Zythom http://www.blogger.com/profile/06041825031963205622 Site original : Zythom Des news tag:blogger.com,1999:blog-33889351.post-2905854633191615513 ./?Des-news Wed, 28 Aug 2019 15:46:00 +0200 Bonjour à tous les lecteurs, les anciens comme les nouveaux qui atterrissent ici en nombre (c'est rafraîchissant ;-). J'ai plusieurs articles dans les tuyaux mais les vacances ont été mouvementées et m'ont tenu LDC alors que j'avais prévu des trucs pour fêter les 13 ans de ce blog...

Une petite présentation rapide pour les nouveaux arrivants :

- Ce blog est pour moi un cahier extime sur lequel je partage mes expériences. C'est un plaisir d'écriture pour moi, mais aussi une expérience. J'explique tout cela dans la page "A propos" que je vous invite à lire.

- Le blog totalise aujourd'hui 1014 billets en ligne, malgré sa destruction par un voyou en 2012, et le nettoyage régulier que je peux faire. Le principe des blogs étant la présentation des billets par ordre antéchronologique, je vous propose de les lire au format livre que vous trouverez en téléchargement gratuit sur cette page. Les formats papiers sont destinés à mes proches, mais vous pouvez également les acquérir (sur la même page).

- Les 10 billets les plus lus à cette date sont les suivants:
- De tous les billets du blog, celui que je préfère est celui-ci : Yéléna. Je pleure de nouveau à chaque fois que je le relis... Je pense aussi parfois à Manon13 en espérant qu'elle mène une vie heureuse 10 ans après, malgré tout.

-  Ce blog ne m'a pas valu que des amis. La liberté de parole fournie par internet casse les codes habituels, et rend caduc l'intérêt des représentants et portes paroles officiels. Les petits peuvent s'exprimer directement, et je ne m'en suis pas privé. Cela a donné "l'Affaire Zythom".

- J'ai travaillé 25 ans dans la même entreprise. Avec passion et implication. Je raconte cette tranche de vie sous la forme d'une série de billets courts "à rebondissements" regroupés sous l'intitulé "25 ans dans une startup".

- En tant qu'expert informatique, je travaille surtout pour les magistrats (missions judiciaires) ou pour les avocats (missions privées), mais jamais par l'intermédiaire de ce blog. Une brève recherche sur internet vous donnera mon vrai nom si nécessaire. J'accepte par contre volontiers de dialoguer par email et de répondre à des questions, en fonction de mes capacités (voir les détails sur ma page "Contact"). Notez que je n'ai pas encore la discipline mentale pour appliquer les règles de Crocker, et que j'encourage un formalisme minimum (bonjour, merci, mots complets...). C'est lié à mon éducation, je suis un peu coincé.

- J'adore partager mes passions avec des personnes. Mais je suis un peu timide face aux inconnus, sauf en amphithéâtre devant mes étudiants (c'est assez curieux). Du coup, mes proches sont un peu assommés par mes histoires de serveurs, de réseaux, d'astronomie, d'optimisation de fonctions à très grand nombre de variables, de réseaux de neurones, d'IA, de calculs parallèles, de mots de passe, de NAS, de sauvegardes, d'IDS... Alors ils me soutiennent dans ma démarche d'écriture sur ce blog. Ça les laisse souffler un peu.

- J'aime beaucoup aussi lire les autres blogueurs. Je profite de votre arrivée en ces lieux pour vous inciter à aller aussi ailleurs :-) Voici ma liste de blogs préférés, je vous en souhaite une bonne lecture (attention, certains ont du contenu subversif non filtré ;-) :

Le meilleur de la Justice
•    de bric et de blog
•    Decryptages : droit, nouvelles technologies...
•    ITEANU Blog
•    Journal d'un avocat
•    Maître Mô

Les chapeaux blancs
•    binaire
•    Blog de Stéphane Bortzmeyer
•    Korben
•    Le Hollandais Volant
•    n0secure.org
•    SkullSecurity

Le 4e pouvoir
•    Authueil
•    Coulisses de Bruxelles
•    BUG BROTHER
•    La Plume d'Aliocha

Les soigneurs
•    Alors voilà.
•    Au Pays Des Vaches Mauves
•    Boules de Fourrure
•    Farfadoc
•    Journal de bord d'une jeune médecin généraliste de Seine-Saint-Denis
•    Juste après dresseuse d'ours
•    Le blog de MimiRyudo
•    Le blog de Stockholm
•    Les carnets du Docteur Lazarre

Cerveau gauche
•    Pourquoi Comment Combien
•    Science étonnante
•    Tu mourras moins bête

Cerveau droit
•    Déjà-vu
•    Globalement Inoffensif
•    Kozeries en dilettante

Blogs BD
•    .chez kek.
•    BlogLaurel
•    Bouletcorp
•    BugBlog
•    Creali
•    Debybloog
•    Fabriqué à mains nues
•    Fortuworld
•    Le blog de Jeromeuh
•    Le blog de Zelba
•    Les petits riens
•    MALIKI - Webcomic
•    Margaux Motin
•    Mélakarnets
•    Petit précis de Grumeautique
•    Trentenaire, marié, 2 enfants
•    YODABLOG

L'Empire des sens (NSFW)
•    Bellaminettes Blog
•    Oh Joy Sex Toy
•    Pingoo
•    The Rock Cocks

Amusez-vous bien !

Extrait de http://salemoment.tumblr.com/
avec l'aimable autorisation de l'auteur Olivier Ka


]]>
Bonjour à tous les lecteurs, les anciens comme les nouveaux qui atterrissent ici en nombre (c'est rafraîchissant ;-). J'ai plusieurs articles dans les tuyaux mais les vacances ont été mouvementées et m'ont tenu LDC alors que j'avais prévu des trucs pour fêter les 13 ans de ce blog...

