RSSI : 7 red flag qui doivent vous faire refuser un poste
Candidater à un poste de responsable de la sécurité des systèmes d’information (RSSI), c’est accepter un défi de taille : celui d'accomplir sa mission avec une pression constante, parfois faite de missions exorbitantes, de budgets limités, de manque de ressources humaines et de la peur de l'incident majeur. Sans compter que de nombreux RSSI font face à une mauvaise compréhension de leur fonction. La dernière étude du Club des experts de la sécurité de l'information (Cesin) sur le stress des RSSI, publiée en 2024, le démontre. Elle indique que 70% des RSSI se sentent anxieux et 73% ressentent un décalage trop important "entre leur capacité à faire et les attentes de leur organisation en matière de protection contre les attaques et gestion des risques". Même si 85% d'entre eux "vivent bien l'adrénaline du métier", il est important de l'accomplir dans des organisations qui le considèrent à sa juste valeur. Pour s'en assurer, ils doivent repérer certains signaux d'alerte qui ne trompent pas lors du processus de recrutement.
Une maturité cyber trop faible
"Lors d'un processus de recrutement, le plus gros red flag c'est une dette technique trop importante", affirme sans ambages François Ehly, membre du Cesin, RSSI et senior manager chez Almond. "Cette dette technique, c'est l'ensemble des vulnérabilités accumulées en raison des pratiques de gestion du système d'information, des métiers, etc. C'est de l'obsolescence de systèmes, avec des applications non renouvelées, des applications faites maison qu'on traîne comme des boulets."
Lors du recrutement, quand le RSSI s'aperçoit qu'il existe une telle dette, François Ehly lui conseille de creuser le problème "avec des questions lui permettant d'identifier son importance et ses causes. Il faut faire comme une sorte d'audit : il faut poser des questions sur le budget alloué à la sécurité, par exemple, et adopter une posture d'écoute pour relier les différents morceaux du problème. Si vous sentez que l'organisation n'a pas vraiment la volonté, considère cela comme un coût dont elle se passerait bien, alors c'est mission impossible : ça ne sert à rien de travailler pour elle."
Cependant, si l'entreprise démontre qu'elle est volontaire pour rattraper son retard en la matière, alors il peut être intéressant pour un profil junior de relever ce défi, tempère Olivier Daloy, RSSI chez Zscaler : "Pour un junior qui a au maximum cinq ans d'expérience, cela peut être passionnant ! C'est même souhaitable. Il va pouvoir tout remodeler à sa façon et beaucoup apprendre. Mais avec dix ans d'expérience, refaire ce qu'on sait déjà faire, ce n'est franchement pas intéressant."
Un mauvais rattachement hiérarchique
En règle générale, un RSSI est placé sous la direction du directeur des systèmes d'information (DSI). La fonction de RSSI est en effet née dans la DSI et dépend très souvent des budgets et ressources de celle-ci (outils, ressources humaines, etc.). Cependant, il arrive parfois qu'il soit proposé au RSSI d'être sous l'autorité d'un chief technology officer (CTO) responsable de l'infrastructure interne, ou d'un responsable des infrastructures, surtout dans des start-up et PME. Ceux-ci ont la charge du socle technique permettant au système d'information de fonctionner (serveurs, cloud, systèmes d'exploitation, etc). Olivier Daloy déconseille d'accepter une telle proposition.
"Quand un RSSI doit reporter non pas à la DSI mais à un CTO ou à un chef des infrastructures, cela veut dire qu'il n'est pas considéré comme responsable de la sécurité de l'information à part entière, mais comme un simple responsable de la sécurité informatique. Dans ce cas-là, la sécurité est considérée seulement de manière opérationnelle, sans enjeu business, sans notion de sécurité de l'information dans son ensemble. En bref, le périmètre est vraiment limité : le RSSI ne va rien faire en termes de politique de sécurité de l'information, de conformité, de charte d'utilisateur, etc. Il va juste configurer l'antivirus, l'endpoint detection and response, le firewall, etc." Cela peut toutefois être bénéfique pour le profil junior, "afin qu'il se fasse la main sur la partie très opérationnelle de la sécurité, sur la configuration des équipements et autres, et qu'il comprenne les tenants et les aboutissants de toute cette partie très technique".
A l'autre bout du spectre, il est aussi parfois proposé aux RSSI de rendre compte directement au PDG de l'entreprise. Hormis ceux qui le souhaitent "souvent pour une question d'ego", Olivier Daloy le déconseille fortement : "Je connais des RSSI qui rendaient des comptes directement au PDG et qui ont dû démissionner car il ne comprenait rien à leur fonction. Puis il n'est pas souvent joignable et peut lâcher le RSSI plus facilement. En plus, dans cette configuration, l'ensemble de la DSI peut déclarer la guerre au RSSI. Donc ça ne vaut vraiment pas le coup".
