Tout le monde a droit à son IVC

Andy Warhol disait que chacun serait célèbre 15 minutes dans sa vie, je rajoute que chacun a droit à son IVC : son Instant Vieux Con. C’est le moment où, en se lissant la barbichette blanche à la Dumbledore, on donne des conseils aux p’tits jeunes débarquant dans la profession, du haut de ses « De mon temps », de ses « À mon époque » et autres « Comme ma mère me disait quand j’étais jeune ».

C’est donc le moment où je vais dire à des futurs/en cours de recherche de job/aspirants RSSI les principaux points d’attention dans le CV, les trucs à bosser, les « soft skills », et j’en passe. Vous croyez que l’alpha et l’oméga du RSSI qui se respecte sont la connaissance du chiffrement par courbes elliptiques ? Des algos heuristiques des EDR du marché ? De la trame précise de la blockchain ? Rien de tout cela.

Un RSSI doit être techniquement pointu car, dans le domaine de la technique, il est impossible de ne rien savoir. Les RSSI arrivent de différents milieux et finissent peu ou prou par acquérir la technique, ce n’est qu’une affaire de mois et d’huile de coude, mais on attend d’eux l’expertise technique, au moins jusqu’à un certain niveau. Et une culture technique très large.

Un RSSI doit connaître les limites de ses propres connaissances. Rien de plus dangereux que le type qui croit tout savoir sur tout : non seulement cela n’existe pas, mais de la même façon que les cimetières sont remplis de gugusses qui se croyaient plus forts que tout le monde, les superfailstechniques sont jalonnés d’avis d’experts qui passent leur temps à jouer à celui qui pisse le plus loin.

Un RSSI doit savoir rédiger, car ne pas savoir exposer en 20 lignes, en bon français et avec sujet-verbe-complément des notions plus ou moins complexes disqualifie immédiatement.

Un RSSI doit savoir expliquer. Si vous n’êtes pas capable de synthétiser en 15 minutes le chiffrement asymétrique à une direction générale qui n’en a jamais entendu parler, passez votre chemin.

Un RSSI doit proposer des solutions aux problèmes qu’il soulève lui-même. Si sa seule valeur ajoutée est de dire « NON », on va rapidement le remplacer par un tampon encreur avec « NON » en rouge écrit dessus. S’en tenir aux Saintes Écritures (les 42 mesures de l’Anssi, la PGSSI, etc.) ne tient pas longtemps, il faut constamment contourner, négocier, dégrader, etc. Au lieu de « NON », c’est « NON, mais j’ai une autre solution ».

Un RSSI doit être un expert absolu de la négociation. S’il est une soft skill indispensable, c’est bien celle-là, bien loin devant la technique.

Un RSSI doit parler processus avant toute autre chose. La connaissance des process de son entreprise du sol au plafond – s’entend du top management jusqu’aux détails opérationnels de dernier niveau, les RH sont un excellent terrain de jeu à ce sujet – est un archi-archi-archi-plus dans le job au quotidien. Surtout quand on sait que la moitié (au moins) des incidents ont une origine process.

Un RSSI doit intégrer les notions de contrôle et de conformité dans ses gènes, compétence qui vient juste après la maîtrise de la négo dans la liste au Père Noël.

Bannissez de votre vocabulaire les phrases telles que « Je ne savais pas », « On ne m’a pas dit », « Non mais pour ça, c’est pas moi, faut aller voir M. Trucmuche ». À ce niveau, ce n’est pas même pas entendable.

Ah oui ! et j’allais oublier :
FOR I in (avocat, auditeur, qualiticien, cadre sup, etc.)
DO REPLACE SELF TEXT (« RSSI », I).
Dit autrement, c’est la même chose pour toutes les professions de conseil de haut niveau.

 Ah oui ! et j’allais aussi oublier :
– avant l’incident, le RSSI déjeune tout seul à la cantoche ;
– pendant l’incident, le RSSI déjeune avec le board ;
– après l’incident, le RSSI déjeune tout seul à la cantoche, mais dos au mur.

Si ces préceptes vous effraient, passez votre chemin. Et s’ils ne constituent pas votre quotidien…, c’est que vous n’êtes pas RSSI.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.