Une petite présentation rapide pour les nouveaux arrivants :

- Ce blog est pour moi un cahier extime sur lequel je partage mes expériences. C'est un plaisir d'écriture pour moi, mais aussi une expérience. J'explique tout cela dans la page "A propos" que je vous invite à lire.

- Le blog totalise aujourd'hui 1014 billets en ligne, malgré sa destruction par un voyou en 2012, et le nettoyage régulier que je peux faire. Le principe des blogs étant la présentation des billets par ordre antéchronologique, je vous propose de les lire au format livre que vous trouverez en téléchargement gratuit sur cette page. Les formats papiers sont destinés à mes proches, mais vous pouvez également les acquérir (sur la même page).

- Les 10 billets les plus lus à cette date sont les suivants:
- De tous les billets du blog, celui que je préfère est celui-ci : Yéléna. Je pleure de nouveau à chaque fois que je le relis... Je pense aussi parfois à Manon13 en espérant qu'elle mène une vie heureuse 10 ans après, malgré tout.

-  Ce blog ne m'a pas valu que des amis. La liberté de parole fournie par internet casse les codes habituels, et rend caduc l'intérêt des représentants et portes paroles officiels. Les petits peuvent s'exprimer directement, et je ne m'en suis pas privé. Cela a donné "l'Affaire Zythom".

- J'ai travaillé 25 ans dans la même entreprise. Avec passion et implication. Je raconte cette tranche de vie sous la forme d'une série de billets courts "à rebondissements" regroupés sous l'intitulé "25 ans dans une startup".

- En tant qu'expert informatique, je travaille surtout pour les magistrats (missions judiciaires) ou pour les avocats (missions privées), mais jamais par l'intermédiaire de ce blog. Une brève recherche sur internet vous donnera mon vrai nom si nécessaire. J'accepte par contre volontiers de dialoguer par email et de répondre à des questions, en fonction de mes capacités (voir les détails sur ma page "Contact"). Notez que je n'ai pas encore la discipline mentale pour appliquer les règles de Crocker, et que j'encourage un formalisme minimum (bonjour, merci, mots complets...). C'est lié à mon éducation, je suis un peu coincé.

- J'adore partager mes passions avec des personnes. Mais je suis un peu timide face aux inconnus, sauf en amphithéâtre devant mes étudiants (c'est assez curieux). Du coup, mes proches sont un peu assommés par mes histoires de serveurs, de réseaux, d'astronomie, d'optimisation de fonctions à très grand nombre de variables, de réseaux de neurones, d'IA, de calculs parallèles, de mots de passe, de NAS, de sauvegardes, d'IDS... Alors ils me soutiennent dans ma démarche d'écriture sur ce blog. Ça les laisse souffler un peu.

- J'aime beaucoup aussi lire les autres blogueurs. Je profite de votre arrivée en ces lieux pour vous inciter à aller aussi ailleurs :-) Voici ma liste de blogs préférés, je vous en souhaite une bonne lecture (attention, certains ont du contenu subversif non filtré ;-) :

Le meilleur de la Justice
•    de bric et de blog
•    Decryptages : droit, nouvelles technologies...
•    ITEANU Blog
•    Journal d'un avocat
•    Maître Mô

Les chapeaux blancs
•    binaire
•    Blog de Stéphane Bortzmeyer
•    Korben
•    Le Hollandais Volant
•    n0secure.org
•    SkullSecurity

Le 4e pouvoir
•    Authueil
•    Coulisses de Bruxelles
•    BUG BROTHER
•    La Plume d'Aliocha

Les soigneurs
•    Alors voilà.
•    Au Pays Des Vaches Mauves
•    Boules de Fourrure
•    Farfadoc
•    Journal de bord d'une jeune médecin généraliste de Seine-Saint-Denis
•    Juste après dresseuse d'ours
•    Le blog de MimiRyudo
•    Le blog de Stockholm
•    Les carnets du Docteur Lazarre

Cerveau gauche
•    Pourquoi Comment Combien
•    Science étonnante
•    Tu mourras moins bête

Cerveau droit
•    Déjà-vu
•    Globalement Inoffensif
•    Kozeries en dilettante

Blogs BD
•    .chez kek.
•    BlogLaurel
•    Bouletcorp
•    BugBlog
•    Creali
•    Debybloog
•    Fabriqué à mains nues
•    Fortuworld
•    Le blog de Jeromeuh
•    Le blog de Zelba
•    Les petits riens
•    MALIKI - Webcomic
•    Margaux Motin
•    Mélakarnets
•    Petit précis de Grumeautique
•    Trentenaire, marié, 2 enfants
•    YODABLOG

L'Empire des sens (NSFW)
•    Bellaminettes Blog
•    Oh Joy Sex Toy
•    Pingoo
•    The Rock Cocks

Amusez-vous bien !

Extrait de http://salemoment.tumblr.com/
avec l'aimable autorisation de l'auteur Olivier Ka


]]>
Comment survivre à ses utilisateurs ? tag:blogger.com,1999:blog-33889351.post-5407882664188541552 ./?Comment-survivre-à-ses-utilisateurs Mon, 17 Jun 2019 18:47:00 +0200
Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l'interface entre la chaise et le clavier. C'est drôle, et cela rappelle que l'être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c'est quand la blague est prise au premier degré dans un service informatique : l'ennemi, c'est l'utilisateur ! C'est un peu facilement oublier que dans "service informatique", il y a le mot "service". Donc, au lieu d'essayer de faire culpabiliser l'utilisateur, je trouve qu'il est plus sain d'essayer de le former, ou au moins de l'informer, en plus de le protéger.

