Le guide de survie du RSSI façon code du Bushido

Cela faisait un moment que cela me trottait dans la tête…

Commandement n°1
Tout le monde vous ment.
Et un RSSI n’a jamais autant les mains libres qu’après le crash. Et cela ne dure pas longtemps.

Commandement n°2
Le RSSI n’est pas un expert cyber. Un expert cyber, c’est là, et dans la fiche 6.1; un RSSI, c’est au même endroit, mais fiche 6.3.

Et cela explique qu’un RSSI n’est pas dans une DSI.

Et si vous voyez passer une annonce avec le RSSI rattaché à la DSI, fuyez en sens opposé : il vaut mieux être expert cyber dans une boîte qui a compris ce que c’était, que RSSI dans une boîte qui n’a pas compris le sens du poste.

Commandement n°3
Un RSSI n’est pas en réalisation - MOE - mais en coordination des besoins de sécurité - MOA. Être à la fois RSSI et assurer en même temps des tâches opérationnelles devient vite problématique et fondamentalement incompatible. Le RSSI doit rapidement faire son deuil de l’action au profit de la préconisation et du contrôle.

Le RSSI ne mène aucune action en propre - enfin, presque aucune : ce sont les directions qui mènent les actions. Le RSSI est juste un Jiminy Criquet qui les aide à se rappeler qu’il faut se souvenir de ne pas oublier de se les remémorer.

Commandement n°4
Un RSSI ne doit pas avoir d’ennemis : cela lui coûte trop cher.
Un RSSI doit jouer sur l’effet réseau : plus on a d’amis, mieux cela marche.

Commandement n°5
Un RSSI est fondamentalement connecté à ses confrères, parce que tous les problèmes qu’il a, quelqu’un d’autre les a déjà eus et les a déjà réglés.
Ça économise tout plein de temps et tout plein d’argent.

Commandement n°6
Un RSSI ne dit jamais « non » tout court. Il dit « non, sauf si » ou « non, mais ».
Un RSSI est force de proposition.

Commandement n°7
Le RSSI n’a aucun budget en propre, à l’exception de ce qui lui est nécessaire pour s’acheter des gommes et des crayons.
Avec, à la rigueur, quelques journées d’accompagnement de consultant par an, pour sa propre activité.

Commandement n°8
Le RSSI n’a aucun problème de budget cyber / SSI : ce sont les MOA et la DSI qui décident que les budgets sont consacrés à la SSI, ou, au contraire, que l’argent serait mieux employé ailleurs qu’à sécuriser le bazar.

Très honnêtement, qui est le RSSI pour juger des priorisations effectuées par la MOA, du moment que la MOA a été dûment alertée ?

Commandement n°9

Le RSSI n’est responsable de rien : le propriétaire du processus est propriétaire de ses risques.
D’ailleurs, le RSSI n’est pas un RSSI : c’est un OSI (Officier Sécurité Informatique) ou un CISO (Chief Information Security Officer).

Le RSSI ne sécurise rien : il dit au propriétaire du processus quels sont les risques qu’il encourt, et à quel niveau - le fameux probabilité × impact.

Le RSSI ne décide de rien : c’est le propriétaire du processus qui décide de traiter les risques remontés par le RSSI. Ou pas.

Le RSSI n’a aucun problème de sécurité : ce sont les MOA et la DSI qui ont un besoin. Et qui tranchent au final. Et qui mettent leur tête sur le billot.

Ce n’est pas parce qu’une MOA a décidé de brûler tout son budget en SSI qu’il faut être copain avec, ni parce qu’une MOA a décidé de sauter à cloche-pied sur un filin suspendu au-dessus du vide qu’il faut se fâcher avec.

Le RSSI propose, la MOA dispose, point.

Commandement n°10
Le RSSI audite. C’est important qu’il ait de grandes oreilles.

Commandement n°11
Le RSSI passe pas loin de 20 % de son temps à faire de la veille techno.

S’il peut mettre ce temps à profit pour lire DSIH, c’est bien ; aller à l’Apssis, c’est très bien ; lire les élucubrations de votre serviteur (ici), c’est encore mieux.

Commandement n°12
Le RSSI adapte son discours à son interlocuteur.
On ne parle pas de chiffrement asymétrique à une direction générale.

Commandement n°13
Une bonne dose de santé mentale est nécessaire pour être RSSI.
Mais personnellement, depuis que le RSSI et le DPO dans ma tête ont décidé de faire la paix, nous nous entendons très bien.

Commandement n°14
Avant de dépenser de gros paquets de thunes, commencez par examiner ce que vous avez déjà et qui est utilisé à 10 %, puis ce qui est gratuit en open source.

Commandement n°15
La plupart des problèmes ne sont pas techniques, mais organisationnels.
Si on vous affirme l’inverse, appliquez le commandement n°1.

Voilà. De rien.