Ça va partir dans tous les sens

Ce petit billet pour prévenir mes lecteurs que ce blog va partir un peu dans tous les sens, alors ne m’en veuillez pas… Voici approximativement le programme des prochains billets.

J’ai participé l’été dernier à un exercice littéraire très riche d’enseignements, et je voudrais en faire un bilan à la Asimov (toute proportion gardée), en publiant les billets de l’histoire que j’ai inventée, avec des explications introductives et conclusives pour chaque billet. Pour que cela fasse sens, je vais les publier les uns à la suite des autres, pour garder la continuité de l’histoire. Les introductions spoileront sans doute un peu l’histoire, mais présenteront le contexte de sa construction, et les conclusions seront un exercice de bilan critique.

J’apprends beaucoup sur la sécurité informatique, et pas seulement au niveau technique. J’ai envie de faire part ici de cet apprentissage, non pas pour les experts de ce domaine qui n’apprendront rien, mais pour les débutants, les étudiants et les utilisateurs qui se débattent entre leur chaise et leur clavier. Ce seront des billets entre le rapport d’étonnement, la mise en place des règles que je préconise, des expérimentations d’outils… Il faut que j’arrive à me défaire de cette idée que quand on écrit sur la sécurité informatique, on se heurte nécessairement à des roxors hautains lanceurs de piques assassines. Je crois qu’il y a de la place pour une approche bienveillante, même dans ce domaine.

Je bricole pas mal avec les réseaux de neurones de ma jeunesse. J’explore des outils « clef en main » mais je tente aussi le hacking de ces technos pour mieux comprendre ce qu’elles font. En ce moment, ça part un peu dans tous les sens, mais c’est passionnant. A voir s’il y a matière pour jeter ça dans un billet.

Un professeur m’a contacté pour m’interviewer avec l’un de ses étudiants sur le métier de RSSI. L’exercice est toujours périlleux, mais mes réflexes d’ancien expert judiciaire reviennent souvent à la charge : quand on me demande mon avis, j’ai toujours envie de le donner (en mon âme et conscience). Peut-être ce travail commun de questions/réponses trouvera-t-il le chemin de ce blog…

Je m’amuse pas mal à bricoler le réseau de la maison et mes services autohébergés. Entre mes nouvelles bornes Wifi, mes tests sur les NIDS, la segmentation, les parefeux, les routeurs et ma découverte de l’IPv6, j’ai beaucoup à écrire, pour faire un retour d’expérience, mais aussi pour avoir vos avis.

Je suis tombé dans la marmite de la généalogie, et je passe des week-ends entiers à remonter le temps et découvrir les terres de mes ancêtres. Là aussi, il y a beaucoup à dire et tant à partager 🙂

Je teste pas mal de générateurs de blogs statiques. Je me suis rapidement mis au Markdown, mais je tâtonne encore : je cherche le bon équilibre entre mains dans le cambouis et poils dans la main… Donc il va peut-être y avoir du changement de ce côté-là aussi 🙂

Je lis beaucoup en ce moment : des livres papiers, des billets de blogs, des articles de recherche, des comptes rendus de conférences… J’admire tant de gens, j’apprécie tant leur énergie, leur entrain, que parfois je m’épuise. J’ai fortement réduit le temps passé sur les réseaux sociaux, même si cela reste ma bouffée d’oxygène et ma fenêtre sur le monde : j’ai choisi de suivre les bonnes personnes, et pour l’instant j’ai échappé à la malveillance. J’ai prévu de faire un point sur le thème des réseaux sociaux également.

La publication en livres des billets de ce blog a pris du retard. Je ne désespère pas d’arriver à enfin sortir les tomes 7 et 8, toujours en version électronique gratuite sans DRM et en version papier pour ma famille et mes amis.

Ce blog restera ce qu’il a toujours été : le web log extime de Zythom, à destination de la première IA qui sera capable d’en absorber toute la substance et me faire vivre pour l’éternité. En vrai, il est surtout à destination de mes enfants et de leurs futurs enfants, pour qu’ils sachent ce que faisait leur (pé)père quand il ne jouait pas avec eux.

La vie est si courte, et il y a tant de choses à faire.
A bientôt.

Deux ans après

Il y a deux ans, j’ai changé d’entreprise et de métier. En deux ans, j’ai découvert le fonctionnement de ma nouvelle entreprise, le télétravail deux jours par semaine, la vie loin de ma famille trois jours par semaine dans une petite location, un nouvel équilibre de vie.

Mes nouveaux collègues m’ont bien accueilli, d’autant mieux que j’ai tout de suite expliqué ma démarche : « je suis RSSI débutant avec expérience, et vous ne m’avez pas attendu pour faire de la sécurité informatique, donc je ne vais pas vous expliquer votre métier, malgré mes cheveux blancs« .

L’équipe en charge des serveurs et réseaux est au top, l’équipe de développement fait du développement de qualité, l’équipe support fait ce qu’elle peut face aux utilisateurs… Bref un bon service informatique comme je les aime.

