Une vision du métier de RSSI à destination des étudiants

J’ai été contacté via Twitter par @ddevpros, mentor d’étudiants d’une formation Openclassrooms consacrée au métier de RSSI. Je ne connais pas cette formation, ni n’ai d’intérêts dans Openclassrooms, mais je ne peux pas résister longtemps à une demande d’interview, surtout quand celle-ci est à destination d’étudiants et qu’en plus les interviewers m’autorisent à la publier sur ce blog (autorisation obligatoire car il s’agit d’une œuvre collective). Merci donc à @ddevpros (mentor) et à Zabre (pseudo du mentoré) qui m’ont posé les questions. Je publie l’ensemble ci-dessous, en espérant que cet échange puisse aussi servir à des étudiants qui passeraient par ici.

0] Petite présentation
Cette interview étant amenée à être publiée sur votre blog, pourriez-vous vous présenter succinctement pour vos nouveaux lecteurs ?

Je suis informaticien, responsable de la sécurité des systèmes d’information dans une école de commerce, où j’exerce avec passion mon métier. Comme beaucoup de personnes, j’ai aussi un certain nombre d’activités en parallèle. Pour ma part, j’ai choisi de mettre mes compétences au service de la justice qui a accepté pendant 21 ans de m’inscrire sur la liste des experts de justice. J’ai été également conseiller municipal dans ma petite mais magnifique ville de 3500 habitants. Je suis marié à une merveilleuse avocate qui m’aide (et que j’aide aussi !) à essayer d’éduquer trois merveilleux enfants plein de vie et d’intelligence que j’aime.

J’aime la spéléologie, le parachutisme et l’aviron.

J’aime l’informatique et tout particulièrement l’intelligence artificielle (et les réseaux de neurones formels bouclés). J’aime bien aussi cracker les mots de passe.

J’aime la science-fiction (surtout les auteurs classiques de l’âge d’or), l’espace, la cosmologie, les mathématiques et l’épistémologie. Le tout à un niveau débutant.

Je tiens depuis 2006 un blog sous le pseudonyme Zythom, d’abord à l’adresse zythom.blogspot.fr puis à l’adresse zythom.fr

I] Métier actuel et expériences utiles
Pour ceux qui ne vous connaissent pas encore, quel est votre métier actuel ? En quoi consiste-t-il au quotidien ? Avez-vous des expériences passées qui vous ont été utiles pour ce métier ?

Je suis responsable de la sécurité des systèmes d’information. Mon rôle dans l’entreprise est de définir et mettre en œuvre la politique de sécurité du système d’information, diagnostiquer et analyser les risques numériques, choisir les mesures de sécurité et élaborer le plan de leur mise en œuvre, sensibiliser et former sur les enjeux de la sécurité informatique, auditer et contrôler l’application des règles de la politique de sécurité, et enfin effectuer une veille technologique et prospective.

Toutes mes expériences passées me sont utiles pour ce métier : j’ai été enseignant ce qui me sert pour la sensibilisation à la sécurité, j’ai été DSI ce qui me sert pour les aspects managériaux, budgétaires et de gestion de projets, j’ai été expert judiciaire ce qui me sert pour les aspects techniques, j’ai été chercheur ce qui me sert pour la veille technologique et l’envie d’apprendre et de toujours progresser.

II] Périmètre d’action/champ
Vous travaillez dans une école de commerce. Quel est le périmètre ou champ d’action que vous avez à couvrir ?

Mon périmètre couvre l’ensemble des risques numériques de l’entreprise. Je suis aidé en cela par l’ensemble du personnel, puisque chacun est concerné par la sécurité informatique et a un rôle à jouer (la chaîne, le maillon, etc.).

Comment gérez-vous le matériel que l’on pourrait qualifier de “non maîtrisé” ? (ex : les ordinateurs personnels des étudiants)

Le plus simplement du monde : ne faire confiance à personne. Les concepts de BYOD ou de Zero Trust sont parfaitement implantés dans l’univers de l’enseignement supérieur, car consubstantiels à sa mission. Comme vous ne maîtrisez pas les éléments terminaux, il faut parfaitement maîtriser les réseaux et les serveurs. Tout est énormément segmenté.

Comment gérez-vous la donnée personnelle de manière générale ?

C’est une préoccupation majeure de l’école. J’assiste quotidiennement le DPO de l’entreprise dans cette mission où j’interviens sur la dimension sécurité. Nous sommes tous les deux associés très tôt aux projets pour aider, conseiller et nous assurer de la conformité vis à vis des lois et règles de l’art.

III] Environnement
Disposez-vous de ressources matérielles et/ou humaines pour vous assister au quotidien ? Suffisamment ?

Je dispose de scanners de vulnérabilités, d’outils de gestion de parc, de parefeux très performants et de ressources matérielles très conséquentes. Mais surtout, l’école dispose d’une équipe d’informaticiens extrêmement compétents, qui n’ont pas besoin de moi, ce qui me permet de me concentrer sur la sensibilisation de la direction et des utilisateurs.

Pensez-vous que les autres employés sont sensibilisés à la sécurité informatique ? Faites-vous des exercices de sensibilisation ? Des formations en interne ? Ou même à l’usage des étudiants ?

