La formation du RSSI

L’ANSSI a publié un panorama des métiers de la cybersécurité 2020. Assez naturellement, je suis allé lire la fiche consacrée au RSSI (pages 10 à 13). A la partie “formation recommandée”, il est écrit : “Bac + 5 avec une spécialisation en cybersécurité”.

Je disconviens respectueusement.

Premier point : il manque une connaissance approfondie des rouages de l’entreprise. En discutant aux Assises de la Cybersécurité 2020 avec Mathieu Rigotto (qui m’autorise à le citer), celui-ci me faisait remarquer qu’un bon RSSI devrait aussi avoir un MBA. En effet, la maîtrise en administration des affaires est le diplôme international d’études supérieures du plus haut niveau dans le domaine de la conduite globale des affaires : stratégie, marketing, finances, ressources humaines et management (source Wikipédia).

Je rencontre souvent deux types de RSSI : un expert technique pour qui les challenges sécurité n’ont aucun secret, ou un diplomate fin négociateur pour qui les exigences métiers n’ont aucun secret. Deux profils assez différents.

Le premier est un Snipper, le deuxième est un Général.

Pour être un bon Général, il n’est pas nécessaire d’être un bon Snipper (mais c’est un cheminement possible). Et pour être un bon Snipper, il n’est pas nécessaire d’être un bon Général (mais c’est un cheminement également possible).

Les deux profils cohabitent donc, et à mon avis, la meilleure formation, c’est la somme des deux : le meilleur RSSI doit donc avoir une solide formation technique, complétée par une bonne vision méthodologique, mais aussi une solide formation orientée sur les besoins des métiers de l’entreprise. Un ingénieur informatique avec spécialisation en cybersécurité ayant complété sa formation par un MBA.

Un RSSI ne doit pas produire une analyse de risque basée uniquement sur l’aspect technique, comme par exemple, “cette application est trouée de toute part, je m’oppose à ce qu’elle soit utilisée”. Il doit aussi intégrer le besoin métier, voire le besoin stratégique de l’entreprise. Ainsi, par exemple : “notre percée sur ce marché dépend de la rapidité avec laquelle nous allons pouvoir le conquérir, au besoin avec une application trouée de toute part”.

Et ça, c’est BEAUCOUP plus difficile à assumer.

Deuxième point de désaccord : bac + 5. En effet, beaucoup de jeunes arrêtent les études supérieures avant, pour un tas de raisons. Ils commencent à travailler dés le bac (ou avant), ou à bac+2 ou +3. Pourtant, la connaissance ne s’acquière pas uniquement sur les bancs de l’école, fut-elle supérieure, ou de l’université. Vous pouvez apprendre dans l’entreprise, avec l’aide des collègues, des anciens, sur le tas confronté aux projets, dans les livres, ou tout simplement en faisant de la veille.

Cela peut paraître contradictoire avec mon premier point, où j’évoquais le diplôme d’ingénieur et le MBA, mais pas du tout : il y a une équivalence naturelle avec l’expérience acquise en entreprise (enfin qui devrait être naturelle si les recruteurs étaient moins fermés). Il y aurait tellement à écrire sur le problème des diplômes en France…

Bref, il y a longtemps, mes professeurs vantaient les avantages des formations technico-commerciales, de même aujourd’hui, je conseille une solide expérience technique, assortie à une très bonne connaissance de la conduite des affaires. L’une complète l’autre, pour envisager être un bon RSSI. Savoir capturer le drapeau n’est pas forcément nécessaire, ni suffisant.

5 réflexions sur « La formation du RSSI »

  1. Cher Zythom,
    merci pour cet excellent billet, un de plus.
    Je ne suis toutefois pas complètement d’accord avec le rôle que vous présentez du RSSI, qui devrait assumer tous les risques (au sens positif ou négatif du terme) dans son analyse. Le RSSI est là pour présenter et assumer les risques relatifs à la sécurité des informations. Intégrer cette vision dans la stratégie globale de l’entreprise, c’est le rôle du “responsable (global) des risques” ou du directeur général.
    Savoir mener une analyse de risques est un vrai métier. La mener nécessite du temps, en se penchant sur des scénarios opérationnels complexes, des risques liés aux fournisseurs, clients, … il faut intégrer tout cela dans une stratégie (ou des valeurs) métier, je suis d’accord, mais c’est aux lignes métiers d’assumer les valeurs des informations et les scénarios stratégiques. Avoir une formation de MBA permet d’avoir un regard critique sur ces éléments et de faire honorablement l’interface avec les lignes métiers, oui. Mais qu’un RSSI assume les cotations des valeurs métiers voire définisse lui-même les scénarios stratégiques, c’est dévaloriser et déresponsabiliser les lignes métiers.
    Le RSSI est aussi là pour être le gardien du temple, et faire valoir l’aspect sécurité auprès de la DG. Comme image, on peut dire que ce n’est pas au Pape d’être favorable à l’avortement (quoi qu’il en pense à titre personnel), mais d’être là pour expliquer les arguments qui conduisent l’Eglise à être contre. S’il ne le fait pas, qui le fera dans l’entreprise ?
    Ces éléments sont bien sûrs à mettre en perspective de la taille et de la culture de l’entreprise. Mais lorsque les ressources le permettent, je pense qu’il est préférable que le RSSI affiche une position claire de priorité à la protection des informations.

    • Merci Christophe de ce retour. Je suis bien entendu d’accord sur le fait que le RSSI doit être clair sur son rôle de protection de l’information. Mais ce rôle s’inscrit dans une vision stratégique portée par la direction générale dont il doit prendre intimement conscience (d’où mon exemple d’une application non sécurisée mais stratégique). C’est un exercice délicat, et je pense que le RSSI ne doit pas limiter son angle de vue, même s’il doit savoir rester à sa place.

  2. RSSI, le faux métier par excellence :

    – La cybersécurité est un monde d’imposteurs,
    – Les organisations n’ont pas de moyens,
    – Les organisations ne jouent pas le jeu de la sécurité,
    – Les organisations sont corrompues (magouilles, contrats en dehors des marchés),
    – Collusions entre privé et public,
    – Aucune vision politique de l’Etat ni des organisations.

    • Beaucoup d’affirmations, peu d’apport à la discussion. Que faites-vous à votre propre niveau pour améliorer les choses ?

  3. Auriez vous par hasard une recommandation d’ouvrage accessible à quelqu’un ayant une formation purement informatique (Thèse en info théorique) et aucunement dans le monde de l’entreprise. Parce que si faire un MBA prendrait bien trop de temps, obtenir des connaissances même basique semble un premier pas intéressant

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.