » si le projet se déroule tout de même sans leur aval, et ceux qui partent du principe que, si le projet doit se faire malgré tout parce que raison d’État, il vaudra toujours mieux sécuriser a minima, quitte à lâcher du lest sur les points importants, que de laisser le projet avoir lieu malgré eux et contre eux.

Compétences techniques, culture Qualité et capacité à la négociation, voilà certainement les trois axes à cultiver lorsque l’on prétend être RSSI, et que l’on entend le rester dans un environnement complexe et protéiforme.


[1] Saint-Germain ou la Négociation, Francis Walder, prix Goncourt 1958.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dedalus France : une nouvelle étape dans la trajectoire de transformation

Dedalus France : une nouvelle étape dans la trajectoire de transformation

24 juin 2025 - 07:50,

Actualité

- DSIH

Dedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH, Mehdi Lebranchu

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Illustration Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

23 juin 2025 - 18:14,

Tribune

-
Cédric Cartau

Ça fait deux fois.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.