Quand on fait de la sensibilisation à la cybersécurité, tous les slogans sont intéressants, dès lors qu’ils marquent les esprits et contribuent à faire prendre conscience à chacun qu’il a un rôle à jouer dans la sécurité informatique de l’entreprise.
Lors des réunions d’échanges avec mes confrères et consœurs RSSI, je note souvent quelques punchlines que je trouve intéressantes, et je les teste sur mes collègues de travail ou sur les utilisateurs de mon entreprise.
Par exemple, j’aime assez la phrase d’autodérision suivante : “Avant une attaque cyber, on se demande souvent à quoi sert le RSSI. Et après une attaque cyber, on se demande à quoi il a servi…”
Autres exemples que je place dans mes visuels de sensibilisation : – La sécurité commence par votre esprit, pas par votre clé secrète. – Protégez votre vie privée et votre tranquillité d’esprit. – Lock it down, protect it up, and block the hackers. – Stay safe online. Don’t be quick to click – Secure your data, secure your future – Vous fermez bien votre porte à clé, alors pourquoi ne pas verrouiller votre poste de travail ?
Un jour, lors d’une petite intervention devant mes collègues, j’ai terminé ma présentation par une pirouette assez triviale en disant : J’ai la chance d’avoir la plus grande équipe de l’entreprise, car *tous* les salariés travaillent pour la sécurité informatique. Et oui, la cyber, c’est super !
Sans que je m’y attende, mes collègues se sont appropriés cette dernière phrase, et me font souvent un clin d’œil quand on se croise, ponctué d’un “la cyber, c’est super“. J’ai donc adopté cette petite phrase que j’utilise presqu’à chaque fois pour finir une intervention, ce que je vais faire dans ce billet :
Et pour résumer mon intervention, retenez bien ceci : [silence de deux secondes] La cyber, c’est super
Il y a une tradition que j’aime bien et que je retrouve sous une forme ou sous une autre dans toutes les entreprises dans lesquelles je suis intervenu et qui illumine le quotidien des responsables cybersécurité.
Mais avant, je dois rappeler le contexte : vous pouvez mettre en place tous les systèmes de sécurité possibles, il faut bien qu’à un moment ou à un autre, l’utilisateur puisse travailler… Car, après avoir vérifié son badge à l’entrée de l’entreprise, après lui avoir autorisé l’accès à la porte de son bureau, après lui avoir demandé son (dernier) mot de passe valide, puis un deuxième facteur d’authentification par un moyen alternatif, et enfin après un redémarrage pour l’installation des mises à jour de sécurité qui l’oblige à ressaisir son mot de passe (s’il n’a pas expiré entre temps) et son deuxième facteur d’authentification, vous êtes bien obligé de le laisser accéder à son ordinateur de travail.
Sauf que, l’utilisateur est une personne qui a la bougeotte : il lui prend parfois l’envie de s’éloigner de son ordinateur pour un temps supérieur à la seconde, en le laissant sans surveillance ou pire, sous la surveillance de ces collègues de l’openspace.
Et là, je me permets une courte citation d’un sonnet de Pierre de Ronsard :
De soupirs et de pleurs il convient de me repaistre, Te voyant au cercueil, hélas ! trois fois hélas !
Car le responsable cyber est fourbe par nature et par construction, il sait profiter de la faiblesse humaine, comme les assaillants contre lesquels il lutte souvent seul. Et il est gourmand.
La règle est donc : toute personne laissant son ordinateur sans surveillance avec sa session ouverte se verra croissanté.
Car, une personne malveillante (un collègue) ou le responsable cyber (forcément malveillant) se fera un malin plaisir de s’installer devant l’ordinateur laissé seul avec une session ouverte, afin d’envoyer sous l’identité de l’utilisateur imprudent un email à tous ses collègues de travail, les informant qu’il amènera des croissants pour tout le monde dans la matinée du prochain jour ouvré…
Variante : envoyer un email à toute l’entreprise pour informer qu’une souris à boule à port ps/2 est à vendre, faire proposition.
Variante 2 : proposer d’amener des petits pains, mais attention à la polémique avec les collègues qui utilisent (à tord) l’expression “pains au chocolat” ou “chocolatines”. Mais les polémiques, c’est bien aussi, cela permet de sensibiliser l’utilisateur imprudent.
Conseils : quand vous vous faites croissanter, ne vous vexez pas. Prenez le comme une incitation à être plus vigilant. Si vous êtes “croissanteur”, ne piégez pas “méchamment” un collègue en envoyant un email à toute la Direction, restez soft, car un jour aussi, vous serez croissanté 🙂
Pour finir, je précise que je ne me suis pas encore fait croissanter, mais que cela arrivera forcément un jour. Et ce jour là, vous sentirez une faiblesse dans La Force.
J’ai étudié le fonctionnement du cerveau humain lorsque j’ai travaillé avec des neurologues et des éducateurs de jeunes enfants, pendant ma thèse sur les réseaux de neurones formels. Cela me passionnait et la complexité du cerveau humain me fascine toujours, surtout quand il s’agit du fonctionnement de mon propre cerveau. Je suis d’ailleurs un adepte de l’introspection.
L’introspection (du latin « introspectus ») désigne l’activité mentale que l’on peut décrire métaphoriquement comme l’acte de « regarder à l’intérieur » de soi, par une forme d’attention portée à ses propres sensations, états ou pensées. Il s’agit en psychologie de la connaissance intérieure que nous avons de nos perceptions, actions, émotions, connaissances, différente en ce sens de celle que pourrait avoir un spectateur extérieur. Source Wikipédia
Hélas, l’introspection a ses limites, car comme l’a si bien écrit Auguste Comte : “On ne peut pas se mettre à la fenêtre pour se regarder passer dans la rue“. Et j’en ai fait l’amère expérience.
Remontons un peu dans le temps, de quelques mois. En tant que responsable de la cybersécurité, je dois mener à bien dans mon entreprise beaucoup de projets de sécurité informatique, et ces projets m’amènent à travailler avec beaucoup de personnes. Comme dans toutes les entreprises, cela se passe parfois bien, et parfois moins bien : je me heurte à des résistances ou des comportements hostiles.
Rien de neuf sous le soleil, mais cette fois j’ai eu à gérer un comportement très hostile qui m’a demandé beaucoup d’énergie. Sans entrer dans des détails inutiles, je me suis attaché à remplir mes missions et à garder une attitude professionnelle, mais la collaboration se passait très mal. J’ai changé mes méthodes, mes analyses, mes outils, mes arguments. Je me suis remis en cause, j’ai travaillé plus, et plus longtemps. Et, sans vraiment m’en rendre compte, je me suis mis à tourner comme un hamster dans sa cage : beaucoup d’énergie dépensée pour peu de résultats.