Apprendre un métier, même quand on a de l’expérience (surtout !) reste un vrai challenge. J’ai beaucoup progressé, mais je sais que jamais je n’atteindrai les compétences techniques d’un roxor de l’ANSSI.

Pour autant, je ne suis pas un suxor… J’arrive à défendre pas mal de projets portés et demandés par les équipes techniques, qui n’étaient pas nécessairement entendu auparavant. Je communique plutôt pas mal et j’ai réussi à trouver un ton légèrement humoristique qui semble bien passer auprès des utilisateurs. Le niveau de sécurité monte petit à petit, et de moins en moins de monde se dit « ça ne m’arrivera pas, pas à moi », et de plus en plus sont demandeurs de protections, dont ils ont besoin aussi bien dans l’univers professionnel que personnel.

Pourtant la tache est immense. Les problèmes sont complexes, la pression est permanente. Depuis deux ans, je me couche souvent le soir vers 21h, lessivé. Mais je n’arrive pas à dormir avant 23h, pour enchaîner sur une journée de 10h…

Je SAIS qu’une crise cyber d’envergure nous tombera dessus, mais je ne sais pas quand. Je prépare les PCA et PRA, la mise en place de la cellule de crise cyber et ses liens avec la cellule de crise classique, mais je sens bien que le jour où ça va exploser, je vais prendre cher… Et pour quelqu’un qui aime tout prévoir, qui aime être prêt à tout, c’est difficile de vivre avec une épée de Damoclès.

Je me sens comme le démineur qu’on envoie nettoyer le terrain sous le feu de l’ennemi.

Et sur ces deux années, l’une s’est déroulée en pleine pandémie, qui bien sur continue. Tous les plans d’urgence ont été déclenchés, les licences VPN de secours ont été activées, le personnel a été équipé rapidement en ordinateur portable, les professeurs ont très rapidement modifié leur pédagogie pour basculer en distanciel, puis en enseignement hybride. Une grande école de commerce, c’est un organisme très adaptatif qui survit dans un milieu très concurrentiel : les professeurs sont formidables, de haut niveau, le personnel solidaire et les étudiants très motivés.

Mais les étudiants souffrent, même les plus favorisés. La solitude est pesante. Leur jeunesse leur file entre les doigts, ce moment exceptionnel qui ne reviendra pas.

Leur seul lien avec l’extérieur, confinés dans leur chambre, passe beaucoup par l’informatique. Tout le travail pédagogique des professeurs passe par l’informatique. Tous les outils professionnels des salariés de l’école passent par l’informatique. Le numérique est partout et grâce à lui, et aux efforts de tous, le système est résilient.

Mais le RSSI, et bien sûr toute l’équipe informatique, sait sur quoi tout cela tient. Même les plus grands tombent sous le coup d’une faille zéro jour exploitée par des États, ou par des scripts kiddies. Même les journaux grands publics parlent de catastrophes numériques qui touchent, un coup une grande entreprise, un autre un groupe d’hôpitaux…

Alors le soir, je prie pour que mon monde existe toujours le lendemain.
Et, comme face à la mort, c’est plus dur quand on n’est pas croyant.

Vous voyez, je gère bien le stress.
J’ai été élevé à la dure.

Télétravail

Cela va faire plus d’un an que j’ai changé de métier et fait le choix de travailler en région parisienne. Mon nouveau métier me passionne, mais je ne voulais pas demander à ma famille de me suivre dans l’enfer de la vie parisienne. J’ai donc fait le choix de négocier lors de mon entretien d’embauche la possibilité de télétravailler deux jours par semaine. Pour ceux que cela pourrait intéresser, je fais un point sur ce thème dans ce billet.

Tout d’abord, j’ai conscience d’avoir la chance de travailler dans une entreprise qui a mis en place le télétravail, avec comme arrière pensée d’améliorer le confort de ses salariés. D’autres entreprises mettent en place le télétravail avec comme objectif de diminuer le nombre de bureaux, de mettre en place des bureaux partagés, pour diminuer les charges. Ce n’est pas le cas de mon entreprise où l’idée est vraiment de permettre aux salariés qui le souhaitent, et dont la fonction le permet, de travailler depuis chez eux jusqu’à deux jours par semaine.

Avant de me lancer dans l’aventure, j’ai beaucoup réfléchi aux conséquences de mon changement d’emploi : il me fallait intégrer le coût de location d’un petit appartement près de ma nouvelle entreprise, plus le coût du déplacement en train (900 km par semaine). Et au delà du coût, la vie loin de ma tribu pendant une partie de la semaine. Enfin, quand je dis que j’ai beaucoup réfléchi, j’ai surtout beaucoup discuté avec ma femme qui a été un soutien formidable dans ce projet. Il faut dire qu’elle voyait bien l’état de souffrance dans lequel j’étais dans ce qu’était devenu mon ancien métier (lire la série de billets « 25 ans dans une startup » pour le comprendre).

Cela fait donc maintenant un an que je travaille trois jours sur place en région parisienne, et deux jours en télétravail chez moi « en province » comme on dit à Paris. Et comme j’ai choisi les jeudis et vendredis comme journées de télétravail, elles sont logiquement suivi des deux jours de repos du week-end (je suis salarié et je travaille du lundi au vendredi). Je prends le train le dimanche après-midi pour Paris, et le mercredi soir pour rentrer chez moi.