L'informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L'ensemble est orchestré par des logiciels comprenant des millions d'instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l'expérience sont indispensables au bon fonctionnement de ce que l'on appelle l'informatique.

Et au sommet se trouve l'utilisateur.
Et parfois il fait n'importe quoi...

Plutôt que "Comment survivre à une cyberattaque ?", les articles de presse devraient s'intituler : "Comment survivre à ses utilisateurs ?". C'est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique "Sécurité informatique, ne pas en avoir peur". Petit tour d'horizon :

Les liens piégés :
L'utilisateur de l'outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C'est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d'URL masquent les vraies URL, des caractères très semblables (issus d'une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d'hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l'utilisateur "ne cliquez pas sur les liens bizarres", alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas "l'utilisateur a cliqué sur un lien piégé". Cela fera l'objet d'un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :
Le RSSI est attendu au tournant : à la première attaque réussie, tous les regards se tournent vers lui. "ALORS ? Mmmmm... tout ça pour ça ?". Le Conseil d'Administration met la pression sur le Directeur Général, le DG se tourne vers son Directeur des données qui appelle son DSI, lequel convoque le RSSI... Dans une politique de sécurité du système d'information, on appelle cela la chaine de responsabilité. En cas d'attaque réussie (entreprise arrêtée, données dans la nature...) la pression est énorme. Je pense que le succès de la série Chernobyl tient aussi du fait que beaucoup de personnes se reconnaissent dans l'opérateur qui reçoit des ordres qu'il ressent comme aberrant, jusqu'à appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite ("je ne peux pas être considéré comme responsable, je dormais à ce moment-là"). Pourtant tout le monde connaît la loi de Murphy : "Tout ce qui est susceptible d'aller mal, ira mal". Une attaque informatique réussie arrivera. Les équipes informatiques doivent s'y préparer, et LA HIÉRARCHIE AUSSI. C'est, de mon point de vue, aussi l'objet d'une PSSI. J'y reviendrai dans un billet dédié (teasing :).

Le lien de confiance :
Combien de fois ai-je pu constater que l'utilisateur n'appelle son service informatique qu'en dernier recours... quand il est vraiment VRAIMENT obligé. C'est un problème. D'un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa "valeur ajoutée" prend tout son sens (cas graves, pannes majeures, etc.). De l'autre, l'utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que "Skype souhaite se mettre à jour", "la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE". Alors, il a parfois envie de hurler "MAIS POURQUOI CA CHANGE TOUT LE TEMPS ?". Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l'utilisateur et son service informatique. C'est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d'utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N'IMPORTE QUOI ! L'utilisateur doit avoir confiance en son service informatique, qui n'est pas là pour le piéger, mais pour l'aider.

Les mots de passe :
Souvent seule protection à l'accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l'utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : "Ah, vous allez me demander de changer mon mot de passe ?". 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D'EN CHANGER TOUT LE TEMPS... Il faut arrêter un peu avec ça : plus on demande à l'utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d'une politique de sécurité. Celle que je préconise fera l'objet d'un billet dédié, lui aussi destiné à l'utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu'on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu'ils ne le feront pas, ou mal, ou pas assez... C'est le boulot du service informatique de faire les sauvegardes des données dans les règles de l'art. Ce n'est pas un savoir faire de l'utilisateur. Le pire en la matière étant de dire aux utilisateurs : "nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau". Ah oui ? Mais beaucoup d'utilisateurs ont des ordinateurs portables. Qu'on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l'utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises...) ou aux particuliers.

Vous l'avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d'un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C'est cette difficulté qui fait la beauté de ce métier.

]]>
Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l'interface entre la chaise et le clavier. C'est drôle, et cela rappelle que l'être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c'est quand la blague est prise au premier degré dans un service informatique : l'ennemi, c'est l'utilisateur ! C'est un peu facilement oublier que dans "service informatique", il y a le mot "service". Donc, au lieu d'essayer de faire culpabiliser l'utilisateur, je trouve qu'il est plus sain d'essayer de le former, ou au moins de l'informer, en plus de le protéger.

L'informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L'ensemble est orchestré par des logiciels comprenant des millions d'instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l'expérience sont indispensables au bon fonctionnement de ce que l'on appelle l'informatique.

Et au sommet se trouve l'utilisateur.
Et parfois il fait n'importe quoi...

Plutôt que "Comment survivre à une cyberattaque ?", les articles de presse devraient s'intituler : "Comment survivre à ses utilisateurs ?". C'est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique "Sécurité informatique, ne pas en avoir peur". Petit tour d'horizon :

Les liens piégés :
L'utilisateur de l'outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C'est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d'URL masquent les vraies URL, des caractères très semblables (issus d'une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d'hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l'utilisateur "ne cliquez pas sur les liens bizarres", alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas "l'utilisateur a cliqué sur un lien piégé". Cela fera l'objet d'un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :
Le RSSI est attendu au tournant : à la première attaque réussie, tous les regards se tournent vers lui. "ALORS ? Mmmmm... tout ça pour ça ?". Le Conseil d'Administration met la pression sur le Directeur Général, le DG se tourne vers son Directeur des données qui appelle son DSI, lequel convoque le RSSI... Dans une politique de sécurité du système d'information, on appelle cela la chaine de responsabilité. En cas d'attaque réussie (entreprise arrêtée, données dans la nature...) la pression est énorme. Je pense que le succès de la série Chernobyl tient aussi du fait que beaucoup de personnes se reconnaissent dans l'opérateur qui reçoit des ordres qu'il ressent comme aberrant, jusqu'à appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite ("je ne peux pas être considéré comme responsable, je dormais à ce moment-là"). Pourtant tout le monde connaît la loi de Murphy : "Tout ce qui est susceptible d'aller mal, ira mal". Une attaque informatique réussie arrivera. Les équipes informatiques doivent s'y préparer, et LA HIÉRARCHIE AUSSI. C'est, de mon point de vue, aussi l'objet d'une PSSI. J'y reviendrai dans un billet dédié (teasing :).