Ma hiérarchie demande des résultats, et c’est bien normal puisqu’en échange je touche un salaire avec une partie liée à des objectifs. Donc, moins j’avais de résultats, plus je déployais d’efforts, d’analyses, de stratégies, de techniques de contournement, pour arriver à avancer sur mes projets. Petit à petit, la pression augmentait. J’essayais de remettre en cause mes compétences, mes connaissances, mon savoir-faire, mon savoir-être, mais rien n’y faisait.
Mon regard introspectif et ma logique d’analyse de mes propres sensations ne me donnaient aucun indice sur ce qui était en train de se passer dans mon cerveau : une petite voix intérieure me soufflait de stopper cette spirale infernale d’épuisement mental.
Quand j’écris “petite voix intérieure”, le lecteur que je suis (comme vous, je lis ce texte, je suis même le premier à le lire), le lecteur que je suis, donc, imagine quelqu’un qui parle à voix basse, comme une sorte de diablotin/ange posé sur l’épaule. Mais ce n’est pas cela du tout : la partie consciente de mon cerveau, celle qui tient les commandes, est seule à la manœuvre.
la conscience serait un phénomène mental caractérisé par un ensemble d’éléments plus ou moins intenses et présents selon les moments : un certain sentiment d’unité lors de la perception par l’esprit ou par les sens (identité du soi), le sentiment qu’il y a un arrière-plan en nous qui « voit », un phénomène plutôt passif et global contrairement aux activités purement intellectuelles de l’esprit, actives et localisées, et qui sont liées à l’action (par exemple la projection, l’anticipation, l’histoire, le temps, les concepts…). Extrait de la page “conscience” de Wikipedia
La conscience s’appuie sur un ensemble complexe de circuits neuronaux qui s’organisent en réseaux pour traiter les entrées sensorielles, les relayer jusqu’au cortex, puis les traduire en sorties comportementales ou psychiques. La variété des comportements nécessite que certains réseaux soient sélectionnés en fonction des différents types de situations vécues. Cette sélection est réalisée par les neurones dits modulateurs, qui libèrent de la sérotonine, de la noradrénaline ou de la dopamine.
La conjonction de plusieurs disciplines – l’anatomie, la neurobiologie comportementale et la neuropharmacologie – a permis de définir une entité dénommée « circuit de la récompense », constituée de structures cérébrales en interrelation (noyau accumbens, septum, amygdale, hippocampe, cortex préfrontal), elles-mêmes sous la dépendance des afférences dopaminergiques venant de l’aire tegmentale ventrale. Le cortex préfrontal est impliqué dans la motivation et la focalisation de l’attention, l’amygdale est considérée comme étant le centre des émotions, et l’hippocampe serait le régulateur de la mémoire. Quant au noyau accumbens, il jouerait un rôle d’interface entre les émotions et les sorties motrices. Toutes ces structures se projettent sur l’hypothalamus, qui régule les fonctions neurovégétatives de l’organisme, c’est-à-dire les fonctions vitales telles que le rythme cardiaque ou la régulation thermique, des fonctions métaboliques comme la faim et la soif, et également la reproduction. L’aire tegmentale ventrale, enfin, reçoit les informations de plusieurs régions cérébrales, dont l’hypothalamus, et transmet ses ordres au noyau accumbens et au reste du circuit de la récompense en modifiant la libération de dopamine Source “Le circuit de la récompense” de Jean-Pol Tassin
Un stress intense peut briser le circuit de la récompense en modifiant la libération de dopamine.
Non seulement j’étais de plus en plus déprimé en quittant mon travail, mais j’y allais de plus en plus “avec la boule au ventre”. Plus le temps passait, plus le fonctionnement “normal” de mon cerveau se dégradait et j’en étais le spectateur inconscient. La dopamine est indispensable à la survie de l’individu car elle joue un rôle dans la motivation. Ma “petite voix intérieure” me soufflait de plus en plus fort de tout arrêter PAR TOUS LES MOYENS et mon angoisse se transformait en pensées sombres.
Je me mettais à transpirer abondamment en pleine réunion, ou à balbutier en pleine intervention, comme une crise de panique sans raison. Je dormais beaucoup mais mal, je me réveillais au milieu de la nuit sans pouvoir me rendormir. J’étais tout le temps fatigué.
Les gens sont parfois victimes d’incendie, tout comme les immeubles. Sous la tension produite par la vie dans notre monde complexe leurs ressources internes en viennent à se consumer comme sous l’action des flammes, ne laissant qu’un vide immense à l’intérieur, même si l’enveloppe externe semble plus ou moins intacte. Herbert J. Freudenberger, psychologue et psychothérapeute américain
Vous l’avez compris, j’ai été victime d’un épuisement professionnel (je vous invite à lire cette page très intéressante de Wikipédia car elle décrit beaucoup d’autres situations très différentes de la mienne).
Si j’ai décidé d’écrire ce billet, c’est parce que je m’en suis sorti grâce à deux RSSI qui ont osé briser le tabou du silence et témoigner lors d’une conférence à laquelle j’ai assisté. Je n’oserai sans doute pas faire de même car j’ai encore du mal à en parler, mais j’ai la chance d’avoir ce blog qui me sert de thérapie.
Je m’en suis sorti grâce au soutien de Mme Zythom qui a su m’entourer de son amour sans me juger ni me donner les conseils bateaux du type “non mais ça va aller” ou “il y a plus à plaindre que toi”. Le burn-out est un incendie intérieur ne laissant qu’un vide immense.
Je m’en suis sorti grâce à l’intervention de mon nouveau chef qui a su reconnaître ma situation d’épuisement et prendre les bonnes décisions de soutien.
Ce qui est sûr, c’est que je ne m’en suis pas sorti grâce à mon cerveau.
Parmi les rares abonnements payants auxquels j’ai souscrits, celui de Next INpact arrive loin devant : c’est pour moi une revue tenue par des journalistes spécialisés de très haut niveau et particulièrement compétents. C’est aussi la seule revue dont je lis les commentaires publiés sous les articles, car les abonnés partagent une passion commune, celle de l’informatique.
Si j’écris ce billet, c’est parce qu’après 23 années d’existence, la revue risque de disparaître, et que j’ai la chance de pouvoir atteindre quelques milliers d’internautes à travers ce blog, non seulement pour vous encourager à vous abonner à cette revue qui ne vous imposera aucune publicité, mais surtout pour aller voir les financiers de votre entreprise et leur parler de mécénat et défiscalisation :
Nous pouvons être sauvés grâce au soutien des acteurs du numérique, à l’aide de mécénats défiscalisables – le mécénat d’entreprises ouvrant droit à une réduction d’impôt égale à 60 % du montant du don (IR ou IS) dans la limite de 0,5 % du chiffre d’affaires ou 20 000 euros maximum en cas de dépassement de cette limite. Je reste convaincu que certains souhaiteraient que nous poursuivions notre aventure aussi longtemps que possible. Une fois que la société INpact mediagroup sera fermée, il ne sera plus possible de revenir en arrière. Si vous souhaitez nous aider, c’est maintenant ou jamais.