Aujourd’hui, tout le monde est sensibilisé à la sécurité informatique. Néanmoins, les efforts des attaquants sont tels, et leurs astuces si déroutantes, qu’il faut toujours et toujours former les utilisateurs. Les emails de phishing sont quasi parfaits, les faux sites ressemblent de plus en plus aux vrais sites, les appels téléphoniques se faisant passer pour des services supports sont de plus en plus réalistes… Dans quelques années (mois?) les deepfakes vocaux permettront de se faire passer au téléphone pour une personne connue et de confiance !

Pour cela, j’utilise tous les outils de communication à ma disposition : emails d’alerte (avec au passage un rappel d’une règle de bonne pratique), site intranet, site de formation en ligne, chaîne vidéos… Le tout à destination des personnels, des professeurs et des étudiants. Si possible dans la bonne humeur, tout en restant professionnel.

IV] Démarches/Normes
Dans votre manière de travailler, appliquez-vous des démarches comme ITIL ou des normes comme ISO27001 ? Si non, est-ce par choix ou par obligation ?

J’ai été formé à différentes méthodologies, que j’ai ensuite enseignées. J’en connais le formalisme, l’intérêt mais aussi les limites. J’ai suivi une formation ITIL lorsque j’étais DSI pour optimiser les processus du service informatique. J’ai suivi une formation de Risk Manager ISO/CEI 27005:2018 (c’est son nom complet). J’ai étudié EBIOS, je lis attentivement les différentes normes ISO27xxx et en particulier les documents de l’ANSSI (particulièrement bien faits). Tous ces documents donnent des règles très importantes et des idées qu’il faut suivre.

Mais il faut rester pragmatique. Les méthodologies s’appuient sur des modèles d’entreprise, sur des modèles de comportement, sur des vulnérabilités documentées, sur des retours d’expériences. Les normes sont le langage de la formalisation des connaissances sur un sujet donné au moment de sa rédaction. Mais le monde bouge, les modèles sont imparfaits, les méthodologies évoluent, les référentiels également.

Il faut savoir se détacher de la norme. Par exemple, dans ma politique de gestion des mots de passe, j’ai écris noir sur blanc qu’il ne fallait pas changer son mot de passe régulièrement. S’il est bon, complexe, différent pour chaque compte, non compromis, pourquoi en changer ? Parce que « c’est plus sûr » ? Vous en êtes certain ? Les utilisateurs n’ont-ils pas un nombre impressionnant de solutions de contournement des politiques de gestion des mots de passe qui impose d’en changer tous les x jours ?

Avez-vous des règles spécifiques liées au domaine d’activité (éducation)

Les règles spécifiques au domaine d’activité de mon entreprise sont décrites dans le référentiel général de sécurité (RGS) puisque l’école à une mission de service public.

Les règles du RGS sont par ailleurs durcies par celles du CNRS puisque l’école héberge un laboratoire du CNRS.

V] Travail au quotidien
Suivez-vous une méthodologie de travail comme l’agilité ?

La méthode Agile a été initialement conçue pour le domaine du développement logiciel. J’ai eu l’occasion d’étudier en détail la méthode agile dite « Scrum » dans le cadre d’une de mes expertises judiciaires. Ce que j’en ai retenu est qu’il n’est pas nécessaire de disposer d’un cahier des charges complet et très détaillé, pour ensuite faire un long travail de développement qui finalement est présenté au client qui trouvera souvent à redire, voire à exiger des modifications qui s’avéreront très coûteuses car trop tardives dans le cycle de développement en cascade, en V ou en spirale. La méthode agile nous propose d’avancer par petites touches concentrées sur l’essentiel, et faire beaucoup d’allers-retours avec le client. C’est un dérivé des méthodes itératives. J’utilise ce principe le plus souvent possible.

Mais ma méthode de travail (mon hygiène de vie ?) est surtout de suivre les accords toltèques et en particulier les n°3 et n°5 :

Accord n°3 : Ne faites pas de suppositions.
Ayez le courage de poser des questions et d’exprimer ce que vous voulez vraiment. Communiquez le plus clairement possible avec les autres, afin d’éviter les malentendus.

Accord n°5 : Soyez sceptique, mais apprenez à écouter.
Ne vous croyez pas vous-même, ni personne d’autre. Utilisez la force du doute pour remettre en question tout ce que vous entendez. Écoutez l’intention que sous-tendent les mots et vous comprendrez le véritable message.

Etes-vous en contact avec des organismes tel que l’ANSSI ? Si oui, est-ce une obligation ou une volonté ?

Je suis abonné aux flux RSS de toutes les rubriques du site de l’ANSSI, et je dévore leurs guides et recommandations. J’aimerais beaucoup travailler avec eux (en dehors des contacts ponctuels que j’entretiens avec eux), mais mon entreprise n’est pas OIV

J’ai donc un contrat avec une entreprise privée qui stipule les termes de mise à disposition d’ingénieurs spécialisés en crises cybers pour nous aider en cas de blackout.

Comment gérez-vous la communication auprès de l’école ? De la même manière, comment gérez-vous la documentation des process de la sécurité ?

J’interviens beaucoup à l’oral avec des présentations des enjeux et des risques, soit auprès du conseil d’administration, du comité de direction, des différents services de l’école ou association d’étudiants. C’est mon côté « ancien professeur » qui aime faire des présentations et aime faire un « one man show » adapté à son public pour faire passer les messages. C’est parfois très difficile car j’ai un trac incroyable pour parler devant des personnes que je ne connais pas dont je crains le jugement. Mais souvent les gens sont bienveillants.