Le lien de confiance :
Combien de fois ai-je pu constater que l'utilisateur n'appelle son service informatique qu'en dernier recours... quand il est vraiment VRAIMENT obligé. C'est un problème. D'un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa "valeur ajoutée" prend tout son sens (cas graves, pannes majeures, etc.). De l'autre, l'utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que "Skype souhaite se mettre à jour", "la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE". Alors, il a parfois envie de hurler "MAIS POURQUOI CA CHANGE TOUT LE TEMPS ?". Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l'utilisateur et son service informatique. C'est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d'utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N'IMPORTE QUOI ! L'utilisateur doit avoir confiance en son service informatique, qui n'est pas là pour le piéger, mais pour l'aider.

Les mots de passe :
Souvent seule protection à l'accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l'utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : "Ah, vous allez me demander de changer mon mot de passe ?". 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D'EN CHANGER TOUT LE TEMPS... Il faut arrêter un peu avec ça : plus on demande à l'utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d'une politique de sécurité. Celle que je préconise fera l'objet d'un billet dédié, lui aussi destiné à l'utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu'on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu'ils ne le feront pas, ou mal, ou pas assez... C'est le boulot du service informatique de faire les sauvegardes des données dans les règles de l'art. Ce n'est pas un savoir faire de l'utilisateur. Le pire en la matière étant de dire aux utilisateurs : "nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau". Ah oui ? Mais beaucoup d'utilisateurs ont des ordinateurs portables. Qu'on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l'utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises...) ou aux particuliers.

Vous l'avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d'un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C'est cette difficulté qui fait la beauté de ce métier.

]]>
Le junior aux cheveux blancs tag:blogger.com,1999:blog-33889351.post-8456648062512891270 ./?Le-junior-aux-cheveux-blancs Wed, 01 May 2019 18:42:00 +0200 C'est une sensation étrange que de repartir de zéro. Je suis pourtant sûr que beaucoup de monde a vécu cette expérience. Un magistrat qui devient vigneron, un commercial dans un grand groupe qui devient chocolatier, ou un salarié qui devient entrepreneur, savent de quoi je parle : ce sentiment de repartir de rien, d'essayer de construire quelque chose sur de nouvelles compétences à acquérir, en faisant le deuil de compétences qui ne servent plus.

Moi, c'est plus simple : de Directeur des Systèmes d'Information (DSI), je suis devenu Responsable de la Sécurité du Système d'Information (RSSI). Ça sonne presque pareil, et puis c'est toujours dans l'informatique.

C'est vrai. Mais ces deux fonctions n'ont presque rien à voir entre elles. Le DSI que j'étais, décidait des orientations des évolutions du système d'information de mon entreprise (le schéma directeur), puis négociait le budget associé, puis mettait en musique les décisions qui en découlaient (les mains dans le cambouis). Et nous faisions des miracles.

Le RSSI a une toute autre fonction, plus spécialisée bien sûr, mais qui demande d'autres compétences. La sécurité informatique est une jeune science où le RSSI est en posture de défense, face aux attaquants de tous poils. Et pour cela, il faut de solides connaissances techniques, sur lesquelles il faut construire de solides connaissances méthodologiques (et l'inverse !).

Quand on vient de sortir d'une école où l'on a appris toutes ces connaissances, c'est "facile" : il ne manque que l'expérience. Cette expérience pourra, par exemple, s'acquérir dans une société de service dédiée à la sécurité, ou à l'ANSSI avec un CDD de trois ans très bien vu sur un CV (petit salaire mais grosse notoriété). Quand on a 55 ans et que sa formation initiale date de plus de 30 ans, c'est une autre paire de manche : l'expérience est là, mais les connaissances techniques et surtout méthodologiques, peuvent laisser à désirer, ou dater quelque peu.

J'ai la chance d'avoir été bien accueilli par une équipe d'ingénieurs qui, passé le moment gênant où ils se demandaient ce qu'allait bien pouvoir leur apporter ce (presque)grand-père, a accepté de m'initier à leur système d'information bien plus complexe que celui que j'avais mis en place dans ma vie professionnelle antérieure.
Et surtout, j'ai bien prévenu que je ne deviendrai jamais aussi bon qu'eux dans leur domaine d'expertise respectif. Ce n'est ni mon objectif, ni ma fonction.

Beaucoup d'entreprises n'ont pas de RSSI et gèrent pourtant malgré tout la sécurité informatique : un administrateur réseau, un développeur logiciel ou un responsable informatique sont des professionnels qui doivent savoir intégrer la sécurité dans leurs activités (et qui connaissent son importance... et ses limites).

Finalement, on peut comparer tout cela à un groupe de musiciens qui composent, s'exercent, se corrigent, s'entrainent et enfin se produisent en public, sur des petites scènes, puis sur des grandes scènes. Ils n'ont pas besoin d'un chef d'orchestre pour leur donner le rythme, l'un d'entre eux s'y colle en général (par exemple le batteur).

Les problèmes peuvent apparaître quand le nombre de musiciens augmente. Dans un grand orchestre, il faut une personne qui donne le rythme. Cette personne n'est pas nécessairement un virtuose d'un instrument (même si elle peut l'être), et surtout, elle ne peut pas remplacer chacun des membres de l'orchestre.