Si vous connaissez Bernard Arnaud (ou son conseiller fiscal), ou si vous travaillez dans une entreprise du numérique capable de comprendre les enjeux autour de cette formidable équipe, ne tardez pas.
Il y a quatre ans, j’ai fait un pari relativement osé : changer d’orientation professionnelle et quitter mon foyer pour aller travailler à Paris la moitié de la semaine. Chaque dimanche soir, je quitte l’amour de ma vie pour prendre un train qui m’amène dans la capitale, et chaque mercredi ou jeudi soir, je fais le chemin inverse. J’ai pris une “coquette studette” près de mon travail pour pouvoir m’y rendre à pied tous les jours, et j’y mène une vie de moine nerd. Cela a été facilité par le départ des enfants du nid familial, et parce que la femme qui partage mon existence voyait que je dépérissais dans mon ancienne entreprise où j’avais pourtant passé 25 ans, que nous nous aimons et qu’elle a soutenu ma démarche.
Dans le billet sur le télétravail que j’ai écris avant le confinement, je n’ai pas abordé l’impact qu’il peut avoir sur un couple. En effet, aujourd’hui, “télétravail” signifie pour des millions de personnes travailler depuis son domicile familial sans faire le trajet quotidien habituel. Il n’y a pas de terme pour la personne qui alterne télétravail et “télémaison”, c’est-à-dire qui alterne travail à distance de son entreprise (en famille) pendant plusieurs jours, et vie à distance de sa famille (en entreprise) pendant plusieurs jours.
Attention, je ne me plains pas, car il s’agit d’un choix personnel, d’un choix de couple, mais avant tout d’un choix. Je ne me compare pas aux travailleurs qui vivent loin de leur famille pendant plusieurs mois, voire plusieurs années, souvent dans un pays étranger. En général, ils n’ont pas le choix, c’est une question de survie. Je les plains, eux, car ils ne voient pas grandir leurs enfants, ils ne vieillissent pas auprès de leur conjoint, et sont souvent honteusement exploités. Ce n’est pas mon cas.
Mon épouse et moi, nous vivons des vies de célibataires pendant 3 jours, et nous sommes heureux de nous retrouver et de passer 4 jours ensemble, chaque semaine. Une nouvelle jeunesse, un nouveau pari.
Trois années et demi se sont passées sur ce rythme de vie. Professionnellement, j’étais heureux d’apprendre à nouveau beaucoup de choses, dans une école de commerce prestigieuse. Mais, avec 4 chefs en 3 ans, il ne m’était pas facile de construire quelque chose dans la durée, la politique salariale de l’entreprise était nulle (0% d’augmentation pour le personnel en 3 ans) et la valse des DSI n’aidait pas à la négociation.
C’est alors que s’est produite une chose dont j’avais entendu parler, le soir dans les recoins de l’openspace, lorsqu’on évoque les mystères de la vie et les mythes des évolutions de carrière : j’ai été appelé par un chasseur de têtes.
UN CHASSEUR DE TÊTES
Rien que le nom évoque une aventure épique dans la forêt tropicale…
Le processus de recrutement qui s’en est suivi mériterait un billet à lui tout seul…
Il m’a fait une offre que je ne pouvais pas refuser. J’ai donc présenté ma démission au dernier DSI que j’ai eu comme chef, j’ai quitté cette école de commerce prestigieuse pour un groupe d’écoles privées moins prestigieuses, j’ai changé de coquette studette en proche banlieue pour une coquette studette dans Paris intra-muros. J’y mène maintenant une vie de moine nerd 4 jours par semaine.
Le nouveau travail est plus difficile, plus exigeant, avec plus de pression. Je suis toujours en période d’essai, avec un chef dont je ne sais pas s’il va vouloir me garder.
A 59 ans. Un nouveau pari. Un nouveau Paris. Le Paris de mes rêves.
Un monde nouveau, on en rêvait tous Mais que savions-nous faire de nos mains ? Zéro, attraper le Bluetooth Mais que savions-nous faire de nos mains ? Presque rien, presque rien
Voici le message que je viens d’adresser à mes utilisateurs. Si cela peut être utile à l’un de mes lecteurs, ou à ses utilisateurs…
++++ English version below
Bonjour,
Les pirates ne prennent pas de vacances, mais vous oui (enfin j’espère). Voici quelques consignes qui devraient vous permettre de partir en toute sécurité informatique :
L’emploi de smartphones, d’ordinateurs portables et de tablettes facilite et accélère le transport et l’échange de données. Parmi les informations stockées sur ces supports, certaines peuvent présenter une sensibilité importante, tant pour vous-mêmes que pour [l’entreprise]. Leur perte, leur saisie ou leur vol peut avoir des conséquences majeures sur vos activités et sur leur pérennité. Il vous faut donc, dans ce contexte de nomadisme, les protéger face aux risques et aux menaces qui pèsent sur elles, tout particulièrement lors de vos déplacements à l’étranger.
Sachez que les cybercafés, les hôtels, les lieux publics et les bureaux de passage n’offrent aucune garantie de confidentialité. Dans de nombreux pays étrangers, quel que soit leur régime politique, les centres d’affaires et les réseaux téléphoniques sont surveillés. Dans certains pays, les chambres d’hôtel peuvent être fouillées sans que vous vous en rendiez compte. Ces menaces ne sont pas inspirées de romans policiers ou d’un film d’espionnage, mais attestées régulièrement par l’actualité.
Vos appareils ne doivent contenir aucune information autre que celles dont vous avez besoin pour votre voyage. Y compris des photos, vidéos, ou des œuvres numériques qui pourraient vous placer en difficulté vis-à-vis de la législation ou des mœurs du pays visité.
Sauvegardez les données que vous emportez et laissez la sauvegarde en lieu sûr. Vous récupérerez ainsi vos informations à votre retour en cas de perte, de vol ou de saisie de vos équipements.
Évitez de partir avec des données sensibles. Privilégiez, si possible, la récupération de fichiers chiffrés sur votre lieu de mission en accédant au réseau de [l’entreprise] avec une liaison sécurisée (VPN de [l’entreprise]), sinon à une boîte de messagerie en ligne spécialement créée et dédiée au transfert de données chiffrées. Il faut supprimer les informations de cette boîte après lecture.
Utilisez un filtre de protection écran pour votre ordinateur. Cela vous permettra de travailler à vos dossiers pendant vos trajets sans que des curieux puissent lire ou photographier vos documents par-dessus votre épaule.
Marquez vos appareils d’un signe distinctif (comme une pastille de couleur). Cela vous permet de surveiller votre matériel et de vous assurer qu’il n’y a pas eu d’échange, notamment pendant le transport. Pensez à mettre un signe également sur la housse.