La documentation des process de la sécurité est faite à travers les différents documents que j’écris et que je révise, ainsi que leurs annexes : PSSI, politique de gestion des mots de passe, politique des règles de parefeux, analyses de risques, mise en place de la cellule de crise cyber, comité sécurité, etc. Les travaux que je mène avec les différents acteurs de la sécurité sont également documentés : appels d’offres du service achat intégrant un volet sécurité, dépôts de plainte du service juridique à chaque attaque numérique, etc.

Avez-vous de l’astreinte au niveau sécurité ?

Non, mais en cas de crise cyber, je suis sur le pont 24/7 auprès de l’équipe informatique qui a mis en place une astreinte.

VI] Challenge technique
Avez-vous des backups de données ? Si oui, comment les gérez-vous ? Avec des méthodologies telles que “3 2 1” ?

Les données de l’entreprise sont sauvegardées dans les règles de l’art, telles que rappelées par la méthodologie « 3 2 1 ». Par contre, il ne faut pas oublier que vos sauvegardes ne servent à rien si elles ne sont pas vérifiées régulièrement et si vous ne disposez pas de serveurs pour les exploiter rapidement en cas d’incident majeur. Ces aspects sont décrits dans le plan de reprise d’activité (PRA) qui est le complément du plan de continuité d’activité (PCA).

Comment gérez-vous les mises à jour des logiciels ? Sont-elles faites automatiquement dès qu’une nouvelle version est disponible ou attendez-vous plusieurs jours ? Pourquoi ?

Parfois les éditeurs nous font l’honneur de séparer les mises à jour de leurs logiciels en deux parties : mises à jour de sécurité et mises à jour fonctionnelles. Dans ce cas les mises à jour fonctionnelles sont mises en attente et étudiées par un processus sérialisé classique tests – pré prod – prod. Les mises à jour de sécurité sont quant à elles appliquées immédiatement.

Si les mises à jour intègrent une partie sécurité, elles sont appliquées immédiatement.

Si l’on ne sait pas, ou si l’on n’a pas le temps d’analyser les mises à jour, elles sont appliquées immédiatement.

Si une mise à jour casse un serveur (ce qui est de plus en plus rare), le PCA entre en action.

Avez-vous un plan d’urgence en cas d’attaque informatique ?

Oui, il y a un plan détaillé de réactions face aux attaques. Le premier chapitre est consacré aux défaillances de base (panne matérielle d’un ordinateur, etc.), puis le niveau de criticité des problèmes augmente jusqu’à déclencher les PCA, PRA et cellule de crise cyber.

Avez-vous déjà vu ou fait face à une attaque ?

Oui, toutes les semaines, mais pas encore du niveau DEFCON 1

Lors de problématiques de sécurité, vous et vos équipes faites vous des post mortems ?

Oui, dans tous les cas, mais de manière plus ou moins détaillée. L’analyse post incident est versée « au dossier » (par exemple dans le cas de l’instruction d’une plainte) mais surtout vient modifier si nécessaire les différentes procédures de sécurité et plans associés. C’est le principe de la roue de Deming en qualité (ou PDCA).

Comment faites vous pour rester toujours au fait des dernières actualités et évolutions ? En d’autres termes, avez-vous une veille technique et comment vous formez-vous ?

Je suis très curieux par nature, donc je lis beaucoup. Mais ce que je trouve de loin le plus efficace est l’échange avec mes pairs, et en particulier les retours d’expérience. Je suis membre du CESIN et de différents groupements de RSSI, de DSI, d’experts judiciaires. C’est plus difficile d’en parler publiquement, mais je m’attache depuis 2006 à partager mes expériences sur mon blog. Cela ne m’a pas valu que des amis.

Les blogs, les réseaux sociaux et les forums sont des lieux d’échange extraordinaires. J’ai un lecteur de flux RSS qui totalise des centaines de flux que je lis scrupuleusement.

Disposez-vous d’outils de monitoring de sécurité ? De remontées d’alertes ? Exemple : un nouveau port est ouvert.

Je ne suis pas rattaché à l’équipe de production. Les administrateurs réseaux disposent heureusement de tous les outils d’alerte et de supervision de leurs équipements. Je n’en ai pas les compétences ni le savoir faire. Ils constituent le cœur du dispositif de défense temps-réel. Ce sont les soutiers de l’entreprise qui assurent son fonctionnement et sa sécurité.

Les outils que j’utilise sont les suivants :
– une distribution Kali sur mon poste de travail et sur une machine dans « le Cloud »
– des scanners Nessus, OpenVAS etc.
– l’accès au logiciel de patch management des admins réseaux
– un tableur pour les indicateurs de sécurité…

VII] Audit interne/externe
Réalisez-vous des audits ? Si oui, sont-ils réalisés en interne ou par le biais de prestations externes ?

Je réalise quelques audits de sécurité à l’aide des outils cités ci-dessus, mais l’essentiel des audits est réalisé par des sociétés spécialisées à travers des prestations que je supervise.

Comment abordez-vous le côté législatif de ces audits ? Le côté humain ?

