RSSI : stupide tentative de classification

Le premier axe de classification concerne la technique : il y a les RSSI techniques (pour la maîtrise d’œuvre, MŒ), et les RSSI fonctionnels (pour la maîtrise d’ouvrage, MOA). Les premiers ne sont pas à proprement parler des RSSI, mais plutôt des ingénieurs Sécurité, ce qui n’est absolument pas péjoratif. Dans le métier, la composante MOA ne peut pas suffire à elle seule : à un moment donné, il faut de l’expertise technique et de la compétence de terrain pour choisir et déployer des solutions de protection périmétrique, des antivirus, des sondes IDS (le jour où ça marchera), des moteurs IA d’analyse comportementale (le jour où cela existera), des solutions pour sécuriser le Cloud (le jour où le Cloud sera sécurisable, autant dire quand le Cloud Act aura été abrogé, autant dire jamais). Bref, la composante technique, opérationnelle, de terrain, est au moins aussi importante que la composante fonctionnelle (RSSI MOA) qui, quant à elle, s’occupe de fixer les orientations, d’exprimer les besoins, etc.

Le deuxième axe, qui ne devrait d’ailleurs pas en être un, est l’appétence de l’individu au regard de la culture Qualité. Il m’arrive de faire des interventions auprès d’un public exclusivement technique (ingénieurs en école dans la plupart des cas), et je ne résiste jamais au plaisir de commencer par les mots suivants : « Je suis RSSI et je n’en ai rien à faire des antivirus, je me fiche des pare-feu et me contrefiche du niveau des patches OS sur les PC des utilisateurs. » Effet garanti : alors que les auditeurs s’attendaient à un énième cours sur le bit n° 16 de poids fort sur la trame TCP/IP dans la RFC n° X, je leur explique pendant quelques heures que la technique ne sert à rien si l’on ne vérifie pas régulièrement la dérive, l’apparition de nouvelles menaces, si l’on ne révise pas l’ensemble des comptes à privilège, etc. Bref, la SSI, c’est de la qualité, et le reste n’est que quincaillerie. Le deuxième axe peut donc s’exprimer de la sorte : il y a ceux qui ont intégré que la démarche de type PDCA doit rythmer leur travail, et ceux qui ne l’ont pas encore compris.

Le troisième axe est certainement celui qui est, en tout cas selon ce que je peux en percevoir, le plus sujet à débat : la dimension « négociation ». Un seul exemple littéraire pour l’illustrer : dans Saint-Germain ou la Négociation [1], le héros – Henri de Malassise, un diplomate et négociateur professionnel – est envoyé par le roi pour négocier la paix qui mettra fin aux guerres de Religion. Lors de son entrevue avec le monarque, il lui demande de combien il peut reculer dans la position qu’on lui demande de tenir ? Le roi, outré, lui répond de ne lâcher aucun pouce de terrain. Henri de Malassise lui rétorque alors qu’il n’a pas besoin d’un négociateur, mais d’un militaire. Le roi finit alors par comprendre que, par principe, négocier, c’est renoncer à une partie de ce à quoi l’on prétend.

Sur certains sujets délicats, comme l’installation d’un progiciel réclamé par telle ou telle maîtrise d’ouvrage ou tel organisme public, il n’est pas rare de constater des manquements élémentaires aux bonnes pratiques SSI, voire à la réglementation elle-même. On observe alors deux types de RSSI : ceux qui s’en tiennent à la position initiale et refusent de bouger d’un pouce, arguant le « je vous l’aurai dit » si le projet se déroule tout de même sans leur aval, et ceux qui partent du principe que, si le projet doit se faire malgré tout parce que raison d’État, il vaudra toujours mieux sécuriser a minima, quitte à lâcher du lest sur les points importants, que de laisser le projet avoir lieu malgré eux et contre eux.

Compétences techniques, culture Qualité et capacité à la négociation, voilà certainement les trois axes à cultiver lorsque l’on prétend être RSSI, et que l’on entend le rester dans un environnement complexe et protéiforme.

[1] Saint-Germain ou la Négociation, Francis Walder, prix Goncourt 1958.