Publicité en cours de chargement...
RSSI : stupide tentative de classification
Le premier axe de classification concerne la technique : il y a les RSSI techniques (pour la maîtrise d’œuvre, MŒ), et les RSSI fonctionnels (pour la maîtrise d’ouvrage, MOA). Les premiers ne sont pas à proprement parler des RSSI, mais plutôt des ingénieurs Sécurité, ce qui n’est absolument pas péjoratif. Dans le métier, la composante MOA ne peut pas suffire à elle seule : à un moment donné, il faut de l’expertise technique et de la compétence de terrain pour choisir et déployer des solutions de protection périmétrique, des antivirus, des sondes IDS (le jour où ça marchera), des moteurs IA d’analyse comportementale (le jour où cela existera), des solutions pour sécuriser le Cloud (le jour où le Cloud sera sécurisable, autant dire quand le Cloud Act aura été abrogé, autant dire jamais). Bref, la composante technique, opérationnelle, de terrain, est au moins aussi importante que la composante fonctionnelle (RSSI MOA) qui, quant à elle, s’occupe de fixer les orientations, d’exprimer les besoins, etc.
Le deuxième axe, qui ne devrait d’ailleurs pas en être un, est l’appétence de l’individu au regard de la culture Qualité. Il m’arrive de faire des interventions auprès d’un public exclusivement technique (ingénieurs en école dans la plupart des cas), et je ne résiste jamais au plaisir de commencer par les mots suivants : « Je suis RSSI et je n’en ai rien à faire des antivirus, je me fiche des pare-feu et me contrefiche du niveau des patches OS sur les PC des utilisateurs. » Effet garanti : alors que les auditeurs s’attendaient à un énième cours sur le bit n° 16 de poids fort sur la trame TCP/IP dans la RFC n° X, je leur explique pendant quelques heures que la technique ne sert à rien si l’on ne vérifie pas régulièrement la dérive, l’apparition de nouvelles menaces, si l’on ne révise pas l’ensemble des comptes à privilège, etc. Bref, la SSI, c’est de la qualité, et le reste n’est que quincaillerie. Le deuxième axe peut donc s’exprimer de la sorte : il y a ceux qui ont intégré que la démarche de type PDCA doit rythmer leur travail, et ceux qui ne l’ont pas encore compris.
Le troisième axe est certainement celui qui est, en tout cas selon ce que je peux en percevoir, le plus sujet à débat : la dimension « négociation ». Un seul exemple littéraire pour l’illustrer : dans Saint-Germain ou la Négociation [1], le héros – Henri de Malassise, un diplomate et négociateur professionnel – est envoyé par le roi pour négocier la paix qui mettra fin aux guerres de Religion. Lors de son entrevue avec le monarque, il lui demande de combien il peut reculer dans la position qu’on lui demande de tenir ? Le roi, outré, lui répond de ne lâcher aucun pouce de terrain. Henri de Malassise lui rétorque alors qu’il n’a pas besoin d’un négociateur, mais d’un militaire. Le roi finit alors par comprendre que, par principe, négocier, c’est renoncer à une partie de ce à quoi l’on prétend.
Sur certains sujets délicats, comme l’installation d’un progiciel réclamé par telle ou telle maîtrise d’ouvrage ou tel organisme public, il n’est pas rare de constater des manquements élémentaires aux bonnes pratiques SSI, voire à la réglementation elle-même. On observe alors deux types de RSSI : ceux qui s’en tiennent à la position initiale et refusent de bouger d’un pouce, arguant le « je vous l’aurai dit » si le projet se déroule tout de même sans leur aval, et ceux qui partent du principe que, si le projet doit se faire malgré tout parce que raison d’État, il vaudra toujours mieux sécuriser a minima, quitte à lâcher du lest sur les points importants, que de laisser le projet avoir lieu malgré eux et contre eux.
Compétences techniques, culture Qualité et capacité à la négociation, voilà certainement les trois axes à cultiver lorsque l’on prétend être RSSI, et que l’on entend le rester dans un environnement complexe et protéiforme.
[1] Saint-Germain ou la Négociation, Francis Walder, prix Goncourt 1958.
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...