Pendant le voyage
Gardez vos appareils, support et fichiers avec vous. Prenez-les en cabine lors de votre voyage. Ne les laissez jamais dans un bureau ou dans la chambre d’hôtel (même dans un coffre). Protégez l’accès de vos appareils par des mots de passe forts. Ne communiquez pas d’information confidentielle en clair par téléphone ou tout autre moyen de transmission de la voix (services de VoIP comme Teams).
En cas d’inspection ou de saisie par les autorités, informez immédiatement [l’entreprise].
Fournissez les mots de passe et clés de chiffrement si vous y êtes contraint par les autorités locales puis alertez le support informatique de [l’entreprise].
En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement le support informatique de [l’entreprise]. Demandez conseil au consulat avant toute démarche auprès des autorités locales.
N’utilisez pas les équipements qui vous sont offerts (clés USB) ou que vous trouvez abandonnés. Ils peuvent contenir des logiciels malveillants. Les clés USB, de par leurs multiples vulnérabilités, sont un vecteur d’infection privilégié par des attaquants. Ne connectez pas vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance. Attention aux échanges de documents (par exemple : par clé USB lors de présentations commerciales ou lors de colloques). Emportez une clé destinée à ces échanges et jetez-la après usage.
Ne rechargez pas vos équipements sur les bornes USB libre-service. Certaines de ces bornes peuvent avoir été conçues pour copier les documents à votre insu. Privilégiez les prises électriques avec un adaptateur ad hoc.
A votre retour de voyage
En cas de doute, analysez ou faites analyser vos équipements. Ne connectez pas les appareils à votre réseau avant d’avoir fait ou fait faire au minimum un test anti-virus et anti-malwares.
Je vous souhaite de passer de bonnes vacances en toute sécurité informatique.
++++ English version
Hello,
Hackers don’t take vacations, but you do (I hope so). Here are a few instructions that should help you to travel in complete computer security:
The use of smartphones, laptops and tablets makes it easier and faster to transport and exchange data. Some of the information stored on these media may be highly sensitive, both for you and for [the enterprise]. Their loss, seizure or theft can have major consequences on your activities and on their sustainability. In this context of nomadism, you must therefore protect them from the risks and threats they face, especially when travelling abroad.
Please be aware that cybercafés, hotels, public places and temporary residence do not offer any guarantee of confidentiality. In many foreign countries, regardless of their political regime, business centres and telephone networks are monitored. In some countries, hotel rooms can be searched without your knowledge. These threats are not based on detective stories or a spy movie, but are regularly documented by current events.
Your devices must not contain any information other than the information you need for your trip. Including photos, videos, or digital artworks that could put you in difficulty with the legislation or morals of the country visited.
Back up the data you are carrying and leave the backup in a safe place. You will then recover your information upon your return in the event of loss, theft or seizure of your equipment.
Avoid leaving with sensitive data. If possible, you should prefer to recover encrypted files at your place of assignment by accessing the [enterprise] network with a secure connection ([enterprise] VPN), otherwise an online mailbox specially created and dedicated to the transfer of encrypted data. The information in this box must be deleted after reading.
Use a screen protection filter for your computer. This will allow you to work on your files during your travels without curious people being able to read or photograph your documents over your shoulder.
Mark your devices with a distinctive sign (such as a color sticker). This allows you to monitor your equipment and ensure that there has been no exchange, especially during transport. Remember to put a sign on the cover as well.
During the trip
Keep your devices, media and files with you. Take them in the cabin when you travel. Never leave them in an office or hotel room (even in a safe). Protect access to your devices with strong passwords. Do not communicate confidential information in plain text by telephone or any other means of voice transmission (VoIP services such as Teams).
In the event of inspection or seizure by the authorities, inform [the enterprise] immediately.
Provide passwords and encryption keys if required by local authorities and then alert [enterprise] IT support.
In the event of loss or theft of equipment or information, immediately inform [enterprise] IT support. Ask your consulate for advice before approaching local authorities.
Do not use the equipment offered to you (USB keys) or that you find abandoned. They may contain malicious software. USB keys, due to their multiple vulnerabilities, are a preferred infection vector for attackers. Do not connect your equipment to workstations or computer peripherals that are not trusted. Beware of document exchanges (for example: by USB key during commercial presentations or during conferences). Carry a key for these exchanges and discard it after use.
Do not charge your equipment at self-service USB terminals. Some of these terminals may have been designed to copy documents without your consent. Use electrical outlets with an appropriate adapter.
On your return from your trip
If in doubt, test or have your equipment tested. Do not connect devices to your network until you have performed or had performed at least one anti-virus and anti-malware test.
I wish you a pleasant holiday, in complete IT security.
Yours sincerely, Bien à vous, Zythom
Le blog va prendre quelques semaines de vacances. A bientôt
Lorsque son entreprise utilise Google Workspace ou Microsoft 365, le RSSI peut accéder à des outils de supervision fournis par ces deux grands éditeurs. Ces outils donnent accès à des systèmes d’alerte plus ou moins paramétrables qui permettent d’avoir des informations concernant la sécurité informatique des comptes.
Bon, voilà pour la théorie.
En pratique, quand vous devez superviser 30 000 comptes, si vous ne voulez pas être submergé d’informations, il faut “faire confiance” à des règles pré-paramétrées et à des filtres qui vous alertent quand ils repèrent un problème. Il est de plus très difficile d’être expert de chaque outil de supervision et de chacune des briques de sécurité fournies, car les règles d’alerte et les filtres changent très souvent, et sont adaptés par les équipes Google et Microsoft, sans prévenir les équipes de sécurité de leurs clients.
Si en plus vous êtes comme moi en charge de la coordination de la sécurité informatique d’une grande école de l’enseignement supérieure, alors les mois de juin et de décembre sont un peu particuliers… En effet, beaucoup d’utilisateurs se déplacent d’un coup dans le monde entier, ce qui affole les outils de détection. C’est le charme du travail avec une grande population d’étudiants.
Mais si en plus, l’école accueille un très grand nombre d’étudiants étrangers, en provenance d’un grand nombre de pays, alors là c’est le pompon : les outils détectent des connexions en provenance de PAYS A RISQUE : Syrie, Russie, Iran, Irak, Libye, Chine, Tchétchénie, Yémen…
Alors, comme toute l’année, le RSSI prend son bâton de pèlerin, et vérifie que oui, ce compte est bien attribué à une personne qui vit dans ce pays, et que oui, il est probable qu’à ce moment de l’année, cette personne soit rentrée chez elle, même dans ce pays identifié comme PAYS A RISQUE par les outils de détection américain. C’est un travail long et fastidieux, mais qui a le mérite de me faire voyager par procuration.
Et de temps en temps, je tombe sur un compte réellement compromis, en général par un pirate ayant récupéré les identifiant/mot de passe de l’étudiant quand celui-ci les utilise sur d’autres comptes, ailleurs sur la planète, et que ceux-ci se sont faits piratés…
A ce moment-là démarre une autre traque, plus délicate : la recherche des données ayant été compromises, exfiltrées par le pirate. Il faut ensuite prévenir les personnes concernées, faire les déclarations auprès des organismes appropriés (CNIL, dépôt de plainte…).
