Le téléphone sonne avec un nom… inhabituel :

– Bonjour monsieur le Directeur Général

– Bonjour Sophie [la jeune RSSI], bienvenue chez nous. Vous avez pris le poste nouvellement créé de RSSI. Nous vous attendons la semaine prochaine pour nous présenter votre plan de travail pour protéger notre entreprise.

– ?? Eh bien, comment dire ….

– Je dois vous laisser… Nous comptons sur vous, à la semaine prochaine !

Alors oui, on pourra reprocher le manque d’anticipation de Sophie à cet inévitable (et nécessaire !) exercice, mais concrètement… comment peut-on appréhender l’ensemble des missions du RSSI quand on prend tout juste ses fonctions ? Comment éviter de se faire prendre en défaut quand on avance en terrain méconnu… voire inconnu ? Et d’ailleurs, est-ce possible d’y échapper ?

Gardons-nous de généraliser et de vouloir mettre au même niveau les RSSI débutants au moment de faire ses premières armes. D’une part, chacun prend ses fonctions avec des formations, des expériences professionnelles…. et des opportunités différentes. D’autre part, le challenge de la prise de fonction sera très différent entre Mickaël, RSSI adjoint depuis 5 ans qui succède au titulaire et Sophie ancienne consultante sécurité bancaire qui rejoint une société industrielle sur une création de poste (et n’ayant jamais travaillé pour ce client, bien sûr). Mais par où commencer ?

Un véritable parcours d’intégration (ou du combattant ?) tu suivras !

La toute première étape sera d’embrasser son organisation, maîtriser son secteur d’activité. C’est donc un véritable tour d’horizon à 360° qu’il faudra réaliser, au sein de la DSI évidemment, mais surtout auprès des directions transverses et des métiers, sans oublier d’être sur le terrain en se rendant en usine ou en magasin. Rencontrer les opérationnels et appréhender les problématiques du quotidien pourra probablement constituer le socle de la future crédibilité du RSSI et l’aider à comprendre un existant afin de définir un état des lieux.

Ainsi, Sophie se gardera bien de vouloir faire une opération big bang sur les politiques de mots de passe utilisateurs… mais plutôt récupérera la liste des joyaux de la couronne à protéger le plus ardemment ; une logique de pilotage par les risques.

Des alliés, tu chercheras !

Comment faire pour asseoir sa connaissance fine de la maison, pour diffuser une culture de sécurité au juste niveau, pour choisir ses combats, pour préserver son énergie pour les bonnes causes ? Rester seul est la pire des options ! Sophie peut compter sur Gérard, qui a une connaissance de l’histoire des systèmes d’information de la maison ; il s’agit de le faire parler, de travailler à ses côtés, de boire ses paroles et de comprendre l’histoire des failles et travers. Il y a aussi les développeurs, les « devops », les chefs de projets, parmi lesquels Sophie trouvera de l’information sur leurs pratiques, leurs besoins, les nouveautés à sponsoriser pour les aider et à la fois leur permettre de produire des éléments du SI de bonne qualité et sécurisés. Enfin, le mentor, ou le sponsor : Sophie doit savoir gagner l’écoute de celui ou celle qui « poussera » les sujets de sécurité en CODIR/COMEX, qui pensera à la petite question de sécurité dans les dossiers stratégiques, qui mettra quelques k€ de budget en plus pour la sécurité, qui fera que la cybersécurité sera un enjeu pour l’entreprise. Aujourd’hui, le cliché du RSSI « mal-aimé », déjeunant seul à la cantine, doit être banni ; Sophie ne doit pas hésiter à communiquer, échanger avec tous les membres de l’entreprise, que ce soit un modeste employé ou un membre du comité directeur. Tout seul on va vite, à plusieurs on va loin !

Les réseaux professionnels, tu rejoindras !