Le RSSI peut être ce chef d'orchestre en matière de sécurité : il coordonne les moyens, les techniques, les méthodes, les procédures, etc. qui permettent d'améliorer la sécurité. Il n'est pas nécessairement expert d'un domaine pointu (pentesteur, admin réseau...) même s'il peut l'être. Mais surtout, il ne peut pas à lui tout seul gérer la sécurité informatique de toute l'entreprise, ni se substituer à tous les professionnels sur lesquels cette sécurité repose. Ma hantise du moment est qu'un certain nombre de personnes de l'entreprise se disent "ah maintenant je ne crains plus rien concernant les attaques informatiques, puisque le RSSI est là !".

De même que l'harmonie musicale d'un orchestre est l'affaire de tous les musiciens, du chef d'orchestre, de la qualité des instruments, de la salle, de l'historique du groupe, la sécurité est l'affaire de tous : l'équipe réseaux, l'équipe de développement, l'équipe support, le RSSI, les moyens financiers et tous les utilisateurs qui manipulent des logiciels et des données.

Pour l'instant, dans mon reboot professionnel, mes seules armes sont ma volonté de mettre le feu à mes neurones, et mes 20 années d'expertises judiciaires où j'ai pu constater in situ beaucoup d'erreurs à ne pas faire, et où j'ai pu étudier les chapeaux noirs pour essayer d'être un chapeau blanc.

Il me faut accepter d'être un junior aux cheveux blancs.
Ad augusta per angusta (Victor Hugo, Hernani, mot de passe des conjurés)

It's the hat

]]>
C'est une sensation étrange que de repartir de zéro. Je suis pourtant sûr que beaucoup de monde a vécu cette expérience. Un magistrat qui devient vigneron, un commercial dans un grand groupe qui devient chocolatier, ou un salarié qui devient entrepreneur, savent de quoi je parle : ce sentiment de repartir de rien, d'essayer de construire quelque chose sur de nouvelles compétences à acquérir, en faisant le deuil de compétences qui ne servent plus.

Moi, c'est plus simple : de Directeur des Systèmes d'Information (DSI), je suis devenu Responsable de la Sécurité du Système d'Information (RSSI). Ça sonne presque pareil, et puis c'est toujours dans l'informatique.

C'est vrai. Mais ces deux fonctions n'ont presque rien à voir entre elles. Le DSI que j'étais, décidait des orientations des évolutions du système d'information de mon entreprise (le schéma directeur), puis négociait le budget associé, puis mettait en musique les décisions qui en découlaient (les mains dans le cambouis). Et nous faisions des miracles.

Le RSSI a une toute autre fonction, plus spécialisée bien sûr, mais qui demande d'autres compétences. La sécurité informatique est une jeune science où le RSSI est en posture de défense, face aux attaquants de tous poils. Et pour cela, il faut de solides connaissances techniques, sur lesquelles il faut construire de solides connaissances méthodologiques (et l'inverse !).

Quand on vient de sortir d'une école où l'on a appris toutes ces connaissances, c'est "facile" : il ne manque que l'expérience. Cette expérience pourra, par exemple, s'acquérir dans une société de service dédiée à la sécurité, ou à l'ANSSI avec un CDD de trois ans très bien vu sur un CV (petit salaire mais grosse notoriété). Quand on a 55 ans et que sa formation initiale date de plus de 30 ans, c'est une autre paire de manche : l'expérience est là, mais les connaissances techniques et surtout méthodologiques, peuvent laisser à désirer, ou dater quelque peu.

J'ai la chance d'avoir été bien accueilli par une équipe d'ingénieurs qui, passé le moment gênant où ils se demandaient ce qu'allait bien pouvoir leur apporter ce (presque)grand-père, a accepté de m'initier à leur système d'information bien plus complexe que celui que j'avais mis en place dans ma vie professionnelle antérieure.
Et surtout, j'ai bien prévenu que je ne deviendrai jamais aussi bon qu'eux dans leur domaine d'expertise respectif. Ce n'est ni mon objectif, ni ma fonction.

Beaucoup d'entreprises n'ont pas de RSSI et gèrent pourtant malgré tout la sécurité informatique : un administrateur réseau, un développeur logiciel ou un responsable informatique sont des professionnels qui doivent savoir intégrer la sécurité dans leurs activités (et qui connaissent son importance... et ses limites).

Finalement, on peut comparer tout cela à un groupe de musiciens qui composent, s'exercent, se corrigent, s'entrainent et enfin se produisent en public, sur des petites scènes, puis sur des grandes scènes. Ils n'ont pas besoin d'un chef d'orchestre pour leur donner le rythme, l'un d'entre eux s'y colle en général (par exemple le batteur).

Les problèmes peuvent apparaître quand le nombre de musiciens augmente. Dans un grand orchestre, il faut une personne qui donne le rythme. Cette personne n'est pas nécessairement un virtuose d'un instrument (même si elle peut l'être), et surtout, elle ne peut pas remplacer chacun des membres de l'orchestre.

Le RSSI peut être ce chef d'orchestre en matière de sécurité : il coordonne les moyens, les techniques, les méthodes, les procédures, etc. qui permettent d'améliorer la sécurité. Il n'est pas nécessairement expert d'un domaine pointu (pentesteur, admin réseau...) même s'il peut l'être. Mais surtout, il ne peut pas à lui tout seul gérer la sécurité informatique de toute l'entreprise, ni se substituer à tous les professionnels sur lesquels cette sécurité repose. Ma hantise du moment est qu'un certain nombre de personnes de l'entreprise se disent "ah maintenant je ne crains plus rien concernant les attaques informatiques, puisque le RSSI est là !".