Mais ça, c’est une autre histoire. Pour l’instant, je rêve de SOC et d’armés d’experts qui pourraient m’aider dans ces tâches parfois un peu absurdes et rébarbatives : tiens, untel est-il vraiment parti en vacances/travail/famille à tel endroit ?
Ceux qui me suivent depuis le début sur ce blog savent que j’ai un parcours professionnel particulier : diplôme d’ingénieur en poche, j’ai passé une thèse sur les réseaux de neurones comme maître assistant, puis travaillé comme maître de conférences, puis comme professeur-chef de projet informatique dans une école d’ingénieurs généralistes en mode startup (lire cette série de billets), où je suis ensuite devenu responsable informatique, DSI, et enfin directeur technique et informatique.
Puis, en désaccord avec le directeur général sur l’importance des moyens humains à consacrer au développement du numérique, j’ai quitté début 2019 l’entreprise que j’avais contribué à développer, pour rejoindre une magnifique structure où j’apprends à endosser les habits du RSSI.
Mon âge et mon parcours font dire à certains de mes jeunes collègues que je me comporte encore comme un DSI, plutôt que comme un expert technique.
Ce que je n’ai pas écrit, c’est comment moi je me situe face à ce profil idéal… Et bien je pense être un DSI expérimenté de petite structure, expert des processus de son ex PME, qui s’est lancé le défi d’apprendre à devenir un expert technique cyber tout en découvrant les processus métiers de sa nouvelle entreprise internationale…
Bref, je suis un débutant en cyber et un bleu dans l’entreprise !
C’est excellent pour la taille des chevilles et de la tête, et cela me rappelle mes débuts dans la recherche quand mon mentor me disait : “Zythom, tout ce que tu as cru apprendre en classes préparatoires et en école d’ingénieurs, il va falloir maintenant le comprendre réellement, et il y a beaucoup de travail !”.
C’est exactement ce qu’il se passe depuis trois ans et demi : beaucoup des “réflexes” que j’avais pu acquérir comme DSI sont à désapprendre pour être mieux appris, et surtout compris dans le nouveau contexte de la sécurité informatique d’une grande entreprise. Il y a un effet d’échelle.
Un exemple ? Prenons le chiffrement du disque d’un ordinateur portable sous Windows. Comme DSI de PME, il m’a suffi de regarder ce que Microsoft proposait comme solution, puis de retenir Bitlocker, de rédiger un mode d’emploi, puis de demander au personnel concerné de chiffrer sa machine, avec mon appui et celui du service informatique. Comme RSSI dans une structure de grande taille, il m’a fallu étudier toutes les solutions avec les experts techniques (beaucoup plus pointus que moi sur le sujet) et retenir avec eux la solution qui pouvait être déployée sur une grande échelle, puis gérée par l’équipe support face à tous les incidents possibles (un utilisateur se trouvant à l’étranger et oubliant sa clé de déchiffrement, par exemple).1
J’ai encore beaucoup à apprendre, et beaucoup de coups à recevoir, avant de perdre les habits soyeux du DSI pour l’armure cabossée du RSSI. Mais l’aventure est passionnante 🙂
1 – Pour la petite histoire, nous avons retenu le logiciel Cryhod qui cochait toutes les cases.
Avec le temps, j’ai réussi à me concentrer sur les missions du RSSI, sans toutefois oublier complètement les contraintes d’un DSI, ni les exigences d’un professeur, et petit à petit, j’ai compris les codes de l’entreprise, et j’ai pu réussir à construire une stratégie d’amélioration de la sécurité informatique, par petits pas.
Mais si je devais donner un seul conseil aux jeunes RSSI qui, comme moi, débutent sur ce marché, c’est de s’inscrire aux deux organismes phares du secteur : le CESIN et le CLUSIF, de participer aux échanges, aux retours d’expérience, et aux salons professionnels.
Pour l’instant, ma soif d’apprendre n’a pas diminué, et je continue de creuser mon sillon.
Je me demandais si mon corps n’était pas en train de me lâcher à cause du vieillissement, mais j’ai réalisé que je menais de plus en plus d’activités et que ça partait en cacahuète dans tous les sens.
Le fait de travailler trois jours par semaine en région parisienne, dans mon petit logement d’étudiant, puis de revenir quatre jours dans ma lointaine province, auprès de Mme Zythom, et cela chaque semaine, ça fatigue un peu.
Pratiquer à plein temps depuis trois ans et demi, le métier de RSSI d’une grande école française, cela fatigue aussi quelque peu. Ce métier est horriblement fatiguant, mais tellement passionnant, mais épuisant !
Mener de front un grand nombre de conversations sur différents média, cela aussi c’est épuisant : Twitter, Mastodon, Signal, Shadeline, Discord… Tous ces canaux de discussion demandent du temps et de l’investissement.
J’ai donc décidé de réduire la voilure, et de ne garder que ce blog comme petite parcelle d’internet pour ma liberté d’expression. Si vous me suiviez sur Mastodon ou sur Twitter, je ne pense pas continuer à y publier grand chose : abonnez-vous aux flux RSS de publication des billets, ou venez quelques fois par ici voir si ça bouge encore. Si vous voulez échanger avec moi, vous pouvez laisser un commentaire sur le blog, ou m’écrire par email sur les coordonnées que vous trouverez sur ma page contact.
Ne vous sentez obligé de rien, les lectrices et lecteurs silencieux, c’est très bien aussi 🙂
PS: Je suis sur un gros projet professionnel, donc nécessairement moins présent aussi ici.
J’ai été contacté via Twitter par @ddevpros, mentor d’étudiants d’une formation Openclassrooms consacrée au métier de RSSI. Je ne connais pas cette formation, ni n’ai d’intérêts dans Openclassrooms, mais je ne peux pas résister longtemps à une demande d’interview, surtout quand celle-ci est à destination d’étudiants et qu’en plus les interviewers m’autorisent à la publier sur ce blog (autorisation obligatoire car il s’agit d’une œuvre collective). Merci donc à @ddevpros (mentor) et à Zabre (pseudo du mentoré) qui m’ont posé les questions. Je publie l’ensemble ci-dessous, en espérant que cet échange puisse aussi servir à des étudiants qui passeraient par ici.
0] Petite présentation Cette interview étant amenée à être publiée sur votre blog, pourriez-vous vous présenter succinctement pour vos nouveaux lecteurs ?
