Ceux qui me suivent depuis le début sur ce blog savent que j’ai un parcours professionnel particulier : diplôme d’ingénieur en poche, j’ai passé une thèse sur les réseaux de neurones comme maître assistant, puis travaillé comme maître de conférences, puis comme professeur-chef de projet informatique dans une école d’ingénieurs généralistes en mode startup (lire cette série de billets), où je suis ensuite devenu responsable informatique, DSI, et enfin directeur technique et informatique.
Puis, en désaccord avec le directeur général sur l’importance des moyens humains à consacrer au développement du numérique, j’ai quitté début 2019 l’entreprise que j’avais contribué à développer, pour rejoindre une magnifique structure où j’apprends à endosser les habits du RSSI.
Mon âge et mon parcours font dire à certains de mes jeunes collègues que je me comporte encore comme un DSI, plutôt que comme un expert technique.
J’ai déjà écrit dans un billet ce que je pensais du profil idéal du RSSI, que je vois comme la fusion d’un expert technique et d’un expert des processus de son entreprise.
Ce que je n’ai pas écrit, c’est comment moi je me situe face à ce profil idéal… Et bien je pense être un DSI expérimenté de petite structure, expert des processus de son ex PME, qui s’est lancé le défi d’apprendre à devenir un expert technique cyber tout en découvrant les processus métiers de sa nouvelle entreprise internationale…
Bref, je suis un débutant en cyber et un bleu dans l’entreprise !
C’est excellent pour la taille des chevilles et de la tête, et cela me rappelle mes débuts dans la recherche quand mon mentor me disait : “Zythom, tout ce que tu as cru apprendre en classes préparatoires et en école d’ingénieurs, il va falloir maintenant le comprendre réellement, et il y a beaucoup de travail !”.
C’est exactement ce qu’il se passe depuis trois ans et demi : beaucoup des “réflexes” que j’avais pu acquérir comme DSI sont à désapprendre pour être mieux appris, et surtout compris dans le nouveau contexte de la sécurité informatique d’une grande entreprise. Il y a un effet d’échelle.
Un exemple ? Prenons le chiffrement du disque d’un ordinateur portable sous Windows. Comme DSI de PME, il m’a suffi de regarder ce que Microsoft proposait comme solution, puis de retenir Bitlocker, de rédiger un mode d’emploi, puis de demander au personnel concerné de chiffrer sa machine, avec mon appui et celui du service informatique. Comme RSSI dans une structure de grande taille, il m’a fallu étudier toutes les solutions avec les experts techniques (beaucoup plus pointus que moi sur le sujet) et retenir avec eux la solution qui pouvait être déployée sur une grande échelle, puis gérée par l’équipe support face à tous les incidents possibles (un utilisateur se trouvant à l’étranger et oubliant sa clé de déchiffrement, par exemple).1
J’ai encore beaucoup à apprendre, et beaucoup de coups à recevoir, avant de perdre les habits soyeux du DSI pour l’armure cabossée du RSSI. Mais l’aventure est passionnante 🙂
1 – Pour la petite histoire, nous avons retenu le logiciel Cryhod qui cochait toutes les cases.
Avec le temps, j’ai réussi à me concentrer sur les missions du RSSI, sans toutefois oublier complètement les contraintes d’un DSI, ni les exigences d’un professeur, et petit à petit, j’ai compris les codes de l’entreprise, et j’ai pu réussir à construire une stratégie d’amélioration de la sécurité informatique, par petits pas.
Mais si je devais donner un seul conseil aux jeunes RSSI qui, comme moi, débutent sur ce marché, c’est de s’inscrire aux deux organismes phares du secteur : le CESIN et le CLUSIF, de participer aux échanges, aux retours d’expérience, et aux salons professionnels.
Pour l’instant, ma soif d’apprendre n’a pas diminué, et je continue de creuser mon sillon.
Simple curiosité, mais pourquoi ne pas avoir qualifié VeraCrypt pour le chiffrement de disque ? Est-ce simplement par un manque de fonctionnalité (backup des clés, etc.) ou autre chose ?
Parce qu’il me semble que c’est un logiciel ultra audité, fiable, largement reconnu et multiplateforme (et libre)