De même que l'harmonie musicale d'un orchestre est l'affaire de tous les musiciens, du chef d'orchestre, de la qualité des instruments, de la salle, de l'historique du groupe, la sécurité est l'affaire de tous : l'équipe réseaux, l'équipe de développement, l'équipe support, le RSSI, les moyens financiers et tous les utilisateurs qui manipulent des logiciels et des données.

Pour l'instant, dans mon reboot professionnel, mes seules armes sont ma volonté de mettre le feu à mes neurones, et mes 20 années d'expertises judiciaires où j'ai pu constater in situ beaucoup d'erreurs à ne pas faire, et où j'ai pu étudier les chapeaux noirs pour essayer d'être un chapeau blanc.

Il me faut accepter d'être un junior aux cheveux blancs.
Ad augusta per angusta (Victor Hugo, Hernani, mot de passe des conjurés)

It's the hat

]]>
25 ans dans une startup - épilogue tag:blogger.com,1999:blog-33889351.post-3899966031385702868 ./?25-ans-dans-une-startup-épilogue Mon, 18 Mar 2019 05:00:00 +0100 Introduction - billet n.62

Quand j'ai écrit l'introduction de cette série de billets, en juin 2018, je n'avais pas encore trouvé d'emploi, et je ne savais pas comment la série allait se terminer. J'avais besoin d'écrire sur tout ce que j'avais ressenti pendant cette période pour évacuer tout ce mal être qui menaçait de m'envahir.

J'avais à l'époque deux chemins possibles : soit je trouvais un nouveau travail passionnant, soit je ne trouvais pas de nouvel emploi et il me fallait transformer celui que j'occupais en travail passionnant.

Après tout, j'ai parfaitement conscience que le différent stratégique que j'ai eu avec mon directeur général est assez banal, même si je l'ai mal vécu, et que j'aurais pu/dû le surmonter.

Lorsque j'ai donné ma démission, j'ai tenu à ce que les raisons de mon départ ne soient connues que par la DRH et le directeur général. Pendant sa période de préavis, le salarié conserve un devoir de loyauté envers son employeur. Je ne voulais pas semer la zizanie dans la startup, en étalant un différend stratégique qui pouvait décrédibiliser la direction, je n'ai donc parlé à personne des raisons exactes de mon départ, expliquant qu'une proposition d'emploi que je ne pouvais pas refuser m'avait été faite dans une belle entreprise (ce qui n'est pas complètement faux).

C'est aussi la raison de l'arrêt de la publication des billets en octobre 2018 et du mystérieux billet n°37.5 qui se terminait par ces mots :
2019 sera pour moi une année de grands changements. Le blog va également changer d'orientation. J'en parlerai dans l'épilogue de la série des "25 ans dans une startup". Merci pour votre patience.
J'ai effectué ma période de préavis de trois mois, en terminant le plus proprement possible tous les projets que j'avais engagés, en formant du mieux que je pouvais, comme je l'ai toujours fait, mon nouveau chef de projets. J'ai également eu la chance de pouvoir côtoyer ma successeure pendant deux mois et lui transmettre le plus d'informations possibles, y compris tout le savoir informel accumulé pendant 25 ans. J'ai pu la présenter aux réseaux professionnels d'échanges de bonnes pratiques auxquels j'ai participé et que j'ai pu apprécier pendant tant d'années.

Le plus difficile pendant cette période de préavis a été de ne pas pouvoir démarrer les projets importants de transformation numérique que j'avais détaillés dans le schéma directeur présenté au personnel de la startup, faute de pouvoir en assumer le bon déroulement et les difficultés. Les derniers jours ont également été très éprouvants, car je quittais certaines personnes que j'avais beaucoup appréciées (et sans pouvoir leur dire pourquoi j'abandonnais le navire).

Et au mois de janvier 2019, j'ai donc démarré un nouveau métier, en prenant un poste de RSSI dans une grande école de commerce qui m'a fait confiance. Le défi est important, car non seulement je change de métier, mais aussi d'entreprise, de collègues, de région, de mode de vie... Jusqu'ici tout va bien, et l'avenir dira si j'ai bien fait ou si je me suis lamentablement vautré... L'année 2019 sera pour moi, de toutes manières, une année de grands changements. Je vais commencer par essayer de finir correctement ma période d'essai...

En écrivant cette histoire, je ne pensais pas qu'elle aurait autant de succès parmi les lecteurs de ce blog. J'en ai été surpris. Il s'agissait surtout pour moi d'un travail d’autothérapie par l'écriture, mais je ne vais pas me plaindre, et j'espère que quelques-uns d'entre vous, surtout parmi les plus jeunes, pourront en tirer des leçons profitables. Merci aussi pour tous vos emails de soutien, les échanges et les interactions.

Le blog va changer d'orientation. La thématique va changer : je voudrais partager avec vous ma découverte du monde de la sécurité informatique. C'est un monde où la discrétion est reine, où les échanges sont plutôt souterrains et où la technique est très importante. C'est drôle, c'est exactement comme l'univers des experts judiciaires...

Justement, à propos des expertises judiciaires, du fait des difficultés que je rencontrais dans la startup, j'ai énormément diminué mon activité expertale, en renvoyant toutes les demandes vers des experts compétents et disponibles. Je vais attendre de voir un peu comment se passe cette année 2019, mais sans doute m'acheminé-je doucement vers une fin d'activité et un non-renouvellement de mon inscription sur la liste des experts judiciaires. Quand j'ai commencé en 1999, j'avais 35 ans et je ne comprenais pas comment le suivant en âge de la liste pouvait avoir 20 ans de plus que moi dans un domaine aussi technique et changeant que celui de l'informatique. J'ai aujourd'hui cet âge-là et, même si je me sens encore dynamique, je pense qu'il faut savoir laisser la place et ne pas finir par porter ce titre d'expert judiciaire uniquement pour la carte de visite. On verra bien. Je me donne un an pour prendre une décision.