L’aspect juridique est extrêmement important. Je m’appuie sur mes connaissances, sur ma capacité à aller me renseigner sur la jurisprudence (qui fait partie de la veille à faire dans le métier de RSSI). Je n’ai pas encore audité l’aspect humain de la sécurité informatique, car je préfère défendre les utilisateurs plutôt que de leur tendre des pièges.

Suivez-vous un calendrier d’audits ? (ex : audit tous les ans de l’application abc)

Je mène des campagnes d’audits adaptées en fonction de la criticité des services : tous les jours, tous les mois, tous les trimestres, tous les ans. Beaucoup d’audits sont automatisés. Les audits externes sont menés sur une base annuelle. Les outils tiers sont audités sous la responsabilité contractuelle des prestataires, avec communication des conclusions d’audit.

VIII) Blacklist (OS – technologies)
Dans votre environnement de travail actuel, avez-vous des restrictions sur des OS ou technologies interdites ? Si oui, est-ce de votre volonté ou une obligation de vos supérieurs ?

Les postes de travail des salariés de l’entreprise sont supervisés et administrés. L’utilisateur n’est pas administrateur de son poste de travail, sauf exceptions tracées. Dans le contexte d’une grande école, il n’est pas souhaitable de durcir de manière excessive le poste de travail (verrouillage des ports USB, etc.). La sécurité doit donc se faire également du côté de l’anticipation et la remédiation : sauvegarde des postes de travail, chiffrement des disques durs pour les vols/pertes, accompagnement des utilisateurs dans le choix des applications dont ils ont besoin, dans les problèmes qu’ils rencontrent.

Le support informatique est essentiel, et est l’un des facteurs clefs de la sécurité informatique. Changer un mot de passe peut s’avérer compliqué, créer un mot de passe d’application quand on est en authentification multifacteur également.

IX] Point de vue humain
Comment décririez-vous votre sentiment au quotidien ? Le métier de RSSI est-il stressant ou prenant mentalement ?

Je travaille 9h pleines par jour mais sans stress, en tout cas avec beaucoup moins de pression que l’équipe de production en charge des serveurs et des réseaux. Je suis quelqu’un de réservé a priori, mais très bavard quand je suis avec d’autres passionnés. J’aime beaucoup mon métier et l’informatique de manière générale. Donc, le soir quand j’arrive chez moi après 9h devant mes écrans, j’allume mon ordinateur pour tester « des trucs », bidouiller « des machins » ou démonter « des bidules ». J’aime bien comprendre comment fonctionnent les systèmes informatiques, comment est stockée l’information sur un disque dur, comment fonctionne l’apprentissage d’un réseau de neurones bouclés (donc à états), comment mettre au point une sonde Suricata avec un Raspberry Pi…

Professionnellement, je suis donc un peu pareil : j’aime bien comprendre, apprendre, aider, enseigner, communiquer en confiance et avec bienveillance.

Au début, j’étais en attente de la catastrophe, du grand blackout, du méga cryptolocker de la mort, et je dormais très mal. Maintenant je dors mieux car j’ai expliqué à tout le monde que la catastrophe arrivera de toutes manières, quoi que l’on fasse, que nous nous y préparons, que le risque zéro n’existe pas, que ce n’est pas la sécurité informatique qui coûte cher, mais l’absence de sécurité informatique.

Mais je suis encore puceau en matière de grande crise cyber, donc je ne sais pas encore comment ça se passera et si mon poste servira de fusible… Je ne suis pas pressé d’être dépucelé.

Quelles sont vos horaires types, s’il y en a ?

8h30 – 18h30 avec une pause d’une heure. J’ai 20mn de marche dans la forêt pour aller au travail. Idem pour rentrer le soir. Je suis un homme heureux.

Qu’est-ce que la COVID a changé dans votre manière de travailler ? Le contact avec les équipes est-il plus compliqué ? Une fois la crise sanitaire “finie”, allez-vous faire perdurer le télé-travail ?

Je n’aborderai pas ici l’aspect terrible de cette crise sanitaire avec sa cohorte de morts et les souffrances engendrées dans l’ensemble de la population.

J’habite à 450 km de mon lieu de travail. Je fais donc un A/R de 900 km en train chaque semaine pour aller travailler (je loue un logement près de mon entreprise). Mon entreprise étant à la pointe en matière de vie au travail, j’ai pu bénéficier dès mon embauche de deux jours de télétravail par semaine. La crise sanitaire liée à la COVID-19 m’a simplement fait basculer en 100 % de télétravail, comme beaucoup des collaborateurs de l’entreprise.

Personnellement, j’ai très bien vécu cette période : j’avais les codes du télétravail (bureau réservé, équipement adapté, isolement domestique, liaison fibre, liaison de secours, etc.) et l’habitude des réunions en visioconférence. Et puis cela m’évite 900 km de train par semaine.

L’aspect des discussions informelles me manque, mais j’arrive à le susciter avec une partie des collègues avec lesquels je peux faire une discussion en « off » par exemple après une réunion. Finalement, avec un peu de bonne volonté, on a réussi à numériser « radio moquette » 😉

Une fois la crise sanitaire finie, je vais enfin pouvoir aller remanger avec mes collègues 3 fois par semaine, croiser des étudiants souriants et dynamiques, et surtout prendre une bière avec les copains.