Je savais que le fait de rentrer chez moi le mercredi soir allait représenter en soi un piège. En effet, très vite, l’impression d’avoir un grand week-end de quatre jours est apparue comme très agréable, et à ma grande surprise, une partie de moi avait du mal à se discipliner pour être aussi efficace le jeudi que si j’étais « au bureau ».

Après plus de trente années passées à travailler de manière classique, je découvrais qu’une partie de mon efficacité se trouvait dans ma présence physique au boulot : un mélange d’habitudes, de manque de tentation et du regard des autres faisait que j’étais productif. Et là, je me suis retrouvé tout seul le matin, en pyjama, à devoir me traîner jusqu’à mon bureau…

J’ai donc découvert une facette de ma personnalité : j’ai besoin d’un environnement de travail. C’est ma première leçon : se découvrir soi-même avec honnêteté.

Pour être honnête avec mon employeur, qui me fait confiance (dans une certaine mesure), j’ai donc mis en place un rituel assez précis. Tout d’abord, j’ai transformé une pièce de la maison (la chambre d’amis) en bureau professionnel : j’ai retiré tout ce qui est personnel (cadres, dessins d’enfants etc.) en créant un lieu où il est possible (même si extrêmement improbable) de recevoir une personne dans le cadre d’une réunion professionnelle. Le cadre est neutre, avec une décoration liée à mon métier dans la sécurité informatique (des tableaux d’analyses de risque, des tips, et une photo de Snowden ;-). J’ai un bureau propre, sur lequel mon matériel informatique est installé, et seulement lui. Pas de goodies improbables comme j’en ai dans mon bureau d’expertises informatiques. Et donc, j’ai DEUX bureaux : un bureau pro et un bureau foutoir (que j’aime d’amour).

La deuxième règle que je me suis imposée concerne la tenue vestimentaire. Comme toutes les entreprises, celle où je travaille a un « dress code ». Il est plutôt cool, mais le pyjama n’en fait pas partie. Je suis donc rasé et habillé comme si j’avais une réunion avec mes collègues. Et cela tombe bien, l’entreprise utilise Skype for Business comme moyen de téléphonie, avec la possibilité de faire des téléconférences. Et on ne s’en prive pas ! J’ai même la chance de pouvoir utiliser un robot de téléprésence pour être plus « présent » lors de certaines réunions, et ne pas dépendre d’un système fixe de vidéoconférence : j’entends et je suis entendu parfaitement, je choisis ma place autour de la table, je regarde dans la direction que je souhaite, et personne ne malaxe de papiers bruyamment au dessus de mon micro… Je pose ici une image (c’est un robot de la marque Beam).

On peut se déplacer partout, mais pas ouvrir les portes…

La troisième règle concerne les horaires. Je suis au travail à la même heure en télétravail qu’en présentiel. J’embauche à 8h et je débauche vers 18h, avec une pause méridienne d’une heure. L’ÉNORME différence est qu’il ne me faut que quelques secondes pour embaucher ou débaucher. C’est d’ailleurs aussi une difficulté qu’il faut gérer, et c’est le rôle de la 4e règle.

La 4e règle est à discuter avec son conjoint : pendant mes heures de travail, je ne suis pas disponible. La tentation est grande parfois, de demander un coup de main pour un clou à planter ou un bricolage à faire. Bien sur que je le fais à chaque fois, mais cela doit rester très marginal. Il faut le voir dans ce sens là : en cas de coup dur, je suis présent, mais en cas de coup dur seulement.

La 5e règle va sembler un peu bizarre, mais elle s’est mise en place assez naturellement. Mon épouse a son cabinet dans une dépendance de la maison spécialement aménagée lors de la construction (salle d’attente, parking, etc.). Pourtant, nous ne nous obligeons pas à manger ensemble le midi. Chacun est autonome et se prépare son repas. Cela peut sembler peu chaleureux, mais cela nous permet de gérer nos contraintes horaires professionnelle de manière plus souple.

Une fois ce cadre posé, j’ai réussi à convaincre mon manager que j’étais aussi efficace que si j’étais sur place 5 jours pleins, et même plus car j’ai beaucoup moins de distractions ou d’agitations perturbatrices. Je travaille mieux et plus concentré. Je suis moins fatigué.

Mais comme j’habite près de la mer, mes collègues n’arrivent pas à m’imaginer autrement qu’en train de bronzer sur la plage. J’ai fini par arrêter de chercher à les convaincre. Je leur montre que j’avance sur mes dossiers surtout quand je suis en télétravail.

Si je dois faire un bilan personnel, et sous forme de conclusion, je dirai que le télétravail, c’est formidable, mais qu’il faut prendre en compte sa propre capacité à travailler en toute autonomie, quitte à trouver des astuces pour y parvenir. Et que cela ne conviendra pas à tout le monde. J’y suis arrivé, mais à ma grande surprise, avec des efforts que je ne soupçonnais pas au départ.

