Publicité en cours de chargement...
Tout le monde a droit à son IVC
Andy Warhol disait que chacun serait célèbre 15 minutes dans sa vie, je rajoute que chacun a droit à son IVC : son Instant Vieux Con. C’est le moment où, en se lissant la barbichette blanche à la Dumbledore, on donne des conseils aux p’tits jeunes débarquant dans la profession, du haut de ses « De mon temps », de ses « À mon époque » et autres « Comme ma mère me disait quand j’étais jeune ».
C’est donc le moment où je vais dire à des futurs/en cours de recherche de job/aspirants RSSI les principaux points d’attention dans le CV, les trucs à bosser, les « soft skills », et j’en passe. Vous croyez que l’alpha et l’oméga du RSSI qui se respecte sont la connaissance du chiffrement par courbes elliptiques ? Des algos heuristiques des EDR du marché ? De la trame précise de la blockchain ? Rien de tout cela.
Un RSSI doit être techniquement pointu car, dans le domaine de la technique, il est impossible de ne rien savoir. Les RSSI arrivent de différents milieux et finissent peu ou prou par acquérir la technique, ce n’est qu’une affaire de mois et d’huile de coude, mais on attend d’eux l’expertise technique, au moins jusqu’à un certain niveau. Et une culture technique très large.
Un RSSI doit connaître les limites de ses propres connaissances. Rien de plus dangereux que le type qui croit tout savoir sur tout : non seulement cela n’existe pas, mais de la même façon que les cimetières sont remplis de gugusses qui se croyaient plus forts que tout le monde, les superfailstechniques sont jalonnés d’avis d’experts qui passent leur temps à jouer à celui qui pisse le plus loin.
Un RSSI doit savoir rédiger, car ne pas savoir exposer en 20 lignes, en bon français et avec sujet-verbe-complément des notions plus ou moins complexes disqualifie immédiatement.
Un RSSI doit savoir expliquer. Si vous n’êtes pas capable de synthétiser en 15 minutes le chiffrement asymétrique à une direction générale qui n’en a jamais entendu parler, passez votre chemin.
Un RSSI doit proposer des solutions aux problèmes qu’il soulève lui-même. Si sa seule valeur ajoutée est de dire « NON », on va rapidement le remplacer par un tampon encreur avec « NON » en rouge écrit dessus. S’en tenir aux Saintes Écritures (les 42 mesures de l’Anssi, la PGSSI, etc.) ne tient pas longtemps, il faut constamment contourner, négocier, dégrader, etc. Au lieu de « NON », c’est « NON, mais j’ai une autre solution ».
Un RSSI doit être un expert absolu de la négociation. S’il est une soft skill indispensable, c’est bien celle-là, bien loin devant la technique.
Un RSSI doit parler processus avant toute autre chose. La connaissance des process de son entreprise du sol au plafond – s’entend du top management jusqu’aux détails opérationnels de dernier niveau, les RH sont un excellent terrain de jeu à ce sujet – est un archi-archi-archi-plus dans le job au quotidien. Surtout quand on sait que la moitié (au moins) des incidents ont une origine process.
Un RSSI doit intégrer les notions de contrôle et de conformité dans ses gènes, compétence qui vient juste après la maîtrise de la négo dans la liste au Père Noël.
Bannissez de votre vocabulaire les phrases telles que « Je ne savais pas », « On ne m’a pas dit », « Non mais pour ça, c’est pas moi, faut aller voir M. Trucmuche ». À ce niveau, ce n’est pas même pas entendable.
Ah oui ! et j’allais oublier :
FOR I in (avocat, auditeur, qualiticien, cadre sup, etc.)
DO REPLACE SELF TEXT (« RSSI », I).
Dit autrement, c’est la même chose pour toutes les professions de conseil de haut niveau.
Ah oui ! et j’allais aussi oublier :
– avant l’incident, le RSSI déjeune tout seul à la cantoche ;
– pendant l’incident, le RSSI déjeune avec le board ;
– après l’incident, le RSSI déjeune tout seul à la cantoche, mais dos au mur.
Si ces préceptes vous effraient, passez votre chemin. Et s’ils ne constituent pas votre quotidien…, c’est que vous n’êtes pas RSSI.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...
Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...
Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...
Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