Enfin le retour en présentiel…

FIN] Evolution ?
Avez-vous des envies d’évolutions pour la suite ? Si oui, lesquelles ?

J’ai énormément d’envie d’évolutions pour la suite : j’aimerais travailler avec un SOC, j’aimerais apprendre, comprendre et enseigner les bonnes pratiques en perpétuelle évolution, j’aimerais arriver à faire admettre naturellement que la personne qui clique sur un lien de phishing n’est pas fautive, mais une victime, j’aimerais que les analyses de risque que je produis arrivent jusqu’à la direction, j’aimerais avoir une équipe de passionnés à manager…

J’aimerais surtout être jeune à nouveau pour avoir le temps de mener à bien mes envies d’évolution.

Merci pour toutes vos réponses.

Merci pour toutes vos question. Et préparez bien la relève : dans 10 ans, j’aurai 100 ans…

Ça va partir dans tous les sens

Ce petit billet pour prévenir mes lecteurs que ce blog va partir un peu dans tous les sens, alors ne m’en veuillez pas… Voici approximativement le programme des prochains billets.

J’ai participé l’été dernier à un exercice littéraire très riche d’enseignements, et je voudrais en faire un bilan à la Asimov (toute proportion gardée), en publiant les billets de l’histoire que j’ai inventée, avec des explications introductives et conclusives pour chaque billet. Pour que cela fasse sens, je vais les publier les uns à la suite des autres, pour garder la continuité de l’histoire. Les introductions spoileront sans doute un peu l’histoire, mais présenteront le contexte de sa construction, et les conclusions seront un exercice de bilan critique.

J’apprends beaucoup sur la sécurité informatique, et pas seulement au niveau technique. J’ai envie de faire part ici de cet apprentissage, non pas pour les experts de ce domaine qui n’apprendront rien, mais pour les débutants, les étudiants et les utilisateurs qui se débattent entre leur chaise et leur clavier. Ce seront des billets entre le rapport d’étonnement, la mise en place des règles que je préconise, des expérimentations d’outils… Il faut que j’arrive à me défaire de cette idée que quand on écrit sur la sécurité informatique, on se heurte nécessairement à des roxors hautains lanceurs de piques assassines. Je crois qu’il y a de la place pour une approche bienveillante, même dans ce domaine.

Je bricole pas mal avec les réseaux de neurones de ma jeunesse. J’explore des outils “clef en main” mais je tente aussi le hacking de ces technos pour mieux comprendre ce qu’elles font. En ce moment, ça part un peu dans tous les sens, mais c’est passionnant. A voir s’il y a matière pour jeter ça dans un billet.

Un professeur m’a contacté pour m’interviewer avec l’un de ses étudiants sur le métier de RSSI. L’exercice est toujours périlleux, mais mes réflexes d’ancien expert judiciaire reviennent souvent à la charge : quand on me demande mon avis, j’ai toujours envie de le donner (en mon âme et conscience). Peut-être ce travail commun de questions/réponses trouvera-t-il le chemin de ce blog…

Je m’amuse pas mal à bricoler le réseau de la maison et mes services autohébergés. Entre mes nouvelles bornes Wifi, mes tests sur les NIDS, la segmentation, les parefeux, les routeurs et ma découverte de l’IPv6, j’ai beaucoup à écrire, pour faire un retour d’expérience, mais aussi pour avoir vos avis.

Je suis tombé dans la marmite de la généalogie, et je passe des week-ends entiers à remonter le temps et découvrir les terres de mes ancêtres. Là aussi, il y a beaucoup à dire et tant à partager 🙂

Je teste pas mal de générateurs de blogs statiques. Je me suis rapidement mis au Markdown, mais je tâtonne encore : je cherche le bon équilibre entre mains dans le cambouis et poils dans la main… Donc il va peut-être y avoir du changement de ce côté-là aussi 🙂

Je lis beaucoup en ce moment : des livres papiers, des billets de blogs, des articles de recherche, des comptes rendus de conférences… J’admire tant de gens, j’apprécie tant leur énergie, leur entrain, que parfois je m’épuise. J’ai fortement réduit le temps passé sur les réseaux sociaux, même si cela reste ma bouffée d’oxygène et ma fenêtre sur le monde : j’ai choisi de suivre les bonnes personnes, et pour l’instant j’ai échappé à la malveillance. J’ai prévu de faire un point sur le thème des réseaux sociaux également.

La publication en livres des billets de ce blog a pris du retard. Je ne désespère pas d’arriver à enfin sortir les tomes 7 et 8, toujours en version électronique gratuite sans DRM et en version papier pour ma famille et mes amis.

Ce blog restera ce qu’il a toujours été : le web log extime de Zythom, à destination de la première IA qui sera capable d’en absorber toute la substance et me faire vivre pour l’éternité. En vrai, il est surtout à destination de mes enfants et de leurs futurs enfants, pour qu’ils sachent ce que faisait leur (pé)père quand il ne jouait pas avec eux.

La vie est si courte, et il y a tant de choses à faire.
A bientôt.

Deux ans après

Il y a deux ans, j’ai changé d’entreprise et de métier. En deux ans, j’ai découvert le fonctionnement de ma nouvelle entreprise, le télétravail deux jours par semaine, la vie loin de ma famille trois jours par semaine dans une petite location, un nouvel équilibre de vie.

