Il est d’un usage constant qu’en tout pays (de France au moins) et en tout temps, il soit toujours de bons enfants que l’on débine. On les appelle de noms d’oiseaux, de j’m’en foutistes, de rigolos, dans l’entreprise pour eux, pas de pot, ce sont les informaticiens et, en particulier, les RSSI.

Le propos pourrait paraître exagéré, mais la récente mésaventure d’une entreprise « du numérique » confirme cette introduction. Cette entreprise, que nous appellerons Zorglub par pudeur, a plus de 10 ans d’existence, un CA d’environ 250 millions et outre son implantation en France, elle est aussi présente dans une trentaine de pays étrangers.

Sa vie était un long fleuve tranquille qui charriait les dollars, jusqu’à ce que d’horribles pirates, russes bien évidemment, s’en prennent à cette charmante pépite (licorne avec des paillettes comme diraient mes petites-filles).

Source

Et là, subitement, le monde s’écroule, la terre s’arrête de tourner pour s’ouvrir sous les pieds des dirigeants effarés qui ne savent tout-à-coup plus que faire et commencent donc à pleurer toutes les larmes de leur corps.

Sûrement parce que la sensibilisation avait échoué, non ? Relisez donc mon billet sur l’échec de la sensibilisation. Et celui-ci, tant qu’à faire. À moins qu’il ne faille chercher ailleurs…

Dire que cette attaque arrive peu de temps après la panne des numéros d’urgence d’Orange où l’entreprise n’était pas responsable (en fait, si, un peu, beaucoup, passionnément, à la folie ?)

Et ce n’est pas comme s’il n’y avait pas eu d’attaques informatiques contre les hôpitaux pendant la crise du Covid (cf. mon billet)

Bref, qualité et numérique semble être le nouvel oxymore du moment.

Mais il y a plus, accrochez-vous donc au pinceau, car je vais subitement enlever l’échelle.

Après un premier communiqué de crise tenant la route, la belle entreprise Zorglub (qui n’est plus une PME installée dans le garage de son créateur) se rend compte que, finalement… il lui manque un RSSI.

Un quoi ?

(vous comprenez mieux le coup de l’échelle indiqué supra maintenant, je suppose)

Un RSSI, ou un responsable de la sottise des super idiots (dans ce cas présent, car ne pas avoir de RSSI quand on est une entreprise du numérique implantée à l’étranger, c’est irresponsable → préparez donc une corde pour pendre haut et court le patron au mât de misaine !).

Dans les faits, on laisse tomber le mât de misaine, et on active à fond le réseau pour trouver la perle rare disponible immédiatement : une bonne expériences des opérations, idéalement un ex ANSSI ou d’une division technique MinInt ou MinArm, un salaire à négocier directement avec le PDG (fourchette annoncée de 115 à 120k).

En plein mois d’août, parce que, c’est bien connu, c’est la période des mutations, personne n’est en vacances mais tout le monde est aux aguets des offres d’emploi.

C’est à ce moment que, toute personne normalement constituée dans le monde cyber, se demande : mais comment une telle carence dans une telle entreprise était-elle possible ?

Tout simplement parce que l’entreprise avait partagé le poste de RSSI entre plusieurs entités, selon le principe bien connu : ça coûte cher et ne rapporte rien, donc tant qu’on croise les doigts et qu’on passe à travers les gouttes, on économise un salaire non productif.

Ben oui, les bases de la saine économie prévoyante, car gouverner c’est prévoir (alerte 2° degré…).

À ce point de l’exposé, nous nous rendons compte que les entreprises de l’économie numérique présentent des caractéristiques similaires à celles de l’économie classique : toute fonction qui n’est pas incarnée n’est pas assurée. Zorglub l’illustre parfaitement : sans RSSI on ne tient pas longtemps face à une attaque informatique.

Exception : je suis une entreprise classée OIV (ou assimilée) et je peux faire appel à l’ANSSI. Ben oui, je les paye déjà avec mes impôts, ce n’est quand même pas pour payer un non productif en plus dans mon entreprise (alerte 2° degré encore…).

