Le DSI devenu RSSI

Ceux qui me suivent depuis le début sur ce blog savent que j’ai un parcours professionnel particulier : diplôme d’ingénieur en poche, j’ai passé une thèse sur les réseaux de neurones comme maître assistant, puis travaillé comme maître de conférences, puis comme professeur-chef de projet informatique dans une école d’ingénieurs généralistes en mode startup (lire cette série de billets), où je suis ensuite devenu responsable informatique, DSI, et enfin directeur technique et informatique.

Puis, en désaccord avec le directeur général sur l’importance des moyens humains à consacrer au développement du numérique, j’ai quitté début 2019 l’entreprise que j’avais contribué à développer, pour rejoindre une magnifique structure où j’apprends à endosser les habits du RSSI.

Mon âge et mon parcours font dire à certains de mes jeunes collègues que je me comporte encore comme un DSI, plutôt que comme un expert technique.

J’ai déjà écrit dans un billet ce que je pensais du profil idéal du RSSI, que je vois comme la fusion d’un expert technique et d’un expert des processus de son entreprise.

Ce que je n’ai pas écrit, c’est comment moi je me situe face à ce profil idéal… Et bien je pense être un DSI expérimenté de petite structure, expert des processus de son ex PME, qui s’est lancé le défi d’apprendre à devenir un expert technique cyber tout en découvrant les processus métiers de sa nouvelle entreprise internationale…

Bref, je suis un débutant en cyber et un bleu dans l’entreprise !

C’est excellent pour la taille des chevilles et de la tête, et cela me rappelle mes débuts dans la recherche quand mon mentor me disait : “Zythom, tout ce que tu as cru apprendre en classes préparatoires et en école d’ingénieurs, il va falloir maintenant le comprendre réellement, et il y a beaucoup de travail !”.

C’est exactement ce qu’il se passe depuis trois ans et demi : beaucoup des “réflexes” que j’avais pu acquérir comme DSI sont à désapprendre pour être mieux appris, et surtout compris dans le nouveau contexte de la sécurité informatique d’une grande entreprise. Il y a un effet d’échelle.

Un exemple ? Prenons le chiffrement du disque d’un ordinateur portable sous Windows. Comme DSI de PME, il m’a suffi de regarder ce que Microsoft proposait comme solution, puis de retenir Bitlocker, de rédiger un mode d’emploi, puis de demander au personnel concerné de chiffrer sa machine, avec mon appui et celui du service informatique. Comme RSSI dans une structure de grande taille, il m’a fallu étudier toutes les solutions avec les experts techniques (beaucoup plus pointus que moi sur le sujet) et retenir avec eux la solution qui pouvait être déployée sur une grande échelle, puis gérée par l’équipe support face à tous les incidents possibles (un utilisateur se trouvant à l’étranger et oubliant sa clé de déchiffrement, par exemple).1

J’ai encore beaucoup à apprendre, et beaucoup de coups à recevoir, avant de perdre les habits soyeux du DSI pour l’armure cabossée du RSSI. Mais l’aventure est passionnante 🙂

1 – Pour la petite histoire, nous avons retenu le logiciel Cryhod qui cochait toutes les cases.

Avec le temps, j’ai réussi à me concentrer sur les missions du RSSI, sans toutefois oublier complètement les contraintes d’un DSI, ni les exigences d’un professeur, et petit à petit, j’ai compris les codes de l’entreprise, et j’ai pu réussir à construire une stratégie d’amélioration de la sécurité informatique, par petits pas.

Mais si je devais donner un seul conseil aux jeunes RSSI qui, comme moi, débutent sur ce marché, c’est de s’inscrire aux deux organismes phares du secteur : le CESIN et le CLUSIF, de participer aux échanges, aux retours d’expérience, et aux salons professionnels.

Pour l’instant, ma soif d’apprendre n’a pas diminué, et je continue de creuser mon sillon.

Recentrage

Je me demandais si mon corps n’était pas en train de me lâcher à cause du vieillissement, mais j’ai réalisé que je menais de plus en plus d’activités et que ça partait en cacahuète dans tous les sens.

Le fait de travailler trois jours par semaine en région parisienne, dans mon petit logement d’étudiant, puis de revenir quatre jours dans ma lointaine province, auprès de Mme Zythom, et cela chaque semaine, ça fatigue un peu.

Pratiquer à plein temps depuis trois ans et demi, le métier de RSSI d’une grande école française, cela fatigue aussi quelque peu. Ce métier est horriblement fatiguant, mais tellement passionnant, mais épuisant !

Mener de front un grand nombre de conversations sur différents média, cela aussi c’est épuisant : Twitter, Mastodon, Signal, Shadeline, Discord… Tous ces canaux de discussion demandent du temps et de l’investissement.

J’ai donc décidé de réduire la voilure, et de ne garder que ce blog comme petite parcelle d’internet pour ma liberté d’expression. Si vous me suiviez sur Mastodon ou sur Twitter, je ne pense pas continuer à y publier grand chose : abonnez-vous aux flux RSS de publication des billets, ou venez quelques fois par ici voir si ça bouge encore. Si vous voulez échanger avec moi, vous pouvez laisser un commentaire sur le blog, ou m’écrire par email sur les coordonnées que vous trouverez sur ma page contact.