Le junior aux cheveux blancs

C’est une sensation étrange que de repartir de zéro. Je suis pourtant sûr que beaucoup de monde a vécu cette expérience. Un magistrat qui devient vigneron, un commercial dans un grand groupe qui devient chocolatier, ou un salarié qui devient entrepreneur, savent de quoi je parle : ce sentiment de repartir de rien, d’essayer de construire quelque chose sur de nouvelles compétences à acquérir, en faisant le deuil de compétences qui ne servent plus.

Moi, c’est plus simple : de Directeur des Systèmes d’Information (DSI), je suis devenu Responsable de la Sécurité du Système d’Information (RSSI). Ça sonne presque pareil, et puis c’est toujours dans l’informatique.

C’est vrai. Mais ces deux fonctions n’ont presque rien à voir entre elles. Le DSI que j’étais, décidait des orientations des évolutions du système d’information de mon entreprise (le schéma directeur), puis négociait le budget associé, puis mettait en musique les décisions qui en découlaient (les mains dans le cambouis). Et nous faisions des miracles.

Le RSSI a une toute autre fonction, plus spécialisée bien sûr, mais qui demande d’autres compétences. La sécurité informatique est une jeune science où le RSSI est en posture de défense, face aux attaquants de tous poils. Et pour cela, il faut de solides connaissances techniques, sur lesquelles il faut construire de solides connaissances méthodologiques (et l’inverse !).

Quand on vient de sortir d’une école où l’on a appris toutes ces connaissances, c’est « facile » : il ne manque que l’expérience. Cette expérience pourra, par exemple, s’acquérir dans une société de service dédiée à la sécurité, ou à l’ANSSI avec un CDD de trois ans très bien vu sur un CV (petit salaire mais grosse notoriété). Quand on a 55 ans et que sa formation initiale date de plus de 30 ans, c’est une autre paire de manche : l’expérience est là, mais les connaissances techniques et surtout méthodologiques, peuvent laisser à désirer, ou dater quelque peu.

J’ai la chance d’avoir été bien accueilli par une équipe d’ingénieurs qui, passé le moment gênant où ils se demandaient ce qu’allait bien pouvoir leur apporter ce (presque)grand-père, a accepté de m’initier à leur système d’information bien plus complexe que celui que j’avais mis en place dans ma vie professionnelle antérieure.

Et surtout, j’ai bien prévenu que je ne deviendrai jamais aussi bon qu’eux dans leur domaine d’expertise respectif. Ce n’est ni mon objectif, ni ma fonction.

Beaucoup d’entreprises n’ont pas de RSSI et gèrent pourtant malgré tout la sécurité informatique : un administrateur réseau, un développeur logiciel ou un responsable informatique sont des professionnels qui doivent savoir intégrer la sécurité dans leurs activités (et qui connaissent son importance… et ses limites).

Finalement, on peut comparer tout cela à un groupe de musiciens qui composent, s’exercent, se corrigent, s’entrainent et enfin se produisent en public, sur des petites scènes, puis sur des grandes scènes. Ils n’ont pas besoin d’un chef d’orchestre pour leur donner le rythme, l’un d’entre eux s’y colle en général (par exemple le batteur).

Les problèmes peuvent apparaître quand le nombre de musiciens augmente. Dans un grand orchestre, il faut une personne qui donne le rythme. Cette personne n’est pas nécessairement un virtuose d’un instrument (même si elle peut l’être), et surtout, elle ne peut pas remplacer chacun des membres de l’orchestre.

Le RSSI peut être ce chef d’orchestre en matière de sécurité : il coordonne les moyens, les techniques, les méthodes, les procédures, etc. qui permettent d’améliorer la sécurité. Il n’est pas nécessairement expert d’un domaine pointu (pentesteur, admin réseau…) même s’il peut l’être. Mais surtout, il ne peut pas à lui tout seul gérer la sécurité informatique de toute l’entreprise, ni se substituer à tous les professionnels sur lesquels cette sécurité repose. Ma hantise du moment est qu’un certain nombre de personnes de l’entreprise se disent « ah maintenant je ne crains plus rien concernant les attaques informatiques, puisque le RSSI est là ! ».

De même que l’harmonie musicale d’un orchestre est l’affaire de tous les musiciens, du chef d’orchestre, de la qualité des instruments, de la salle, de l’historique du groupe, la sécurité est l’affaire de tous : l’équipe réseaux, l’équipe de développement, l’équipe support, le RSSI, les moyens financiers et tous les utilisateurs qui manipulent des logiciels et des données.

Pour l’instant, dans mon reboot professionnel, mes seules armes sont ma volonté de mettre le feu à mes neurones, et mes 20 années d’expertises judiciaires où j’ai pu constater in situ beaucoup d’erreurs à ne pas faire, et où j’ai pu étudier les chapeaux noirs pour essayer d’être un chapeau blanc.

Il me faut accepter d’être un junior aux cheveux blancs.