Mes nouveaux collègues m’ont bien accueilli, d’autant mieux que j’ai tout de suite expliqué ma démarche : “je suis RSSI débutant avec expérience, et vous ne m’avez pas attendu pour faire de la sécurité informatique, donc je ne vais pas vous expliquer votre métier, malgré mes cheveux blancs“.

L’équipe en charge des serveurs et réseaux est au top, l’équipe de développement fait du développement de qualité, l’équipe support fait ce qu’elle peut face aux utilisateurs… Bref un bon service informatique comme je les aime.

Apprendre un métier, même quand on a de l’expérience (surtout !) reste un vrai challenge. J’ai beaucoup progressé, mais je sais que jamais je n’atteindrai les compétences techniques d’un roxor de l’ANSSI.

Pour autant, je ne suis pas un suxor… J’arrive à défendre pas mal de projets portés et demandés par les équipes techniques, qui n’étaient pas nécessairement entendu auparavant. Je communique plutôt pas mal et j’ai réussi à trouver un ton légèrement humoristique qui semble bien passer auprès des utilisateurs. Le niveau de sécurité monte petit à petit, et de moins en moins de monde se dit “ça ne m’arrivera pas, pas à moi”, et de plus en plus sont demandeurs de protections, dont ils ont besoin aussi bien dans l’univers professionnel que personnel.

Pourtant la tache est immense. Les problèmes sont complexes, la pression est permanente. Depuis deux ans, je me couche souvent le soir vers 21h, lessivé. Mais je n’arrive pas à dormir avant 23h, pour enchaîner sur une journée de 10h…

Je SAIS qu’une crise cyber d’envergure nous tombera dessus, mais je ne sais pas quand. Je prépare les PCA et PRA, la mise en place de la cellule de crise cyber et ses liens avec la cellule de crise classique, mais je sens bien que le jour où ça va exploser, je vais prendre cher… Et pour quelqu’un qui aime tout prévoir, qui aime être prêt à tout, c’est difficile de vivre avec une épée de Damoclès.

Je me sens comme le démineur qu’on envoie nettoyer le terrain sous le feu de l’ennemi.

Et sur ces deux années, l’une s’est déroulée en pleine pandémie, qui bien sur continue. Tous les plans d’urgence ont été déclenchés, les licences VPN de secours ont été activées, le personnel a été équipé rapidement en ordinateur portable, les professeurs ont très rapidement modifié leur pédagogie pour basculer en distanciel, puis en enseignement hybride. Une grande école de commerce, c’est un organisme très adaptatif qui survit dans un milieu très concurrentiel : les professeurs sont formidables, de haut niveau, le personnel solidaire et les étudiants très motivés.

Mais les étudiants souffrent, même les plus favorisés. La solitude est pesante. Leur jeunesse leur file entre les doigts, ce moment exceptionnel qui ne reviendra pas.

Leur seul lien avec l’extérieur, confinés dans leur chambre, passe beaucoup par l’informatique. Tout le travail pédagogique des professeurs passe par l’informatique. Tous les outils professionnels des salariés de l’école passent par l’informatique. Le numérique est partout et grâce à lui, et aux efforts de tous, le système est résilient.

Mais le RSSI, et bien sûr toute l’équipe informatique, sait sur quoi tout cela tient. Même les plus grands tombent sous le coup d’une faille zéro jour exploitée par des États, ou par des scripts kiddies. Même les journaux grands publics parlent de catastrophes numériques qui touchent, un coup une grande entreprise, un autre un groupe d’hôpitaux…

Alors le soir, je prie pour que mon monde existe toujours le lendemain.
Et, comme face à la mort, c’est plus dur quand on n’est pas croyant.

Vous voyez, je gère bien le stress.
J’ai été élevé à la dure.

Télétravail

Cela va faire plus d’un an que j’ai changé de métier et fait le choix de travailler en région parisienne. Mon nouveau métier me passionne, mais je ne voulais pas demander à ma famille de me suivre dans l’enfer de la vie parisienne. J’ai donc fait le choix de négocier lors de mon entretien d’embauche la possibilité de télétravailler deux jours par semaine. Pour ceux que cela pourrait intéresser, je fais un point sur ce thème dans ce billet.

Tout d’abord, j’ai conscience d’avoir la chance de travailler dans une entreprise qui a mis en place le télétravail, avec comme arrière pensée d’améliorer le confort de ses salariés. D’autres entreprises mettent en place le télétravail avec comme objectif de diminuer le nombre de bureaux, de mettre en place des bureaux partagés, pour diminuer les charges. Ce n’est pas le cas de mon entreprise où l’idée est vraiment de permettre aux salariés qui le souhaitent, et dont la fonction le permet, de travailler depuis chez eux jusqu’à deux jours par semaine.

Avant de me lancer dans l’aventure, j’ai beaucoup réfléchi aux conséquences de mon changement d’emploi : il me fallait intégrer le coût de location d’un petit appartement près de ma nouvelle entreprise, plus le coût du déplacement en train (900 km par semaine). Et au delà du coût, la vie loin de ma tribu pendant une partie de la semaine. Enfin, quand je dis que j’ai beaucoup réfléchi, j’ai surtout beaucoup discuté avec ma femme qui a été un soutien formidable dans ce projet. Il faut dire qu’elle voyait bien l’état de souffrance dans lequel j’étais dans ce qu’était devenu mon ancien métier (lire la série de billets “25 ans dans une startup” pour le comprendre).