A l’heure du copier/coller et de la gratuité de l’information, pourquoi vouloir réinventer la roue ? La valeur ajoutée d’un RSSI se situe dans sa capacité à adapter ces outils, ces méthodologies à son contexte. Alors pour commencer l’acquisition des outils et méthodologies, il pourra compter sur son expérience évidemment, mais il faudra rapidement compléter par des formations (ISO 27001 Lead Implementer, formation « RSSI », etc.) et se plonger dans différents ouvrages de référence (« Sécurité Opérationnelle », …) si ce n’est pas déjà fait.

Ensuite, le statut de RSSI permet d’ouvrir de nombreuses portes et d’accéder à des évènements (Les Assises de la Sécurité, le congrès du CESIN, le Forum International de la Cybersécurité (FIC), des petits déjeuners éditeurs …) et réseaux professionnels (CESIN, Espace RSSI du CLUSIF, GT CyberSécurité du CIGREF, GT CyberSécurité du CRIP…). En participant à des salons ou en rejoignant des réseaux professionnels, le jeune RSSI pourra rencontrer ses pairs et échanger des retours d’expérience, sur la base d’une confiance mutuelle. Des initiatives de mentorat sont mêmes présentes, comme au CESIN, où un RSSI débutant dans la fonction, se fait accompagner et conseiller par un RSSI plus expérimenté. Sophie a ainsi très simplement récupéré la charte informatique d’un confrère du secteur et gagné un temps précieux en ajustant par la suite le document à son contexte.

Courage, tout va bien se passer !

Il faut se le dire : le métier de RSSI n’est pas un métier reposant. De nouvelles vulnérabilités apparaissent tous les jours, les risques de l’entreprise évoluent tout le temps. Mais c’est un métier passionnant, où l’expérience y est récompensée.

Quand ils débutent dans la fonction, beaucoup de jeunes RSSI ont peur de paraitre incompétents quand on vient les solliciter sur des sujets qu’ils ne maitrisent pas. D’y perdre leur crédibilité dans l’entreprise. Ne mentez pas et osez dire à votre interlocuteur : « Je ne sais pas », car c’est normal de ne pas tout connaitre, même après 10 ans d’expérience. Ensuite, préciser lui bien « mais je reviens rapidement vers toi après que j’ai étudié ta question ». Votre crédibilité n’en sera que renforcée : vous êtes honnêtes avec votre collègue, tout en promettant de l’aider en répondant à ses questions. Les ingrédients d’une relation de confiance sont plantés. Et rassurez-vous : vous allez vous tromper un jour, c’est humain. Et pas qu’une fois. Mais le plus important, c’est de savoir rebondir. Prenez du recul et apprenez de vos erreurs : le principe de l’amélioration continue, que nous abordons tous avec la norme ISO 27001, appliqué sur soi-même.

Car la prise de recul est un des éléments essentiels du métier de RSSI et peut manquer cruellement quand on est plongé tous les jours dans la sécurité opérationnelle et les incidents du quotidien. Il est nécessaire de sortir la tête du guidon régulièrement pour ne pas se faire engloutir par les actions de tous les jours. Les évènements et réunions entre pairs peuvent y aider. Par exemple, toutes les vulnérabilités qui vous seront rapportées comme critiques par les médias ne sont pas toujours à considérer comme « très dangereuse ». Prenez le temps d’analyser, de vous renseigner et de prioriser en vous basant sur les risques de votre entreprise ; un système isolé et peu critique vulnérable n’est peut-être pas votre priorité.

Plus de la moitié du travail de RSSI consiste à communiquer vers le métier, la DSI, les utilisateurs ou encore la direction ; ne restez pas dans votre tour d’ivoire, descendez-y et prenez toute l’expérience que peut vous apporter vos collègues. Sachez écouter, ils vous en seront reconnaissants. Soyez humble.

Chronique rédigée par trois de nos jeunes membres : Damien Ressouches, Nadège Reynaud, Loïs Samain, initiateurs du Groupe de Travail « Jeunes RSSI » du CESIN.

Liens utiles :

• Fiche de poste RSSI (CIGREF – 2011)
• « Sécurité opérationnelle: Conseils pratiques pour sécuriser le SI » d’Alexandre Fernandez Toro
• Les Assises de la Sécurité
• Le Forum international de la cybersécurité