Concernant le télétravail, c'est un sujet dont je parlerai dans un billet dédié, tant j'ai été surpris par la difficulté que l'auto-discipline demande. Heureusement, j'ai été bien conseillé et je ne m'en sors pas trop mal.

La téléfamille, c'est plus difficile. Là aussi j'en parlerai dans un billet dédié.

Merci à tous ceux et à toutes celles qui m'ont lu jusqu'ici.
Je transmets également mon bonjour aux anciens collègues qui me lisent ici (j'ai les noms ;-)

A bientôt pour de nouvelles aventures.

Tweet du 5 janvier 2019. Maintenant vous faites partie de ceux qui savent ;-)

]]>
Introduction - billet n.62

Quand j'ai écrit l'introduction de cette série de billets, en juin 2018, je n'avais pas encore trouvé d'emploi, et je ne savais pas comment la série allait se terminer. J'avais besoin d'écrire sur tout ce que j'avais ressenti pendant cette période pour évacuer tout ce mal être qui menaçait de m'envahir.

J'avais à l'époque deux chemins possibles : soit je trouvais un nouveau travail passionnant, soit je ne trouvais pas de nouvel emploi et il me fallait transformer celui que j'occupais en travail passionnant.

Après tout, j'ai parfaitement conscience que le différent stratégique que j'ai eu avec mon directeur général est assez banal, même si je l'ai mal vécu, et que j'aurais pu/dû le surmonter.

Lorsque j'ai donné ma démission, j'ai tenu à ce que les raisons de mon départ ne soient connues que par la DRH et le directeur général. Pendant sa période de préavis, le salarié conserve un devoir de loyauté envers son employeur. Je ne voulais pas semer la zizanie dans la startup, en étalant un différend stratégique qui pouvait décrédibiliser la direction, je n'ai donc parlé à personne des raisons exactes de mon départ, expliquant qu'une proposition d'emploi que je ne pouvais pas refuser m'avait été faite dans une belle entreprise (ce qui n'est pas complètement faux).

C'est aussi la raison de l'arrêt de la publication des billets en octobre 2018 et du mystérieux billet n°37.5 qui se terminait par ces mots :
2019 sera pour moi une année de grands changements. Le blog va également changer d'orientation. J'en parlerai dans l'épilogue de la série des "25 ans dans une startup". Merci pour votre patience.
J'ai effectué ma période de préavis de trois mois, en terminant le plus proprement possible tous les projets que j'avais engagés, en formant du mieux que je pouvais, comme je l'ai toujours fait, mon nouveau chef de projets. J'ai également eu la chance de pouvoir côtoyer ma successeure pendant deux mois et lui transmettre le plus d'informations possibles, y compris tout le savoir informel accumulé pendant 25 ans. J'ai pu la présenter aux réseaux professionnels d'échanges de bonnes pratiques auxquels j'ai participé et que j'ai pu apprécier pendant tant d'années.

Le plus difficile pendant cette période de préavis a été de ne pas pouvoir démarrer les projets importants de transformation numérique que j'avais détaillés dans le schéma directeur présenté au personnel de la startup, faute de pouvoir en assumer le bon déroulement et les difficultés. Les derniers jours ont également été très éprouvants, car je quittais certaines personnes que j'avais beaucoup appréciées (et sans pouvoir leur dire pourquoi j'abandonnais le navire).

Et au mois de janvier 2019, j'ai donc démarré un nouveau métier, en prenant un poste de RSSI dans une grande école de commerce qui m'a fait confiance. Le défi est important, car non seulement je change de métier, mais aussi d'entreprise, de collègues, de région, de mode de vie... Jusqu'ici tout va bien, et l'avenir dira si j'ai bien fait ou si je me suis lamentablement vautré... L'année 2019 sera pour moi, de toutes manières, une année de grands changements. Je vais commencer par essayer de finir correctement ma période d'essai...

En écrivant cette histoire, je ne pensais pas qu'elle aurait autant de succès parmi les lecteurs de ce blog. J'en ai été surpris. Il s'agissait surtout pour moi d'un travail d’autothérapie par l'écriture, mais je ne vais pas me plaindre, et j'espère que quelques-uns d'entre vous, surtout parmi les plus jeunes, pourront en tirer des leçons profitables. Merci aussi pour tous vos emails de soutien, les échanges et les interactions.

Le blog va changer d'orientation. La thématique va changer : je voudrais partager avec vous ma découverte du monde de la sécurité informatique. C'est un monde où la discrétion est reine, où les échanges sont plutôt souterrains et où la technique est très importante. C'est drôle, c'est exactement comme l'univers des experts judiciaires...

Justement, à propos des expertises judiciaires, du fait des difficultés que je rencontrais dans la startup, j'ai énormément diminué mon activité expertale, en renvoyant toutes les demandes vers des experts compétents et disponibles. Je vais attendre de voir un peu comment se passe cette année 2019, mais sans doute m'acheminé-je doucement vers une fin d'activité et un non-renouvellement de mon inscription sur la liste des experts judiciaires. Quand j'ai commencé en 1999, j'avais 35 ans et je ne comprenais pas comment le suivant en âge de la liste pouvait avoir 20 ans de plus que moi dans un domaine aussi technique et changeant que celui de l'informatique. J'ai aujourd'hui cet âge-là et, même si je me sens encore dynamique, je pense qu'il faut savoir laisser la place et ne pas finir par porter ce titre d'expert judiciaire uniquement pour la carte de visite. On verra bien. Je me donne un an pour prendre une décision.