Cela fait donc maintenant un an que je travaille trois jours sur place en région parisienne, et deux jours en télétravail chez moi “en province” comme on dit à Paris. Et comme j’ai choisi les jeudis et vendredis comme journées de télétravail, elles sont logiquement suivi des deux jours de repos du week-end (je suis salarié et je travaille du lundi au vendredi). Je prends le train le dimanche après-midi pour Paris, et le mercredi soir pour rentrer chez moi.

Je savais que le fait de rentrer chez moi le mercredi soir allait représenter en soi un piège. En effet, très vite, l’impression d’avoir un grand week-end de quatre jours est apparue comme très agréable, et à ma grande surprise, une partie de moi avait du mal à se discipliner pour être aussi efficace le jeudi que si j’étais “au bureau”.

Après plus de trente années passées à travailler de manière classique, je découvrais qu’une partie de mon efficacité se trouvait dans ma présence physique au boulot : un mélange d’habitudes, de manque de tentation et du regard des autres faisait que j’étais productif. Et là, je me suis retrouvé tout seul le matin, en pyjama, à devoir me traîner jusqu’à mon bureau…

J’ai donc découvert une facette de ma personnalité : j’ai besoin d’un environnement de travail. C’est ma première leçon : se découvrir soi-même avec honnêteté.

Pour être honnête avec mon employeur, qui me fait confiance (dans une certaine mesure), j’ai donc mis en place un rituel assez précis. Tout d’abord, j’ai transformé une pièce de la maison (la chambre d’amis) en bureau professionnel : j’ai retiré tout ce qui est personnel (cadres, dessins d’enfants etc.) en créant un lieu où il est possible (même si extrêmement improbable) de recevoir une personne dans le cadre d’une réunion professionnelle. Le cadre est neutre, avec une décoration liée à mon métier dans la sécurité informatique (des tableaux d’analyses de risque, des tips, et une photo de Snowden ;-). J’ai un bureau propre, sur lequel mon matériel informatique est installé, et seulement lui. Pas de goodies improbables comme j’en ai dans mon bureau d’expertises informatiques. Et donc, j’ai DEUX bureaux : un bureau pro et un bureau foutoir (que j’aime d’amour).

La deuxième règle que je me suis imposée concerne la tenue vestimentaire. Comme toutes les entreprises, celle où je travaille a un “dress code”. Il est plutôt cool, mais le pyjama n’en fait pas partie. Je suis donc rasé et habillé comme si j’avais une réunion avec mes collègues. Et cela tombe bien, l’entreprise utilise Skype for Business comme moyen de téléphonie, avec la possibilité de faire des téléconférences. Et on ne s’en prive pas ! J’ai même la chance de pouvoir utiliser un robot de téléprésence pour être plus “présent” lors de certaines réunions, et ne pas dépendre d’un système fixe de vidéoconférence : j’entends et je suis entendu parfaitement, je choisis ma place autour de la table, je regarde dans la direction que je souhaite, et personne ne malaxe de papiers bruyamment au dessus de mon micro… Je pose ici une image (c’est un robot de la marque Beam).

On peut se déplacer partout, mais pas ouvrir les portes…

La troisième règle concerne les horaires. Je suis au travail à la même heure en télétravail qu’en présentiel. J’embauche à 8h et je débauche vers 18h, avec une pause méridienne d’une heure. L’ÉNORME différence est qu’il ne me faut que quelques secondes pour embaucher ou débaucher. C’est d’ailleurs aussi une difficulté qu’il faut gérer, et c’est le rôle de la 4e règle.

La 4e règle est à discuter avec son conjoint : pendant mes heures de travail, je ne suis pas disponible. La tentation est grande parfois, de demander un coup de main pour un clou à planter ou un bricolage à faire. Bien sur que je le fais à chaque fois, mais cela doit rester très marginal. Il faut le voir dans ce sens là : en cas de coup dur, je suis présent, mais en cas de coup dur seulement.

La 5e règle va sembler un peu bizarre, mais elle s’est mise en place assez naturellement. Mon épouse a son cabinet dans une dépendance de la maison spécialement aménagée lors de la construction (salle d’attente, parking, etc.). Pourtant, nous ne nous obligeons pas à manger ensemble le midi. Chacun est autonome et se prépare son repas. Cela peut sembler peu chaleureux, mais cela nous permet de gérer nos contraintes horaires professionnelle de manière plus souple.

Une fois ce cadre posé, j’ai réussi à convaincre mon manager que j’étais aussi efficace que si j’étais sur place 5 jours pleins, et même plus car j’ai beaucoup moins de distractions ou d’agitations perturbatrices. Je travaille mieux et plus concentré. Je suis moins fatigué.

Mais comme j’habite près de la mer, mes collègues n’arrivent pas à m’imaginer autrement qu’en train de bronzer sur la plage. J’ai fini par arrêter de chercher à les convaincre. Je leur montre que j’avance sur mes dossiers surtout quand je suis en télétravail.