Un DSI sans vision
Quand il dépend du DSI, le RSSI doit s'assurer que celui-ci est "visionnaire, transformateur de l'organisation, partenaire des métiers. Dans ce cas-là, le DSI va l'influencer à être à la bonne hauteur en termes de niveau de protection de l'information", affirme Olivier Daloy. Si cela n'est pas le cas, alors le RSSI peut se retrouver dans une position dangereuse. "Si le DSI ne comprend pas les enjeux métiers de l'entreprise, alors le RSSI qui en dépend va être perçu comme celui qui déploie une sécurité qui bloque les métiers, les empêche de fonctionner. Les métiers de l'organisation se réfugieront alors dans le shadow IT pour échapper au pénible RSSI".
Une relation au comité exécutif inexistante
"Pour un RSSI, il est important d'avoir de la visibilité et la capacité d'aller voir le comité exécutif au cas où on lui met des bâtons dans les roues pour chaque projet. C'est pourquoi le RSSI doit se méfier s'il sent qu'il n'aura pas de lien avec comité exécutif. Car, dans ce cas-là, un DSI peu scrupuleux, comme il en existe parfois, peut s'arroger le droit d'occulter ses demandes, de s'attribuer les succès du RSSI, d'enfoncer le RSSI, etc.", observe Olivier Daloy. "Lors du processus de recrutement, un RSSI peut remarquer qu'il n'aura pas de relation avec le comité exécutif s'il ne rencontre que le responsable des ressources humaines et le DSI lors de ses entretiens", précise François Ehly. "Toutefois, il n'est pas anormal qu'un RSSI junior soit accompagné par le DSI pour aller parler au comité exécutif et au PDG", nuance Olivier Daloy.
Un budget trop limité
Autre sujet épineux pour les RSSI : le budget. Lors d'un processus de recrutement, le RSSI doit s'assurer que celui-ci est à la hauteur des objectifs que l'organisation attend de lui. "Toutefois, il faut savoir être raisonnable sur le budget, demander ce qui est nécessaire, et être capable d'accepter une certaine frustration, surtout dans une entreprise encore peu mature mais volontaire pour s'améliorer. Pour un junior, cela peut même être un défi de commencer avec un budget faible mais raisonnable. En revanche, si l'organisation se doit d'être mature de par son importance, et qu'elle promet un budget faible, alors c'est à fuir car la mission ne pourra pas être remplie correctement", prévient Olivier Daloy.
"Lors du recrutement, cela se voit assez rapidement quand l'organisation n'a pas la volonté d'attribuer un budget à la hauteur. Ça s'observe quand il est demandé au RSSI d'être un mouton à cinq pattes. Cela signifie que le budget ne sera pas à la hauteur pour lui allouer les besoins humains nécessaires et qu'il devra être, pêle-mêle, administrateur des solutions de sécurité, expert en gouvernance, spécialiste de la conformité de tous les standards possibles et que sais-je encore", précise François Ehly.
Une vitrine de conformité
Avec l'empilement des réglementations comme NIS 2 ou Dora, de nombreuses organisations doivent recruter des RSSI pour s'y conformer. Cependant, certaines d'entre elles ne veulent les recruter que pour s'y conformer en apparence et rassurer leurs clients. Elles attendent donc du RSSI d'être une simple vitrine de conformité.
"Cela arrive très fréquemment", prévient François Ehly. "Quand un RSSI sent, lors du recrutement, qu'il n'est qu'une case à cocher, il faut fuir. Je connais des RSSI qui sont dans ce cas-là, qui ne peuvent donc pas vraiment accomplir leur mission, et qui s'usent à force de répéter les mêmes choses : ils finissent en burn-out", observe Olivier Daloy. "En plus de cela, alors qu'il ne peut pas agir, un tel RSSI sera montré du doigt en cas d'incident et finira dépressif", ajoute François Ehly. "Pour s'assurer que l'organisation ne vous recrute pas seulement comme vitrine de conformité, il faut poser cette question aux recruteurs : qu'est-ce qui vous empêche de dormir la nuit ?", conseille Olivier Daloy. Si un silence suit, alors il conseille au RSSI de fuir.
Des formations impossibles
Enfin, comme la nature des incidents et les solutions de cybersécurité évoluent très rapidement, le RSSI doit s'assurer qu'il pourra bénéficier de formations et de possibilités d'échange avec ses pairs. Si le recruteur ne le permet pas, alors Olivier Daloy conseille de s'en éloigner : "Le métier de RSSI se transforme tellement rapidement que si l'entreprise ne lui laisse pas assez de temps pour actualiser ses connaissances, aller à des événements, être au contact de confrères pour actualiser sa connaissance des nouvelles menaces, alors c'est dangereux pour lui. Car pour assurer sa mission au mieux, il faut qu'il bénéficie d'un partage d'informations", conclut-il.