Par la suite, la proposition de salaire a baissé pour arriver à 112k car on « s’aligne sur le marché ».

N’oublions pas la cerise sur le kouign amann, à savoir que dans son plan d’expansion, l’entreprise a prévu de lancer une division, devinez quoi… cybersécurité ! Car, voyez-vous, j’ai appris que lancer une division cybersécurité sans s’occuper de la sienne propre n’était pas incohérent mais l’illustration d’une logique « orthogonale ». Reconnaissons que déclarer suivre une logique orthogonale vaut mieux que d’avouer qu’on a foiré sur toute la ligne…

Cela nous amène à une explication hétérodoxe du manque de sécurité informatique dans les entreprises. Ce n’est pas par faute de sensibilisation, mais tout simplement parce que, et Zorglub l’illustre parfaitement, la RSSI, les dirigeants s’en moquent. Pourquoi ? Pour une raison simple : il n’y a pas de sécurité parfaite et, si ça foire, c’est non seulement la faute pleine et entière du RSSI qui n’a pas fait de miracles, mais aussi celle de la justice qui ne trouve comme coupables que des Russes de langue chinoise réfugiés en Corée du Nord avec un passeport iranien. Vous voyez la galère pour les extrader et les juger, alors autant laisser tomber avant même d’essayer…

Dont tout président d’entreprise, a fortiori du numérique, qui ne fait rien pour la SSI de sa propre entreprise est assuré de… rester en place en arguant de la fatalité et de la faible entraide juridictionnelle internationale. Ouf ! Le boulet a failli passer tout près.

Par contre, le RSSI qui a laissé passer l’attaque est forcément mauvais. Et comme il n’est même pas capable d’expliquer simplement la complexité de l’attaque, c’est bien la preuve qu’il est vraiment nul, non ?

Mais, au fait, comment voulez-vous qu’il explique clairement quelque chose de complexe à une personne qui ne s’intéresse pas à ce qu’il fait et qui, de toutes façons, n’essaye pas d’y comprendre quelque chose ?

En passant, dans combien d’entreprises les informaticiens sont-ils estimés bons ? Pas exceptionnels, non, ce terme est réservé aux « stratèges », mais tout simplement bons ou connaissant leur métier ? Je n’en connais pas beaucoup.

Nous en venons donc au point principal de ce billet : si la SSI peine à recruter, ce n’est pas par manque de talent, non, c’est tout simplement que le boulot de RSSI ne fait pas rêver. Car, et en cela il y a fort à parier que Zorglub fera comme les autres entreprises, après une idylle initiale où le RSSI obtiendra tout ce qu’il demandera, viendra le temps où il sera estimé centre de coût et non de profit, les cordons de la bourse se serreront, il devra faire beaucoup avec peu, tout en prenant en compte les injonctions contradictoires de ses supérieurs hiérarchiques qui, non seulement n’y comprennent rien mais s’en foutent car la SSI ne fait tout simplement pas rentrer d’argent dans les caisses de l’entreprise.

En bref, la SSI après avoir connu une éphémère heure de gloire il y a quelques années est devenue un dirty job ou sale boulot (merci E Hughes) que les stratèges auto-proclamés du numérique délèguent à d’obscurs grouillots qu’ils estiment incapables de s’élever au-dessus de leur monde de geek.

Finissons-en : ce n’est donc pas la sensibilisation à la cybersécurité qui fait défaut, c’est l’implication des managers qui se voit notamment par la faible considération qu’ils portent aux artisans de la défense informatique de l’entreprise. Il n’y a donc pas un manque de talents dans la cybersécurité, mais simplement une réticence des praticiens à exercer leur passion dans un environnement dégradé du fait de la faible implication des managers dans ce sujet.

Nous sommes donc confronté à un problème de management, et non à un problème technique, de vocation, de talent, de formation ou de toute autre hyperbole satisfaisant l’ego de ceux qui déplorent ce manque.

Remédier à ce problème réglera bien des situations actuellement difficiles.

Source