Tout le monde a droit à son IVC
Andy Warhol disait que chacun serait célèbre 15 minutes dans sa vie, je rajoute que chacun a droit à son IVC : son Instant Vieux Con. C’est le moment où, en se lissant la barbichette blanche à la Dumbledore, on donne des conseils aux p’tits jeunes débarquant dans la profession, du haut de ses « De mon temps », de ses « À mon époque » et autres « Comme ma mère me disait quand j’étais jeune ».
C’est donc le moment où je vais dire à des futurs/en cours de recherche de job/aspirants RSSI les principaux points d’attention dans le CV, les trucs à bosser, les « soft skills », et j’en passe. Vous croyez que l’alpha et l’oméga du RSSI qui se respecte sont la connaissance du chiffrement par courbes elliptiques ? Des algos heuristiques des EDR du marché ? De la trame précise de la blockchain ? Rien de tout cela.
Un RSSI doit être techniquement pointu car, dans le domaine de la technique, il est impossible de ne rien savoir. Les RSSI arrivent de différents milieux et finissent peu ou prou par acquérir la technique, ce n’est qu’une affaire de mois et d’huile de coude, mais on attend d’eux l’expertise technique, au moins jusqu’à un certain niveau. Et une culture technique très large.
Un RSSI doit connaître les limites de ses propres connaissances. Rien de plus dangereux que le type qui croit tout savoir sur tout : non seulement cela n’existe pas, mais de la même façon que les cimetières sont remplis de gugusses qui se croyaient plus forts que tout le monde, les superfailstechniques sont jalonnés d’avis d’experts qui passent leur temps à jouer à celui qui pisse le plus loin.
Un RSSI doit savoir rédiger, car ne pas savoir exposer en 20 lignes, en bon français et avec sujet-verbe-complément des notions plus ou moins complexes disqualifie immédiatement.
Un RSSI doit savoir expliquer. Si vous n’êtes pas capable de synthétiser en 15 minutes le chiffrement asymétrique à une direction générale qui n’en a jamais entendu parler, passez votre chemin.
Un RSSI doit proposer des solutions aux problèmes qu’il soulève lui-même. Si sa seule valeur ajoutée est de dire « NON », on va rapidement le remplacer par un tampon encreur avec « NON » en rouge écrit dessus. S’en tenir aux Saintes Écritures (les 42 mesures de l’Anssi, la PGSSI, etc.) ne tient pas longtemps, il faut constamment contourner, négocier, dégrader, etc. Au lieu de « NON », c’est « NON, mais j’ai une autre solution ».
Un RSSI doit être un expert absolu de la négociation. S’il est une soft skill indispensable, c’est bien celle-là, bien loin devant la technique.
Un RSSI doit parler processus avant toute autre chose. La connaissance des process de son entreprise du sol au plafond – s’entend du top management jusqu’aux détails opérationnels de dernier niveau, les RH sont un excellent terrain de jeu à ce sujet – est un archi-archi-archi-plus dans le job au quotidien. Surtout quand on sait que la moitié (au moins) des incidents ont une origine process.
Un RSSI doit intégrer les notions de contrôle et de conformité dans ses gènes, compétence qui vient juste après la maîtrise de la négo dans la liste au Père Noël.
Bannissez de votre vocabulaire les phrases telles que « Je ne savais pas », « On ne m’a pas dit », « Non mais pour ça, c’est pas moi, faut aller voir M. Trucmuche ». À ce niveau, ce n’est pas même pas entendable.
Ah oui ! et j’allais oublier :
FOR I in (avocat, auditeur, qualiticien, cadre sup, etc.)
DO REPLACE SELF TEXT (« RSSI », I).
Dit autrement, c’est la même chose pour toutes les professions de conseil de haut niveau.
Ah oui ! et j’allais aussi oublier :
– avant l’incident, le RSSI déjeune tout seul à la cantoche ;
– pendant l’incident, le RSSI déjeune avec le board ;
– après l’incident, le RSSI déjeune tout seul à la cantoche, mais dos au mur.
Si ces préceptes vous effraient, passez votre chemin. Et s’ils ne constituent pas votre quotidien…, c’est que vous n’êtes pas RSSI.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
Le second appel, dédié à la continuité et à la reprise d’activité, poursuit la dynamique lancée, avec une enveloppe de 45 millions d’euros et une mobilisation importante du secteur.
12 nov. 2025 - 23:37,
Actualité
- Rédaction, DSIHLe programme CaRE continue d’élargir son action en santé, en mettant l’accent sur la continuité et la reprise d’activité après les incidents. Cette étape du dispositif s’appuie sur une enveloppe de financement de 45 millions d’euros et vise à renforcer les procédures de continuité, à sécuriser et re...
Interdictions et blocages se fracassent sur le mur de la technologie
03 nov. 2025 - 21:43,
Tribune
-Avec le temps, on s’assagit, mais cela n’empêche pas de rester étonné. Étonné devant l’amnésie collective qui frappe régulièrement les décideurs ou certains membres de la société civile dès lors que, sous couvert de bonnes intentions souvent réelles, il faut bloquer ceci ou cela.
Numih France : une métamorphose au service d’un numérique hospitalier souverain, éthique et sécurisé
03 nov. 2025 - 18:54,
Actualité
- DSIH,Né de la fusion entre le Mipih et le SIB, Numih France s’impose comme un acteur public de référence dans le domaine du numérique en santé. Porté par une gouvernance 100 % publique et hospitalière, le Groupement d’Intérêt Public déploie une stratégie alliant excellence opérationnelle, ancrage territo...
L’IA générative en santé : un outil prometteur, à utiliser de manière responsable
30 oct. 2025 - 11:15,
Communiqué
- HASFace à l’expansion rapide des systèmes d’intelligence artificielle (IA) générative – tels que Mistral AI, CoPilot ou ChatGPT – la HAS publie ses premières clés pour un usage responsable de ces technologies dans les secteurs sanitaire, social et médico-social. Ce guide concis et pédagogique, destiné ...