Je suis informaticien, responsable de la sécurité des systèmes d’information dans une école de commerce, où j’exerce avec passion mon métier. Comme beaucoup de personnes, j’ai aussi un certain nombre d’activités en parallèle. Pour ma part, j’ai choisi de mettre mes compétences au service de la justice qui a accepté pendant 21 ans de m’inscrire sur la liste des experts de justice. J’ai été également conseiller municipal dans ma petite mais magnifique ville de 3500 habitants. Je suis marié à une merveilleuse avocate qui m’aide (et que j’aide aussi !) à essayer d’éduquer trois merveilleux enfants plein de vie et d’intelligence que j’aime.
J’aime la spéléologie, le parachutisme et l’aviron.
J’aime l’informatique et tout particulièrement l’intelligence artificielle (et les réseaux de neurones formels bouclés). J’aime bien aussi cracker les mots de passe.
J’aime la science-fiction (surtout les auteurs classiques de l’âge d’or), l’espace, la cosmologie, les mathématiques et l’épistémologie. Le tout à un niveau débutant.
Je tiens depuis 2006 un blog sous le pseudonyme Zythom, d’abord à l’adresse zythom.blogspot.fr puis à l’adresse zythom.fr
I] Métier actuel et expériences utiles Pour ceux qui ne vous connaissent pas encore, quel est votre métier actuel ?En quoi consiste-t-il au quotidien ?Avez-vous des expériences passées qui vous ont été utiles pour ce métier ?
Je suis responsable de la sécurité des systèmes d’information. Mon rôle dans l’entreprise est de définir et mettre en œuvre la politique de sécurité du système d’information, diagnostiquer et analyser les risques numériques, choisir les mesures de sécurité et élaborer le plan de leur mise en œuvre, sensibiliser et former sur les enjeux de la sécurité informatique, auditer et contrôler l’application des règles de la politique de sécurité, et enfin effectuer une veille technologique et prospective.
Toutes mes expériences passées me sont utiles pour ce métier : j’ai été enseignant ce qui me sert pour la sensibilisation à la sécurité, j’ai été DSI ce qui me sert pour les aspects managériaux, budgétaires et de gestion de projets, j’ai été expert judiciaire ce qui me sert pour les aspects techniques, j’ai été chercheur ce qui me sert pour la veille technologique et l’envie d’apprendre et de toujours progresser.
II] Périmètre d’action/champ Vous travaillez dans une école de commerce. Quel est le périmètre ou champ d’action que vous avez à couvrir ?
Mon périmètre couvre l’ensemble des risques numériques de l’entreprise. Je suis aidé en cela par l’ensemble du personnel, puisque chacun est concerné par la sécurité informatique et a un rôle à jouer (la chaîne, le maillon, etc.).
Comment gérez-vous le matériel que l’on pourrait qualifier de “non maîtrisé” ? (ex : les ordinateurs personnels des étudiants)
Le plus simplement du monde : ne faire confiance à personne. Les concepts de BYOD ou de Zero Trust sont parfaitement implantés dans l’univers de l’enseignement supérieur, car consubstantiels à sa mission. Comme vous ne maîtrisez pas les éléments terminaux, il faut parfaitement maîtriser les réseaux et les serveurs. Tout est énormément segmenté.
Comment gérez-vous la donnée personnelle de manière générale ?
C’est une préoccupation majeure de l’école. J’assiste quotidiennement le DPO de l’entreprise dans cette mission où j’interviens sur la dimension sécurité. Nous sommes tous les deux associés très tôt aux projets pour aider, conseiller et nous assurer de la conformité vis à vis des lois et règles de l’art.
III] Environnement Disposez-vous de ressources matérielles et/ou humaines pour vous assister au quotidien ? Suffisamment ?
Je dispose de scanners de vulnérabilités, d’outils de gestion de parc, de parefeux très performants et de ressources matérielles très conséquentes. Mais surtout, l’école dispose d’une équipe d’informaticiens extrêmement compétents, qui n’ont pas besoin de moi, ce qui me permet de me concentrer sur la sensibilisation de la direction et des utilisateurs.
Pensez-vous que les autres employés sont sensibilisés à la sécurité informatique ? Faites-vous des exercices de sensibilisation ? Des formations en interne ? Ou même à l’usage des étudiants ?
Aujourd’hui, tout le monde est sensibilisé à la sécurité informatique. Néanmoins, les efforts des attaquants sont tels, et leurs astuces si déroutantes, qu’il faut toujours et toujours former les utilisateurs. Les emails de phishing sont quasi parfaits, les faux sites ressemblent de plus en plus aux vrais sites, les appels téléphoniques se faisant passer pour des services supports sont de plus en plus réalistes… Dans quelques années (mois?) les deepfakes vocaux permettront de se faire passer au téléphone pour une personne connue et de confiance !
Pour cela, j’utilise tous les outils de communication à ma disposition : emails d’alerte (avec au passage un rappel d’une règle de bonne pratique), site intranet, site de formation en ligne, chaîne vidéos… Le tout à destination des personnels, des professeurs et des étudiants. Si possible dans la bonne humeur, tout en restant professionnel.
IV] Démarches/Normes Dans votre manière de travailler, appliquez-vous des démarches comme ITIL ou des normes comme ISO27001 ? Si non, est-ce par choix ou par obligation ?
J’ai été formé à différentes méthodologies, que j’ai ensuite enseignées. J’en connais le formalisme, l’intérêt mais aussi les limites. J’ai suivi une formation ITIL lorsque j’étais DSI pour optimiser les processus du service informatique. J’ai suivi une formation de Risk Manager ISO/CEI 27005:2018 (c’est son nom complet). J’ai étudié EBIOS, je lis attentivement les différentes normes ISO27xxx et en particulier les documents de l’ANSSI (particulièrement bien faits). Tous ces documents donnent des règles très importantes et des idées qu’il faut suivre.
Mais il faut rester pragmatique. Les méthodologies s’appuient sur des modèles d’entreprise, sur des modèles de comportement, sur des vulnérabilités documentées, sur des retours d’expériences. Les normes sont le langage de la formalisation des connaissances sur un sujet donné au moment de sa rédaction. Mais le monde bouge, les modèles sont imparfaits, les méthodologies évoluent, les référentiels également.
Il faut savoir se détacher de la norme. Par exemple, dans ma politique de gestion des mots de passe, j’ai écris noir sur blanc qu’il ne fallait pas changer son mot de passe régulièrement. S’il est bon, complexe, différent pour chaque compte, non compromis, pourquoi en changer ? Parce que « c’est plus sûr » ? Vous en êtes certain ? Les utilisateurs n’ont-ils pas un nombre impressionnant de solutions de contournement des politiques de gestion des mots de passe qui impose d’en changer tous les x jours ?
Avez-vous des règles spécifiques liées au domaine d’activité (éducation)
Les règles spécifiques au domaine d’activité de mon entreprise sont décrites dans le référentiel général de sécurité (RGS) puisque l’école à une mission de service public.
Les règles du RGS sont par ailleurs durcies par celles du CNRS puisque l’école héberge un laboratoire du CNRS.