Ad augusta per angusta (Victor Hugo, Hernani, mot de passe des conjurés)

It’s the hat

25 ans dans une startup – épilogue

Introductionbillet n.62

Quand j’ai écrit l’introduction de cette série de billets, en juin 2018, je n’avais pas encore trouvé d’emploi, et je ne savais pas comment la série allait se terminer. J’avais besoin d’écrire sur tout ce que j’avais ressenti pendant cette période pour évacuer tout ce mal être qui menaçait de m’envahir.

J’avais à l’époque deux chemins possibles : soit je trouvais un nouveau travail passionnant, soit je ne trouvais pas de nouvel emploi et il me fallait transformer celui que j’occupais en travail passionnant.

Après tout, j’ai parfaitement conscience que le différent stratégique que j’ai eu avec mon directeur général est assez banal, même si je l’ai mal vécu, et que j’aurais pu/dû le surmonter.

Lorsque j’ai donné ma démission, j’ai tenu à ce que les raisons de mon départ ne soient connues que par la DRH et le directeur général. Pendant sa période de préavis, le salarié conserve un devoir de loyauté envers son employeur. Je ne voulais pas semer la zizanie dans la startup, en étalant un différend stratégique qui pouvait décrédibiliser la direction, je n’ai donc parlé à personne des raisons exactes de mon départ, expliquant qu’une proposition d’emploi que je ne pouvais pas refuser m’avait été faite dans une belle entreprise (ce qui n’est pas complètement faux).

C’est aussi la raison de l’arrêt de la publication des billets en octobre 2018 et du mystérieux billet n°37.5 qui se terminait par ces mots :

2019 sera pour moi une année de grands changements. Le blog va également changer
d’orientation. J’en parlerai dans l’épilogue de la série des « 25 ans dans une startup ». Merci pour votre patience.

J’ai effectué ma période de préavis de trois mois, en terminant le
plus proprement possible tous les projets que j’avais engagés, en
formant du mieux que je pouvais, comme je
l’ai toujours fait, mon nouveau chef de projets. J’ai également eu la chance de pouvoir côtoyer ma
successeure pendant deux mois et lui transmettre le plus d’informations
possibles, y compris tout le savoir informel accumulé pendant 25 ans.
J’ai pu la présenter aux réseaux professionnels d’échanges de bonnes
pratiques auxquels j’ai participé et que j’ai pu apprécier pendant tant
d’années.

Le plus difficile pendant cette période de préavis a été de ne pas pouvoir démarrer les projets importants de transformation numérique que j’avais détaillés dans le schéma directeur présenté au personnel de la startup, faute de pouvoir en assumer le bon déroulement et les difficultés. Les derniers jours ont également été très éprouvants, car je quittais certaines personnes que j’avais beaucoup appréciées (et sans pouvoir leur dire pourquoi j’abandonnais le navire).

Et au mois de janvier 2019, j’ai donc démarré un nouveau métier, en prenant un poste de RSSI dans une grande école de commerce qui m’a fait confiance. Le défi est important, car non seulement je change de métier, mais aussi d’entreprise, de collègues, de région, de mode de vie… Jusqu’ici tout va bien, et l’avenir dira si j’ai bien fait ou si je me suis lamentablement vautré… L’année 2019 sera pour moi, de toutes manières, une année de grands changements. Je vais commencer par essayer de finir correctement ma période d’essai…

En écrivant cette histoire, je ne pensais pas qu’elle aurait autant de succès parmi les lecteurs de ce blog. J’en ai été surpris. Il s’agissait surtout pour moi d’un travail d’autothérapie par l’écriture, mais je ne vais pas me plaindre, et j’espère que quelques-uns d’entre vous, surtout parmi les plus jeunes, pourront en tirer des leçons profitables. Merci aussi pour tous vos emails de soutien, les échanges et les interactions.

Le blog va changer d’orientation. La thématique va changer : je voudrais partager avec vous ma découverte du monde de la sécurité informatique. C’est un monde où la discrétion est reine, où les échanges sont plutôt souterrains et où la technique est très importante. C’est drôle, c’est exactement comme l’univers des experts judiciaires…

Justement, à propos des expertises judiciaires, du fait des difficultés que je rencontrais dans la startup, j’ai énormément diminué mon activité expertale, en renvoyant toutes les demandes vers des experts compétents et disponibles. Je vais attendre de voir un peu comment se passe cette année 2019, mais sans doute m’acheminé-je doucement vers une fin d’activité et un non-renouvellement de mon inscription sur la liste des experts judiciaires. Quand j’ai commencé en 1999, j’avais 35 ans et je ne comprenais pas comment le suivant en âge de la liste pouvait avoir 20 ans de plus que moi dans un domaine aussi technique et changeant que celui de l’informatique. J’ai aujourd’hui cet âge-là et, même si je me sens encore dynamique, je pense qu’il faut savoir laisser la place et ne pas finir par porter ce titre d’expert judiciaire uniquement pour la carte de visite. On verra bien. Je me donne un an pour prendre une décision.

Concernant le télétravail, c’est un sujet dont je parlerai dans un billet dédié, tant j’ai été surpris par la difficulté que l’auto-discipline demande. Heureusement, j’ai été bien conseillé et je ne m’en sors pas trop mal.

La téléfamille, c’est plus difficile. Là aussi j’en parlerai dans un billet dédié.

