Pourquoi le RSSI ne doit SURTOUT PAS avoir de budget

Dans mes jeunes années, je tentais d’argumenter face à des DSI, avec force démonstrations, schémas et j’en passe : erreur, grosse erreur, la raison majeure qui motive un DSI de garder son RSSI « à sa pogne » est juste de lui intimer de ne pas aller voir là, de ne pas soulever tel tapis, d’ouvrir tel placard ni de déterrer tel cadavre, et rien d’autre. Ce genre de DSI est à la cyber ce que le platiste est à la cosmologie, et à un moment donné le rationnel peine à convaincre. Il existe d’ailleurs une loi, dite « de Brandolini » (ou principe d’asymétrie des baratins), qui stipule que « la quantité d’énergie nécessaire pour réfuter des sottises […] est supérieure d’un ordre de grandeur à celle nécessaire pour les produire ». Donc j’arrête de m’épuiser : la suite de cet article est faite pour ceux qui ont compris le concept, les autres, merci d’être venus.

Un des principes de base des organisations modernes est la séparation entre celui qui décide, celui qui réalise ou exécute et celui qui contrôle. Quantité de travaux vont dans ce sens, depuis Les Décisions absurdes de Christian Morel (selon qui la confusion de ces rôles mène souvent à des catastrophes) jusqu’à la loi Sarbanes-Oxley, en passant par différentes réglementations dans l’aérien. Le bonheur des DPO est qu’il existe deux articles du RGPD qui stipulent expressément que (article 38) « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions » et que le DPO a des missions de conseil, d’alerte et de contrôle (article 39), mais absolument pas d’exécution. Le malheur des RSSI est qu’il n’existe aucun texte équivalent côté cyber : des recommandations, des normes sectorielles, mais rien de juridiquement contraignant. Il est d’ailleurs curieux que les différentes versions de NIS (même si NIS 2 est encore en phase de transposition) ne légifèrent pas clairement sur ce sujet.

Partant de là, j’affirme que le RSSI ne doit détenir aucun budget, excepté bien entendu quelques milliers d’euros pour du conseil ponctuel ou des prestations d’avocats sur des sujets pointus. À cela, deux raisons :

La première est que si le RSSI a le malheur d’accepter un budget, il reconnaît de facto que c’est ce dont il a besoin pour gérer la cyber de sa boutique : c’est une inversion du raisonnement qui finira par lui péter à la figure. La suite logique est toujours : expression des besoins, puis analyse, puis estimation du budget, puis attribution du budget (souvent inférieur à l’estimation), puis révision/analyse des besoins qui ne seront pas couverts. Si vous commencez d’emblée par les sous, de facto vous shuntez toutes les étapes et, en général, au moindre incident cyber, le RSSI va se sentir à l’étroit sur sa chaise devant le board à regarder le bout de ses chaussures. Et surtout le RSSI met les pieds dans la réalisation, ce dont il doit justement se tenir à l’écart.

La seconde est que le RSSI n’a qu’un rôle de conseil, d’alerte, d’analyse, d’audit. Tout pareil que le DPO. Le DPO n’est pas plus responsable de traitement que le RSSI n’est propriétaire des assets et des risques associés. Le RSSI peut sortir d’un audit en ayant soulevé quatre risques hypergraves auprès d’une MOA (la DSI n’est qu’une MOA parmi d’autres pour le RSSI) : la question de savoir si ladite MOA pourra traiter tous ces risques, dans quel ordre et avec quel budget n’est pas le problème du RSSI. Savoir quel bras se couper (c’est-à-dire quel risque ne sera pas traité cette année) est de la seule responsabilité de la MOA et de personne d’autre.

Vous pensez que le BEA (Bureau d’enquêtes et d’analyses de l’aviation civile) qui examine les boîtes noires d’un avion à la suite d’un crash dispose d’un budget pour faire toutes les modifications sur la série des modèles d’appareils incriminés après le crash ? Non. Vous pensez que les commissaires aux comptes ont un budget pour aider le DAF de l’entreprise contrôlée à mettre en œuvre toutes les mesures pour sécuriser la chaîne de traitement des flux financiers ? Non. Vous pensez que le DPO a un budget pour aller modifier le code des logiciels pourris qui mettent en œuvre des traitements pourris dans des conditions illégales ? Non.

Quant au dernier argument que l’on me sort en général – on n’a pas les sous pour faire de la cyber de bon niveau –, je suis au regret de dire que c’est totalement faux. Ce n’est pas une question de montant, mais de niveau ou de répartition des budgets. Au lieu de consacrer autant d’argent à des projets prétendument « innovants » (qui est le mot dans la novlangue pour désigner les machins dont l’efficacité est impossible à évaluer, donc qui n’ont aucune efficacité), il faudrait peut-être en consacrer un peu plus à la cyber. Je vous laisse trancher sur la question de savoir si la root cause est la difficulté pour les DSI de résister à la pression des demandes des MOA ou l’irrésistible poussée de libido des premiers à la seule idée de devoir renouveler le système de sauvegarde.

Le RSSI alerte, conseille, audite, point barre. Le fait de suivre ses conseils ou pas, et avec quels budgets, c’est juste la tambouille des DSI, et certainement pas celle du RSSI. J’ajoute du reste que les fiches métiers du Cigref font clairement la distinction entre RSSI et expert cyber, ce dernier étant bien en exécution et bien rattaché à la DSI.

Dit autrement : chacun sa mission, chacun ses problèmes, chacun ses assets et ses risques.

Et les cybervaches seront mieux gardées.