Parmi les rêves fous que je faisais, en lien avec mon évolution professionnelle, revenait souvent la fonction de RSSI, c’est-à-dire Responsable de la Sécurité des Systèmes d’Information. Si je n’ai clairement pas le niveau technique d’un pentester, ou d’un participant à un concours de hacking, j’ai l’expérience d’un expert judiciaire qui a mené pendant 20 ans des audits informatiques, souvent dans le domaine de la sécurité.
Alors, quand cette offre d’emploi pour un poste de RSSI dans un grand groupe français du CAC40 m’a été présentée par un lecteur du blog, j’ai étudié la question avec intérêt.
Voici la fiche de poste qui m’a été présentée :
Missions Principales :
• Garantir la protection de nos données, applications, infrastructures IT et Réseau contre les cyber-risques
• Évaluer les risques et auditer la vulnérabilité IT
• Assurer la veille technologique sur la sécurité IT et les standards IT
• Définir et suivre l’application des normes de sécurité IT de l’entreprise en particulier lors du choix des solutions (contrats software et communication)
• Participer aux déploiements de solutions innovantes applicatives en apportant les moyens de protection appropriés
• Organiser un comité trimestriel de Sécurité des Infrastructures avec l’ensemble des sociétés de l’entreprise, en collaboration avec le responsable Telecom de l’entreprise
• Participer à la réalisation du budget Infrastructure sur son périmètre de responsabilité
• Suivre l’application (par les sociétés de l’entreprise) des standards de sécurité Infrastructure et réseaux indiquées dans la PSSI (15 security rules, SOC…)
• Définir la future stratégie de Sécurité de l’entreprise à mettre en œuvre après TSA
• Assurer la relation avec les fournisseurs de matériel, logiciel et services définis dans le portefeuille de standards et sécurité IT.
• Piloter en particulier la prestation de SOC délivrée par le partenaire, les comité sécurité avec les infogérants et les chaine d’alertes associées
• Animer le réseau Sécurité IT en relation avec les filiales et apporter un support technique aux IT locaux et aux IT Industriels sur la sécurité
• Définir, suivre les indicateurs de sécurité IT (KPI) et les communiquer à la DSI
• Définir la charte de sécurité IT et en assurer la mise à jour et la promotion en relation avec la Communication Interne et les IT Locaux
Compétences requises (techniques, …) :
Maitrise des technologies Microsoft
Maitrise de l’état de l’art en matière de cyberdéfense
Anglais +
Rigueur et sens de l’organisation
Fonctionnement et animation en réseau
Disponibilité étendue
Résistance au stress, engagement et orientation résultat
Communication interne (communauté IT globale et Directions Générales & Métiers)
Le premier entretien (téléphonique) s’est bien déroulé et mon interlocuteur était attentif et précis dans ses questions/réponses. J’ai ainsi pu franchir le premier tri des candidats.
Le deuxième entretien se faisait sur place, dans l’entreprise, dans le quartier d’affaire de la Défense du Grand-Paris. J’arrive en avance, je cherche mon chemin, je me perds entre les tours, je trouve l’entrée de la grande tour de l’entreprise, je passe la fouille du sas d’entrée, j’obtiens mon badge visiteur, j’attends que quelqu’un descende d’un des étages pour venir me chercher…
L’entretien se passe très bien, avec mon futur chef. Il répond à toutes mes questions, et je joue la carte de la franchise. L’entretien se termine au bout de deux heures. Je suis impressionné par les enjeux du poste, par la taille de l’entreprise, par les moyens mis à la disposition du RSSI.
Dix jours plus tard, j’apprends que je suis classé en première position sur la “short list” des trois candidats retenus.
Je reçois le contrat et la proposition financière.
J’étudie longuement le saut que je m’apprête à faire: réduction de salaire, déménagement sur Paris, changement d’entreprise, de métier et de fonction.
Puis je me rends compte que je n’ai pas les clés pour réussir: je n’ai jamais travaillé dans un grand groupe, je n’en connais pas les codes, la culture. Au moment de signer, je n’arrive pas à me projeter.
Je me suis vu plus fort, plus beau que je ne suis en réalité.
Je sais que ce poste est trop gros pour mes épaules.
Réaliste, je refuse la proposition.
Je continue mes recherches.
————–
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.
Ça ressemble énormément à un syndrome de l'imposteur cette réaction !
J'ai hâte de lire la suite!
Ca se discute.
Discutons.
En effet, Zythom cumulait plusieurs risques liés à des changements importants : changement de métier, changement d'entreprise, changement de lieu, changement de présence familiale, changement de codes culturels.
Cela fait beaucoup de risques, sachant qu'il est préférable de s'occuper d'un seul à la fois. Par exemple une mutation géographique au sein de la même entreprise. Ou un changement de poste dans la même entreprise. Ou un changement d'entreprise dans la même région, ou un changement de taille d'entreprise dans le même secteur d'activité, etc.
Selon ma modeste observation de mon entourage professionnel, tout ceux que j'ai vu cumuler deux risques ou plus en même temps à ce niveau de responsabilité l'ont payé par un licenciement dans les deux à trois ans.
Par conséquent, je penche pour une clairvoyance de Zythom en l'espèce, née de sa propre analyse ou de conseils extérieurs (épouse, pairs, conseil en carrières)
Je comprends l'évaluation de risques que vous faites.
Mais je la trouve incomplète. À commencer par le fait que l'expérience de Zythom (qui a au moins 3 casquettes: actuel poste, expertise & mandat local), ne se mesurerait que sous son angle professionnel pour estimer sa capacité à bouger dans un poste à plus haute responsabilité au sein d'un grand groupe.
Par ailleurs, le niveau de "responsabilité" pour un RSSI au sein d'un grand groupe implique rarement la sureté physique d'un grand nombre de personnes telle qu'on imagine celle du poste actuel de Zythom, tel que l'on a pu le voir sur ce blog; Ainsi, il est ambitieux de calculer la balance du stress avant et après changement de poste.
Autre commentaire, sur le "payé par un licenciement", je refuse de penser que le licenciement, à ce niveau professionnel, et dans ce secteur, serait une conséquence absolument négative, l'aversion au risque et le jugement dur de l'échec sont des freins psychologiques, typiquement français, au développement professionnel.
Savoir sortir de sa zone de confort semble être un sous-thème de cette série de billets, et je trouve que celui-ci me laisse sur ma faim 😉
Au plaisir de vous relire!