Merci à tous ceux et à toutes celles qui m’ont lu jusqu’ici.

Je transmets également mon bonjour aux anciens collègues qui me lisent ici (j’ai les noms 😉

A bientôt pour de nouvelles aventures.

Tweet du 5 janvier 2019. Maintenant vous faites partie de ceux qui savent 😉

25 ans dans une startup – billet n.62

Introductionbillet n.61

Je prends quelques jours de réflexion, je discute beaucoup avec mon épouse et nous prenons une décision.

Je ne peux pas envisager de rater une telle opportunité.

J’ai besoin de me passionner pour mon travail.

J’ai besoin d’apprendre en permanence et de progresser.

J’ai besoin d’avoir les neurones en feu tous les jours.

Je vais devoir trouver une chambre d’étudiant en région
parisienne et faire l’aller-retour (2 x 450 km) tous les week-ends, pendant les 10 prochaines années. Je vais sacrifier 20% de mon salaire, alors que la vie parisienne est 15% plus chère. Je vais quitter le confort de mes repères, de mes savoirs, de mes certitudes.

Mais je n’aurai plus de management à faire, j’aurai des objectifs clairs et les moyens de les atteindre. Je pourrai travailler 50 heures par semaine sans craindre de voir tout mon travail s’écrouler. Je travaillerai avec des experts techniques de haut niveau. J’apprendrai un nouveau métier. Je découvrirai les affres et le charme du télétravail. Je gouterai à la joie des retrouvailles tous les week-ends avec l’Amour de ma vie.

Bref, un nouveau monde s’offre à moi, plein de défis à relever. J’ai 55 ans et tant de choses à apprendre. Sans la certitude d’y arriver.

Je me sens revivre.

J’écris ma lettre de démission que je remets le lendemain en main propre à mon directeur général.

J’aurai passé 25 ans dans une startup.

–oOo–   FIN   –oOo–

Épilogue

————–

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Extrait de https://salemoment.tumblr.com/

avec l’aimable autorisation de l’auteur Olivier Ka

25 ans dans une startup – billet n.61

Introductionbillet n.60

Depuis de nombreuses années, je fréquente un réseau social professionnel, sur lequel j’ai beaucoup de contacts : le réseau LinkedIn. Ce réseau dispose d’un système intégré d’offres d’emploi. C’est assez bien fait et j’ai pu contacter pas mal d’entreprises par ce biais.

L’une d’elle proposait un poste de RSSI dans un univers que je connais bien : l’enseignement supérieur privé. J’étudie attentivement l’offre, et j’arrive parfaitement à me projeter dans la fonction. J’envoie un CV et une lettre d’accompagnement.

Fidèle à ma technique, je prends contact au bout de quelques jours avec le service RH pour un suivi de ma candidature. L’accueil est sérieux, le suivi personnalisé. Un entretien téléphonique avec le DSI auquel le poste est rattaché est programmé. Le jour J, l’entretien se passe bien et le courant aussi.

Un deuxième entretien se déroule dans l’école située en région parisienne. Le poste est bien défini et je connais bien les difficultés et subtilités de l’univers de l’enseignement supérieur. Il n’y a pas de surprise a priori.

Un troisième entretien est programmé avec le CDO de l’entreprise. Entretien parfait où mon interlocuteur me laisse présenter mes arguments de motivation, mes lacunes et mes qualités. J’ai enfin le sentiment d’être écouté et entendu. Je joue la carte de la transparence pour ne pas laisser de place aux doutes ou aux non-dits : je ne suis pas un spécialiste technique pointu, mais j’ai l’expérience de l’informatique et de l’environnement pédagogique de haut niveau. J’ai la motivation du débutant et l’expérience de l’ancienneté.

Quinze jours après, j’apprends que, cette fois, j’arrive en tête de la « short list » : j’ai une promesse d’embauche et cinq jours pour donner ma réponse.

Billet n.62

————–

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

25 ans dans une startup – billet n.60

Introductionbillet n.59

Les offres se suivent, les entretiens aussi. Je suis souvent retenu pour un deuxième, puis un troisième entretien, mais à chaque fois un autre candidat est retenu. Je ne baisse pas les bras et je continue à chercher le job qui correspondrait à mes envies : soit DSI dans une petite structure, soit quelque chose autour de l’expertise judiciaire, soit RSSI dans une entreprise où je pourrais trouver ma place.

Un follower Twitter me fait suivre une offre particulièrement intéressante : un poste d’assistant spécialisé informatique est ouvert depuis plusieurs années et non pourvu dans… la section de lutte contre le terrorisme du parquet de Paris.

Oui, oui, vous avez bien lu. LA section C1 dite pôle antiterroriste

Incrédule, j’envoie un email avec mon CV et une lettre de présentation. Je reçois une réponse et un questionnaire à remplir. Puis suit un entretien téléphonique. Le courant passe bien, mes motivations sont comprises, et j’ai parfaitement conscience des enjeux techniques et humains.

Je reçois une convocation pour un entretien avec plusieurs magistrats de ce service, dont la cheffe de la section de lutte contre le terrorisme, les assistants spécialisés cybercriminalité et la personne en charge du recrutement.