Si je dois faire un bilan personnel, et sous forme de conclusion, je dirai que le télétravail, c’est formidable, mais qu’il faut prendre en compte sa propre capacité à travailler en toute autonomie, quitte à trouver des astuces pour y parvenir. Et que cela ne conviendra pas à tout le monde. J’y suis arrivé, mais à ma grande surprise, avec des efforts que je ne soupçonnais pas au départ.

Le junior aux cheveux blancs

C’est une sensation étrange que de repartir de zéro. Je suis pourtant sûr que beaucoup de monde a vécu cette expérience. Un magistrat qui devient vigneron, un commercial dans un grand groupe qui devient chocolatier, ou un salarié qui devient entrepreneur, savent de quoi je parle : ce sentiment de repartir de rien, d’essayer de construire quelque chose sur de nouvelles compétences à acquérir, en faisant le deuil de compétences qui ne servent plus.

Moi, c’est plus simple : de Directeur des Systèmes d’Information (DSI), je suis devenu Responsable de la Sécurité du Système d’Information (RSSI). Ça sonne presque pareil, et puis c’est toujours dans l’informatique.

C’est vrai. Mais ces deux fonctions n’ont presque rien à voir entre elles. Le DSI que j’étais, décidait des orientations des évolutions du système d’information de mon entreprise (le schéma directeur), puis négociait le budget associé, puis mettait en musique les décisions qui en découlaient (les mains dans le cambouis). Et nous faisions des miracles.

Le RSSI a une toute autre fonction, plus spécialisée bien sûr, mais qui demande d’autres compétences. La sécurité informatique est une jeune science où le RSSI est en posture de défense, face aux attaquants de tous poils. Et pour cela, il faut de solides connaissances techniques, sur lesquelles il faut construire de solides connaissances méthodologiques (et l’inverse !).

Quand on vient de sortir d’une école où l’on a appris toutes ces connaissances, c’est “facile” : il ne manque que l’expérience. Cette expérience pourra, par exemple, s’acquérir dans une société de service dédiée à la sécurité, ou à l’ANSSI avec un CDD de trois ans très bien vu sur un CV (petit salaire mais grosse notoriété). Quand on a 55 ans et que sa formation initiale date de plus de 30 ans, c’est une autre paire de manche : l’expérience est là, mais les connaissances techniques et surtout méthodologiques, peuvent laisser à désirer, ou dater quelque peu.

J’ai la chance d’avoir été bien accueilli par une équipe d’ingénieurs qui, passé le moment gênant où ils se demandaient ce qu’allait bien pouvoir leur apporter ce (presque)grand-père, a accepté de m’initier à leur système d’information bien plus complexe que celui que j’avais mis en place dans ma vie professionnelle antérieure.
Et surtout, j’ai bien prévenu que je ne deviendrai jamais aussi bon qu’eux dans leur domaine d’expertise respectif. Ce n’est ni mon objectif, ni ma fonction.

Beaucoup d’entreprises n’ont pas de RSSI et gèrent pourtant malgré tout la sécurité informatique : un administrateur réseau, un développeur logiciel ou un responsable informatique sont des professionnels qui doivent savoir intégrer la sécurité dans leurs activités (et qui connaissent son importance… et ses limites).

Finalement, on peut comparer tout cela à un groupe de musiciens qui composent, s’exercent, se corrigent, s’entrainent et enfin se produisent en public, sur des petites scènes, puis sur des grandes scènes. Ils n’ont pas besoin d’un chef d’orchestre pour leur donner le rythme, l’un d’entre eux s’y colle en général (par exemple le batteur).

Les problèmes peuvent apparaître quand le nombre de musiciens augmente. Dans un grand orchestre, il faut une personne qui donne le rythme. Cette personne n’est pas nécessairement un virtuose d’un instrument (même si elle peut l’être), et surtout, elle ne peut pas remplacer chacun des membres de l’orchestre.

Le RSSI peut être ce chef d’orchestre en matière de sécurité : il coordonne les moyens, les techniques, les méthodes, les procédures, etc. qui permettent d’améliorer la sécurité. Il n’est pas nécessairement expert d’un domaine pointu (pentesteur, admin réseau…) même s’il peut l’être. Mais surtout, il ne peut pas à lui tout seul gérer la sécurité informatique de toute l’entreprise, ni se substituer à tous les professionnels sur lesquels cette sécurité repose. Ma hantise du moment est qu’un certain nombre de personnes de l’entreprise se disent “ah maintenant je ne crains plus rien concernant les attaques informatiques, puisque le RSSI est là !”.

De même que l’harmonie musicale d’un orchestre est l’affaire de tous les musiciens, du chef d’orchestre, de la qualité des instruments, de la salle, de l’historique du groupe, la sécurité est l’affaire de tous : l’équipe réseaux, l’équipe de développement, l’équipe support, le RSSI, les moyens financiers et tous les utilisateurs qui manipulent des logiciels et des données.

Pour l’instant, dans mon reboot professionnel, mes seules armes sont ma volonté de mettre le feu à mes neurones, et mes 20 années d’expertises judiciaires où j’ai pu constater in situ beaucoup d’erreurs à ne pas faire, et où j’ai pu étudier les chapeaux noirs pour essayer d’être un chapeau blanc.

Il me faut accepter d’être un junior aux cheveux blancs.
Ad augusta per angusta (Victor Hugo, Hernani, mot de passe des conjurés)

It’s the hat