Ne vous sentez obligé de rien, les lectrices et lecteurs silencieux, c’est très bien aussi 🙂

PS: Je suis sur un gros projet professionnel, donc nécessairement moins présent aussi ici.

Le jugement qui fait plaisir

Une fois que l’expert judiciaire a déposé son rapport au greffe du tribunal, sa mission est achevée et il est dessaisi du dossier. Les avocats peuvent s’écharper sur le rapport, minimiser son impact, ou essayer de décrédibiliser son auteur, l’expert n’en saura en général rien. Ses oreilles siffleront sans doute, surtout si l’expertise a été houleuse, avec une partie agressive ou un conflit loin d’être apaisé (ce n’est pas le rôle de l’expert de trouver une médiation, sauf si c’est explicitement écrit dans les missions confiées par le magistrat qui le désigne).

Continuer la lecture

Comment éviter les arnaques sur LeBonCoin

Avant toutes choses, pour déminer le terrain, ce billet n’est sponsorisé par personne (je renvoie les éventuels sponsors de ce blog au 6e paragraphe de ma page contact). Ensuite, l’une des réponses possibles à la question posée dans le titre est “en n’utilisant pas LeBonCoin“, mais du coup, le billet est très court, est devient particulièrement inintéressant.

Continuer la lecture

Les disquettes du comptable

Je passe au broyeur mes vieux dossiers. Il n’est pas toujours facile pour un expert judiciaire de savoir quand détruire définitivement ses dossiers, car les textes sur le sujet évoluent et à la durée minimale de conservation s’ajoutent les délais générés par les différents appels éventuels des parties, qui sont rarement transmis à l’expert, celui-ci étant dessaisi dès la remise de son rapport.

Continuer la lecture

Sécuriser son serveur WordPress

Il existe de nombreux tutoriels consacrés à ce sujet, je ne vais donc faire que survoler le sujet. Mon objectif est surtout de rappeler des règles simples.

Le serveur

Si vous faites de l’autohébergement complet, le serveur est chez vous. Il faut donc sécuriser la machine d’un point de vue physique et logiciel. J’ai fait le choix d’une machine virtuelle dédiée uniquement au fonctionnement du service WordPress. Elle est située sur un NAS Synology permettant de faire fonctionner des machines virtuelles. Ce NAS est en hauteur (pour échapper aux coups de balais ou de serpillières) et branché sur un onduleur électrique pour l’isoler des micro-coupures, des variations de tension et des coupures électriques de moins d’une demi heure.

Continuer la lecture

Retour à l’anormale

J’ai définitivement quitté mon hébergeur, qui persiste à nier le problème survenu le 2 avril dernier. J’ai pourtant contacté le service support, signalé les heure et date, décrit la nature du problème, exploré les logs qui me sont accessibles, demandé l’escalade dans le suivi de ma demande, pour me permettre de reprendre confiance, rien n’y a fait.

Le plus drôle est que le support s’est plusieurs fois étonné que je signale un problème alors que le blog fonctionne parfaitement. A chaque fois, j’ai du leur expliquer que si ce blog fonctionne de nouveau, c’est qu’il est hébergé ailleurs que sur leur plateforme…

Continuer la lecture

Restauration d’un serveur WordPress

Voici en partage ma fiche de procédure en cas de crash de mon serveur WordPress et que je viens d’utiliser pour le remettre en service.

Le contexte :
Je loue un serveur WordPress “clef en main” chez un hébergeur. Comme tout serveur WordPress, j’ai un compte administrateur qui me permet de le paramétrer et de choisir des extensions. Parmi les extensions que j’ai choisies, celle qui gère la sauvegarde de mon site s’appelle UpdraftPlus. Elle est paramétrée pour faire une sauvegarde complète (base de données WordPress, extensions, thèmes, etc.) régulièrement. Je transfère manuellement les fichiers de sauvegarde par ftp chez moi pour disposer de sauvegardes externalisées et respecter la règle 3-2-1.

Continuer la lecture

Blog en PRA

Mon hébergeur rencontre des difficultés actuellement. J’ai donc basculé le blog sur mon PRA, c’est-à-dire un simple WordPress sur Yunohost sur un Raspberry Pi dans mon bureau derrière ma ligne fibre…

Si vous rencontrez des problèmes ou des lenteurs, c’est donc “normal”.

Ce billet sert d’ailleurs de test de charge ^^

Un petit Retex d’ici peu…

Le creux de la vague

J’ai été opéré récemment, ce qui explique (en partie) mon silence relatif sur ce blog. J’avais déjà essayé la souffrance mentale, mais là, j’ai testé la souffrance physique.

Jusqu’à prendre de la morphine pendant plusieurs jours… C’est bien la morphine, ça joue comme un interrupteur sur le ressentie de la douleur par le cerveau. Mais le corps continue de souffrir et la fatigue s’installe. Une semaine allongé à se tordre de douleur, puis une semaine allongé à somnoler dans le brouillard.

Continuer la lecture