Un cadre de confiance
pour anticiper & décrypter les grands enjeux de la cybersécurité

Profil et position d’un RSSI (naissance de l’alssimiste)

Email this to someoneShare on LinkedInTweet about this on Twitter

Tribune de Benoît MOREAU, FSSI MENESR, Service spécialisé de défense et de sécurité

La question sur le profil et le positionnement du RSSI me revient régulièrement et à défaut de pouvoir changer la réponse déjà faite de nombreuses fois, il est toujours possible de s’amuser avec la forme de la réponse….

La SSI est une potion [poSSIon] (pas magique) réalisée avec des conditions de chaleur et de pression très différentes selon les contextes, chacune étant en plus variable dans le temps. PoSSIon à administrer à des patients ayant une tolérance médicamenteuse très variable. Il n’existe donc pas de recette unique permettant de réussir une poSSIon efficace à tous les coups, le succès repose sur les qualités du RSSI/alchimiste .. l’alSSImiste.

L’alSSImiste doit :

  • identifier les ingrédients, parfois à cultiver à partir de graines à peine existantes (tableau de bord, processus de sensibilisation, surveillance des flux … etc )
  • imaginer des recettes adaptées intégrant un savant dosage des ingrédients disponibles (deux mesures de sensibilisation, une pincée de rappel des responsabilités et trois graines de processus d’homologation).
  • définir un mode d’administration indolore, voir plaisant. Suppositoire ou bonbon sucré ?

L’alSSImiste est positionné :

  • au centre du village, observant et à l’écoute de tous, apportant des réponses adaptées à chacun et assurant la bonne santé de la communauté.
  • autour du village afin de faire pousser et collecter tous les ingrédients nécessaires.
  • hors du village, pour s’instruire des nouveaux composants, des menaces émergentes et des techniques innovantes.

En reformulant, l’alSSImiste doit :

  • jongler avec l’empathie, la compréhension des métiers, l’analyse de risque, les informations opérationnelles et les médias.
  • définir une stratégie ambitieuse mais raisonnable, qui s’applique à un écosystème très complexe mais en restant très lisible.
  • communiquer (c.a.d établir une compréhension mutuelle) avec les autorités, les opérationnels, les juristes et les utilisateurs (et certainement d’autres).
  • veiller à rester “à jour”…

l’alSSImiste est :

  • ni trop haut, ni trop bas. (assez haut pour être légitime, mais pas trop afin de garder une vision opérationnelle réaliste).
  • ni trop technique, ni pas assez (sa vision doit rester globale).
  • il a donc deux masters, un doctorat, 62 ans d’expérience, 7 bras et le don d’ubiquité.

En fait l’alSSImiste, comme la poSSIon, n’est pas “unique”, il varie dans le temps. L’équilibre entre ses multiples facettes se déplace selon l’évolution de la maturité. Certains commenceront par cultiver la gouvernance pour mettre en place une sécurité structurée, d’autres feront pousser les graines techniques pour consolider la base et utiliser les récoltes d’incidents pour semer la sensibilisation.

L’alSSImiste, on ne sait pas exactement ce que c’est ni où il doit être, mais on comprend qu’il cuisine les poSSIons et qu’il est important … alors si par le plus grand des hasards vous en avez un bon, gardez le !

Et donc la réponse sur le profil et le positionnement du RSSI … et bien il n’y en a pas (désolé si vous avez lu jusque là en imaginant trouver une réponse simple). Son profil est dépendant de son positionnement, et inversement.

Il est à faire pousser au cas par cas, en fonction du terrain local, en se reposant sur un pépiniériste compétent dans le domaine… un pépiSSIériste ? Mais cela est une autre histoire.

Email this to someoneShare on LinkedInTweet about this on Twitter