V] Travail au quotidien Suivez-vous une méthodologie de travail comme l’agilité ?
La méthode Agile a été initialement conçue pour le domaine du développement logiciel. J’ai eu l’occasion d’étudier en détail la méthode agile dite « Scrum » dans le cadre d’une de mes expertises judiciaires. Ce que j’en ai retenu est qu’il n’est pas nécessaire de disposer d’un cahier des charges complet et très détaillé, pour ensuite faire un long travail de développement qui finalement est présenté au client qui trouvera souvent à redire, voire à exiger des modifications qui s’avéreront très coûteuses car trop tardives dans le cycle de développement en cascade, en V ou en spirale. La méthode agile nous propose d’avancer par petites touches concentrées sur l’essentiel, et faire beaucoup d’allers-retours avec le client. C’est un dérivé des méthodes itératives. J’utilise ce principe le plus souvent possible.
Mais ma méthode de travail (mon hygiène de vie ?) est surtout de suivre les accords toltèques et en particulier les n°3 et n°5 :
– Accord n°3 : Ne faites pas de suppositions. Ayez le courage de poser des questions et d’exprimer ce que vous voulez vraiment. Communiquez le plus clairement possible avec les autres, afin d’éviter les malentendus.
– Accord n°5 : Soyez sceptique, mais apprenez à écouter. Ne vous croyez pas vous-même, ni personne d’autre. Utilisez la force du doute pour remettre en question tout ce que vous entendez. Écoutez l’intention que sous-tendent les mots et vous comprendrez le véritable message.
Etes-vous en contact avec des organismes tel que l’ANSSI ? Si oui, est-ce une obligation ou une volonté ?
Je suis abonné aux flux RSS de toutes les rubriques du site de l’ANSSI, et je dévore leurs guides et recommandations. J’aimerais beaucoup travailler avec eux (en dehors des contacts ponctuels que j’entretiens avec eux), mais mon entreprise n’est pas OIV…
J’ai donc un contrat avec une entreprise privée qui stipule les termes de mise à disposition d’ingénieurs spécialisés en crises cybers pour nous aider en cas de blackout.
Comment gérez-vous la communication auprès de l’école ? De la même manière, comment gérez-vous la documentation des process de la sécurité ?
J’interviens beaucoup à l’oral avec des présentations des enjeux et des risques, soit auprès du conseil d’administration, du comité de direction, des différents services de l’école ou association d’étudiants. C’est mon côté « ancien professeur » qui aime faire des présentations et aime faire un « one man show » adapté à son public pour faire passer les messages. C’est parfois très difficile car j’ai un trac incroyable pour parler devant des personnes que je ne connais pas dont je crains le jugement. Mais souvent les gens sont bienveillants.
La documentation des process de la sécurité est faite à travers les différents documents que j’écris et que je révise, ainsi que leurs annexes : PSSI, politique de gestion des mots de passe, politique des règles de parefeux, analyses de risques, mise en place de la cellule de crise cyber, comité sécurité, etc. Les travaux que je mène avec les différents acteurs de la sécurité sont également documentés : appels d’offres du service achat intégrant un volet sécurité, dépôts de plainte du service juridique à chaque attaque numérique, etc.
Avez-vous de l’astreinte au niveau sécurité ?
Non, mais en cas de crise cyber, je suis sur le pont 24/7 auprès de l’équipe informatique qui a mis en place une astreinte.
VI] Challenge technique Avez-vous des backups de données ?Si oui, comment les gérez-vous ? Avec des méthodologies telles que “3 2 1” ?
Les données de l’entreprise sont sauvegardées dans les règles de l’art, telles que rappelées par la méthodologie « 3 2 1 ». Par contre, il ne faut pas oublier que vos sauvegardes ne servent à rien si elles ne sont pas vérifiées régulièrement et si vous ne disposez pas de serveurs pour les exploiter rapidement en cas d’incident majeur. Ces aspects sont décrits dans le plan de reprise d’activité (PRA) qui est le complément du plan de continuité d’activité (PCA).
Comment gérez-vous les mises à jour des logiciels ? Sont-elles faites automatiquement dès qu’une nouvelle version est disponible ou attendez-vous plusieurs jours ? Pourquoi ?
Parfois les éditeurs nous font l’honneur de séparer les mises à jour de leurs logiciels en deux parties : mises à jour de sécurité et mises à jour fonctionnelles. Dans ce cas les mises à jour fonctionnelles sont mises en attente et étudiées par un processus sérialisé classique tests – pré prod – prod. Les mises à jour de sécurité sont quant à elles appliquées immédiatement.
Si les mises à jour intègrent une partie sécurité, elles sont appliquées immédiatement.
Si l’on ne sait pas, ou si l’on n’a pas le temps d’analyser les mises à jour, elles sont appliquées immédiatement.
Si une mise à jour casse un serveur (ce qui est de plus en plus rare), le PCA entre en action.
Avez-vous un plan d’urgence en cas d’attaque informatique ?
Oui, il y a un plan détaillé de réactions face aux attaques. Le premier chapitre est consacré aux défaillances de base (panne matérielle d’un ordinateur, etc.), puis le niveau de criticité des problèmes augmente jusqu’à déclencher les PCA, PRA et cellule de crise cyber.
Avez-vous déjà vu ou fait face à une attaque ?
Oui, toutes les semaines, mais pas encore du niveau DEFCON 1…
Lors de problématiques de sécurité, vous et vos équipes faites vous des post mortems ?
Oui, dans tous les cas, mais de manière plus ou moins détaillée. L’analyse post incident est versée « au dossier » (par exemple dans le cas de l’instruction d’une plainte) mais surtout vient modifier si nécessaire les différentes procédures de sécurité et plans associés. C’est le principe de la roue de Deming en qualité (ou PDCA).
Comment faites vous pour rester toujours au fait des dernières actualités et évolutions ? En d’autres termes, avez-vous une veille technique et comment vous formez-vous ?
Je suis très curieux par nature, donc je lis beaucoup. Mais ce que je trouve de loin le plus efficace est l’échange avec mes pairs, et en particulier les retours d’expérience. Je suis membre du CESIN et de différents groupements de RSSI, de DSI, d’experts judiciaires. C’est plus difficile d’en parler publiquement, mais je m’attache depuis 2006 à partager mes expériences sur mon blog. Cela ne m’a pas valu que des amis.
Les blogs, les réseaux sociaux et les forums sont des lieux d’échange extraordinaires. J’ai un lecteur de flux RSS qui totalise des centaines de flux que je lis scrupuleusement.
Disposez-vous d’outils de monitoring de sécurité ? De remontées d’alertes ? Exemple : un nouveau port est ouvert.
Je ne suis pas rattaché à l’équipe de production. Les administrateurs réseaux disposent heureusement de tous les outils d’alerte et de supervision de leurs équipements. Je n’en ai pas les compétences ni le savoir faire. Ils constituent le cœur du dispositif de défense temps-réel. Ce sont les soutiers de l’entreprise qui assurent son fonctionnement et sa sécurité.