L’entretien se déroule dans le nouveau palais de justice de Paris.

Le jour J, je me présente à l’accueil, avec deux heures d’avance. La personne de l’accueil me remet un badge visiteur et m’explique le chemin à suivre pour monter dans les étages jusqu’à celui du cabinet du Procureur de la République.

Comme je suis en avance, je me dis qu’il est judicieux de faire un repérage discret des lieux avant l’entretien. Je prends donc la direction de la colonne d’ascenseurs indiquée par l’accueil. Je badge aux différents lecteurs qui se présentent à moi, jusqu’à me trouver face à un ascenseur qui ne semble pas capable de m’amener au 26e étage. Ce n’est pas grave, pensé-je en mon for intérieur, je n’ai qu’à monter et changer d’ascenseur… Erreur : je me suis retrouvé ensuite face à d’autres ascenseurs qui ne semblaient pas vouloir reconnaître mon badge. J’ai pris mon mal en patience, en essayant de prendre un air intelligent, et j’ai attendu qu’un ascenseur s’ouvre pour enfin arriver à bon port.

Une fois au 26e étage, je pousse une porte qui semble m’amener vers le cabinet du procureur. Je me retrouve entre deux portes, dans un sas. Et bien entendu, mon badge n’ouvre aucune des deux portes… Je repère alors un interphone et sonne en espérant que quelqu’un va répondre. Rien ne se passe.

J’attends, en essayant vainement de prendre un air intelligent.

Au bout de 10mn, une personne entre dans le sas et me découvre en train d’attendre. Je crois qu’elle en rigole encore : une heure et demie d’avance sur son rendez-vous, bloqué dans un sas, à faire peur au personnel.

J’ai fini par patienter en salle d’attente. Les vigiles de la vidéosurveillance doivent encore se souvenir de cette scène étrange d’un gugusse prenant en photo la salle d’attente sous toutes ses coutures et Paris vu du haut du Palais de Justice 🙂

L’entretien se déroule parfaitement. Je suis évidemment impressionné par les personnes présentes. Travailler avec elles serait un honneur pour moi.

Le poste est a peu près réparti en quatre parts égales :

Forensic : reprise d’analyse de supports informatiques

OSINT : recherches internet diverses et variées pour documenter les dossiers

– Assistance/expertise quotidienne pour les magistrats et les enquêteurs

– Participation groupes de travail, représentation, etc…

Le candidat idéal doit savoir un peu tout faire, sans être forcément un spécialiste dans tout.

Le statut du poste est conforme à ce qui était indiqué dans l’offre parue sur la bourse interministérielle de l’emploi public : les assistants spécialisés sont recrutés par voie de contrat, en qualité d’agent contractuel de catégorie A, pour une durée de 3 ans renouvelable.

Je rentre dans ma province profonde avec les yeux qui brillent comme quelqu’un qui rêve depuis tout petit de devenir pompier et qui est à la porte de la caserne…

Quelques jours plus tard, je reçois le contrat d’engagement à durée déterminée, et découvre un point qui avait échappé à ma sagacité : le contrat est d’une durée de 3 ans renouvelable une seule fois.

A 54 ans, pour mettre mes compétences au service de mon pays dans la lutte contre le terrorisme, je dois démissionner de mon poste de salarié du privé, pour un CDD de 6 ans maximum. C’est la perspective annoncée est d’être chômeur à 60 ans (ou à 57 si les budgets et mon poste sont supprimés). Je n’ai pas de corps de rattachement à réintégrer…

La mort dans l’âme, je me vois obligé de décliner l’offre malgré son intérêt évident.

Putain, intégrer le pôle antiterroriste…

Je continue mes recherches.

Billet n.61

————–

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

25 ans dans une startup – billet n.59

Introductionbillet n.58

Parmi les rêves fous que je faisais, en lien avec mon évolution professionnelle, revenait souvent la fonction de RSSI, c’est-à-dire Responsable de la Sécurité des Systèmes d’Information. Si je n’ai clairement pas le niveau technique d’un pentester, ou d’un participant à un concours de hacking, j’ai l’expérience d’un expert judiciaire qui a mené pendant 20 ans des audits informatiques, souvent dans le domaine de la sécurité.

Alors, quand cette offre d’emploi pour un poste de RSSI dans un grand groupe français du CAC40 m’a été présentée par un lecteur du blog, j’ai étudié la question avec intérêt.