Les outils que j’utilise sont les suivants : – une distribution Kali sur mon poste de travail et sur une machine dans « le Cloud » – des scanners Nessus, OpenVAS etc. – l’accès au logiciel de patch management des admins réseaux – un tableur pour les indicateurs de sécurité…
VII] Audit interne/externe Réalisez-vous des audits ? Si oui, sont-ils réalisés en interne ou par le biais de prestations externes ?
Je réalise quelques audits de sécurité à l’aide des outils cités ci-dessus, mais l’essentiel des audits est réalisé par des sociétés spécialisées à travers des prestations que je supervise.
Comment abordez-vous le côté législatif de ces audits ? Le côté humain ?
L’aspect juridique est extrêmement important. Je m’appuie sur mes connaissances, sur ma capacité à aller me renseigner sur la jurisprudence (qui fait partie de la veille à faire dans le métier de RSSI). Je n’ai pas encore audité l’aspect humain de la sécurité informatique, car je préfère défendre les utilisateurs plutôt que de leur tendre des pièges.
Suivez-vous un calendrier d’audits ? (ex : audit tous les ans de l’application abc)
Je mène des campagnes d’audits adaptées en fonction de la criticité des services : tous les jours, tous les mois, tous les trimestres, tous les ans. Beaucoup d’audits sont automatisés. Les audits externes sont menés sur une base annuelle. Les outils tiers sont audités sous la responsabilité contractuelle des prestataires, avec communication des conclusions d’audit.
VIII) Blacklist (OS – technologies) Dans votre environnement de travail actuel, avez-vous des restrictions sur des OS ou technologies interdites ?Si oui, est-ce de votre volonté ou une obligation de vos supérieurs ?
Les postes de travail des salariés de l’entreprise sont supervisés et administrés. L’utilisateur n’est pas administrateur de son poste de travail, sauf exceptions tracées. Dans le contexte d’une grande école, il n’est pas souhaitable de durcir de manière excessive le poste de travail (verrouillage des ports USB, etc.). La sécurité doit donc se faire également du côté de l’anticipation et la remédiation : sauvegarde des postes de travail, chiffrement des disques durs pour les vols/pertes, accompagnement des utilisateurs dans le choix des applications dont ils ont besoin, dans les problèmes qu’ils rencontrent.
Le support informatique est essentiel, et est l’un des facteurs clefs de la sécurité informatique. Changer un mot de passe peut s’avérer compliqué, créer un mot de passe d’application quand on est en authentification multifacteur également.
IX] Point de vue humain Comment décririez-vous votre sentiment au quotidien ? Le métier de RSSI est-il stressant ou prenant mentalement ?
Je travaille 9h pleines par jour mais sans stress, en tout cas avec beaucoup moins de pression que l’équipe de production en charge des serveurs et des réseaux. Je suis quelqu’un de réservé a priori, mais très bavard quand je suis avec d’autres passionnés. J’aime beaucoup mon métier et l’informatique de manière générale. Donc, le soir quand j’arrive chez moi après 9h devant mes écrans, j’allume mon ordinateur pour tester « des trucs », bidouiller « des machins » ou démonter « des bidules ». J’aime bien comprendre comment fonctionnent les systèmes informatiques, comment est stockée l’information sur un disque dur, comment fonctionne l’apprentissage d’un réseau de neurones bouclés (donc à états), comment mettre au point une sonde Suricata avec un Raspberry Pi…
Professionnellement, je suis donc un peu pareil : j’aime bien comprendre, apprendre, aider, enseigner, communiquer en confiance et avec bienveillance.
Au début, j’étais en attente de la catastrophe, du grand blackout, du méga cryptolocker de la mort, et je dormais très mal. Maintenant je dors mieux car j’ai expliqué à tout le monde que la catastrophe arrivera de toutes manières, quoi que l’on fasse, que nous nous y préparons, que le risque zéro n’existe pas, que ce n’est pas la sécurité informatique qui coûte cher, mais l’absence de sécurité informatique.
Mais je suis encore puceau en matière de grande crise cyber, donc je ne sais pas encore comment ça se passera et si mon poste servira de fusible… Je ne suis pas pressé d’être dépucelé.
Quelles sont vos horaires types, s’il y en a ?
8h30 – 18h30 avec une pause d’une heure. J’ai 20mn de marche dans la forêt pour aller au travail. Idem pour rentrer le soir. Je suis un homme heureux.
Qu’est-ce que la COVID a changé dans votre manière de travailler ? Le contact avec les équipes est-il plus compliqué ?Une fois la crise sanitaire “finie”, allez-vous faire perdurer le télé-travail ?
Je n’aborderai pas ici l’aspect terrible de cette crise sanitaire avec sa cohorte de morts et les souffrances engendrées dans l’ensemble de la population.
J’habite à 450 km de mon lieu de travail. Je fais donc un A/R de 900 km en train chaque semaine pour aller travailler (je loue un logement près de mon entreprise). Mon entreprise étant à la pointe en matière de vie au travail, j’ai pu bénéficier dès mon embauche de deux jours de télétravail par semaine. La crise sanitaire liée à la COVID-19 m’a simplement fait basculer en 100 % de télétravail, comme beaucoup des collaborateurs de l’entreprise.
Personnellement, j’ai très bien vécu cette période : j’avais les codes du télétravail (bureau réservé, équipement adapté, isolement domestique, liaison fibre, liaison de secours, etc.) et l’habitude des réunions en visioconférence. Et puis cela m’évite 900 km de train par semaine.
L’aspect des discussions informelles me manque, mais j’arrive à le susciter avec une partie des collègues avec lesquels je peux faire une discussion en « off » par exemple après une réunion. Finalement, avec un peu de bonne volonté, on a réussi à numériser « radio moquette » 😉
Une fois la crise sanitaire finie, je vais enfin pouvoir aller remanger avec mes collègues 3 fois par semaine, croiser des étudiants souriants et dynamiques, et surtout prendre une bière avec les copains.
FIN] Evolution ? Avez-vous des envies d’évolutions pour la suite ? Si oui, lesquelles ?
J’ai énormément d’envie d’évolutions pour la suite : j’aimerais travailler avec un SOC, j’aimerais apprendre, comprendre et enseigner les bonnes pratiques en perpétuelle évolution, j’aimerais arriver à faire admettre naturellement que la personne qui clique sur un lien de phishing n’est pas fautive, mais une victime, j’aimerais que les analyses de risque que je produis arrivent jusqu’à la direction, j’aimerais avoir une équipe de passionnés à manager…
J’aimerais surtout être jeune à nouveau pour avoir le temps de mener à bien mes envies d’évolution.
Merci pour toutes vos réponses.
Merci pour toutes vos question. Et préparez bien la relève : dans 10 ans, j’aurai 100 ans…