Voici la fiche de poste qui m’a été présentée :

Missions Principales :
• Garantir la protection de nos données, applications, infrastructures IT et Réseau contre les cyber-risques
• Évaluer les risques et auditer la vulnérabilité IT
• Assurer la veille technologique sur la sécurité IT et les standards IT

• Définir et suivre l’application des normes de sécurité IT de l’entreprise en particulier lors du choix des solutions (contrats software et communication)
• Participer aux déploiements de solutions innovantes applicatives en apportant les moyens de protection appropriés
• Organiser un comité trimestriel de Sécurité des Infrastructures avec l’ensemble des sociétés de l’entreprise, en collaboration avec le responsable Telecom de l’entreprise
• Participer à la réalisation du budget Infrastructure sur son périmètre de responsabilité
• Suivre l’application (par les sociétés de l’entreprise) des standards de sécurité Infrastructure et réseaux indiquées dans la PSSI (15 security rules, SOC…)
• Définir la future stratégie de Sécurité de l’entreprise à mettre en œuvre après TSA
• Assurer la relation avec les fournisseurs de matériel, logiciel et services définis dans le portefeuille de standards et sécurité IT.
• Piloter en particulier la prestation de SOC délivrée par le partenaire, les comité sécurité avec les infogérants et les chaine d’alertes associées
• Animer le réseau Sécurité IT en relation avec les filiales et apporter un support technique aux IT locaux et aux IT Industriels sur la sécurité
• Définir, suivre les indicateurs de sécurité IT (KPI) et les communiquer à la DSI
• Définir la charte de sécurité IT et en assurer la mise à jour et la promotion en relation avec la Communication Interne et les IT Locaux

Compétences requises (techniques, …) :
Maitrise des technologies Microsoft
Maitrise de l’état de l’art en matière de cyberdéfense
Anglais +
Rigueur et sens de l’organisation
Fonctionnement et animation en réseau
Disponibilité étendue
Résistance au stress, engagement et orientation résultat
Communication interne (communauté IT globale et Directions Générales & Métiers)

Le premier entretien (téléphonique) s’est bien déroulé et mon interlocuteur était attentif et précis dans ses questions/réponses. J’ai ainsi pu franchir le premier tri des candidats.

Le deuxième entretien se faisait sur place, dans l’entreprise, dans le quartier d’affaire de la Défense du Grand-Paris. J’arrive en avance, je cherche mon chemin, je me perds entre les tours, je trouve l’entrée de la grande tour de l’entreprise, je passe la fouille du sas d’entrée, j’obtiens mon badge visiteur, j’attends que quelqu’un descende d’un des étages pour venir me chercher…

L’entretien se passe très bien, avec mon futur chef. Il répond à toutes mes questions, et je joue la carte de la franchise. L’entretien se termine au bout de deux heures. Je suis impressionné par les enjeux du poste, par la taille de l’entreprise, par les moyens mis à la disposition du RSSI.

Dix jours plus tard, j’apprends que je suis classé en première position sur la « short list » des trois candidats retenus.

Je reçois le contrat et la proposition financière.

J’étudie longuement le saut que je m’apprête à faire: réduction de salaire, déménagement sur Paris, changement d’entreprise, de métier et de fonction.

Puis je me rends compte que je n’ai pas les clés pour réussir: je n’ai jamais travaillé dans un grand groupe, je n’en connais pas les codes, la culture. Au moment de signer, je n’arrive pas à me projeter.

Je me suis vu plus fort, plus beau que je ne suis en réalité.

Je sais que ce poste est trop gros pour mes épaules.

Réaliste, je refuse la proposition.

Je continue mes recherches.

Billet n.60

————–

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

25 ans dans une startup – billet n.58

Introductionbillet n.57

Comme mon profil est a priori celui d’un DSI proche du terrain, je cherche des offres d’emploi en rapport. Grâce à un lecteur du blog, j’apprends l’existence d’une offre d’emploi du marché caché, qui semble bien me correspondre, dans une startup de La Poste.

Je ne reproduirai pas ici la fiche de poste, ni l’offre d’emploi, mais le commentaire associé, écrit par le Responsable Ressources Humaines de la sous-division concernée chez La Poste :

« Recherche de profil transverse (aussi bien architecte qu’opérationnel),
une appétence à faire et mettre en œuvre est indispensable. Esprit
start-up, équipe, collectif.
« 

Mon contact me transmet les coordonnées du Responsable Ressources Humaines qui gère le recrutement. Je constitue un dossier complet, CV, lettre de motivation, et courrier d’accompagnement.

Trois jours plus tard, je reçois ce message :

Bonjour M. [Zythom],

Je vous remercie de votre intérêt pour notre structure et aussi pour notre offre de poste.

Vous avez une expérience riche et variée accompagnée d’une formation de grande qualité. Cependant, il me semble que l’offre que nous proposons est en décalage avec votre profil. En effet, notre poste est bien plus adapté à un profil junior/confirmé qui est encore pleinement dans l’opérationnel et qui souhaite continuer à développer son spectre de compétences.

Ainsi je pense qu’il n’est pas judicieux que nous nous rencontrions pour échanger sur votre parcours.

Je vous souhaite tout de même un bon weekend,

En espérant que vous trouverez un challenge à hauteur de vos attentes,

Cordialement,

[Félix Santini] | Responsable Ressources Humaines

A 54 ans, je ne suis donc plus considéré comme quelqu’un qui « souhaite continuer à développer son spectre de compétences », et cela sans aucune discussion ni prise de contact téléphonique.

Je ne serai donc pas DSI d’une startup de La Poste…

Billet n.59

————–

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Extrait de https://salemoment.tumblr.com/

avec l’aimable autorisation de l’auteur Olivier Ka