Concernant le télétravail, c'est un sujet dont je parlerai dans un billet dédié, tant j'ai été surpris par la difficulté que l'auto-discipline demande. Heureusement, j'ai été bien conseillé et je ne m'en sors pas trop mal.

La téléfamille, c'est plus difficile. Là aussi j'en parlerai dans un billet dédié.

Merci à tous ceux et à toutes celles qui m'ont lu jusqu'ici.
Je transmets également mon bonjour aux anciens collègues qui me lisent ici (j'ai les noms ;-)

A bientôt pour de nouvelles aventures.

Tweet du 5 janvier 2019. Maintenant vous faites partie de ceux qui savent ;-)

]]>
25 ans dans une startup - billet n.62 tag:blogger.com,1999:blog-33889351.post-3988895048184905583 ./?25-ans-dans-une-startup-billet-n-62 Fri, 15 Mar 2019 05:00:00 +0100 Introduction - billet n.61

Je prends quelques jours de réflexion, je discute beaucoup avec mon épouse et nous prenons une décision.

Je ne peux pas envisager de rater une telle opportunité.
J'ai besoin de me passionner pour mon travail.
J'ai besoin d'apprendre en permanence et de progresser.
J'ai besoin d'avoir les neurones en feu tous les jours.

Je vais devoir trouver une chambre d'étudiant en région parisienne et faire l'aller-retour (2 x 450 km) tous les week-ends, pendant les 10 prochaines années. Je vais sacrifier 20% de mon salaire, alors que la vie parisienne est 15% plus chère. Je vais quitter le confort de mes repères, de mes savoirs, de mes certitudes.

Mais je n'aurai plus de management à faire, j'aurai des objectifs clairs et les moyens de les atteindre. Je pourrai travailler 50 heures par semaine sans craindre de voir tout mon travail s'écrouler. Je travaillerai avec des experts techniques de haut niveau. J'apprendrai un nouveau métier. Je découvrirai les affres et le charme du télétravail. Je gouterai à la joie des retrouvailles tous les week-ends avec l'Amour de ma vie.

Bref, un nouveau monde s'offre à moi, plein de défis à relever. J'ai 55 ans et tant de choses à apprendre. Sans la certitude d'y arriver.

Je me sens revivre.

J'écris ma lettre de démission que je remets le lendemain en main propre à mon directeur général.

J'aurai passé 25 ans dans une startup.

--oOo--   FIN   --oOo--

Épilogue

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Extrait de http://salemoment.tumblr.com/
avec l'aimable autorisation de l'auteur Olivier Ka


]]>
Introduction - billet n.61

Je prends quelques jours de réflexion, je discute beaucoup avec mon épouse et nous prenons une décision.

Je ne peux pas envisager de rater une telle opportunité.
J'ai besoin de me passionner pour mon travail.
J'ai besoin d'apprendre en permanence et de progresser.
J'ai besoin d'avoir les neurones en feu tous les jours.

Je vais devoir trouver une chambre d'étudiant en région parisienne et faire l'aller-retour (2 x 450 km) tous les week-ends, pendant les 10 prochaines années. Je vais sacrifier 20% de mon salaire, alors que la vie parisienne est 15% plus chère. Je vais quitter le confort de mes repères, de mes savoirs, de mes certitudes.

Mais je n'aurai plus de management à faire, j'aurai des objectifs clairs et les moyens de les atteindre. Je pourrai travailler 50 heures par semaine sans craindre de voir tout mon travail s'écrouler. Je travaillerai avec des experts techniques de haut niveau. J'apprendrai un nouveau métier. Je découvrirai les affres et le charme du télétravail. Je gouterai à la joie des retrouvailles tous les week-ends avec l'Amour de ma vie.

Bref, un nouveau monde s'offre à moi, plein de défis à relever. J'ai 55 ans et tant de choses à apprendre. Sans la certitude d'y arriver.

Je me sens revivre.

J'écris ma lettre de démission que je remets le lendemain en main propre à mon directeur général.

J'aurai passé 25 ans dans une startup.

--oOo--   FIN   --oOo--

Épilogue

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Extrait de http://salemoment.tumblr.com/
avec l'aimable autorisation de l'auteur Olivier Ka


]]>
25 ans dans une startup - billet n.61 tag:blogger.com,1999:blog-33889351.post-8287162572800723489 ./?25-ans-dans-une-startup-billet-n-61 Thu, 14 Mar 2019 05:00:00 +0100 Introduction - billet n.60

Depuis de nombreuses années, je fréquente un réseau social professionnel, sur lequel j'ai beaucoup de contacts : le réseau LinkedIn. Ce réseau dispose d'un système intégré d'offres d'emploi. C'est assez bien fait et j'ai pu contacter pas mal d'entreprises par ce biais.

L'une d'elle proposait un poste de RSSI dans un univers que je connais bien : l'enseignement supérieur privé. J'étudie attentivement l'offre, et j'arrive parfaitement à me projeter dans la fonction. J'envoie un CV et une lettre d'accompagnement.

Fidèle à ma technique, je prends contact au bout de quelques jours avec le service RH pour un suivi de ma candidature. L'accueil est sérieux, le suivi personnalisé. Un entretien téléphonique avec le DSI auquel le poste est rattaché est programmé. Le jour J, l'entretien se passe bien et le courant aussi.

Un deuxième entretien se déroule dans l'école située en région parisienne. Le poste est bien défini et je connais bien les difficultés et subtilités de l'univers de l'enseignement supérieur. Il n'y a pas de surprise a priori.

Un troisième entretien est programmé avec le CDO de l'entreprise. Entretien parfait où mon interlocuteur me laisse présenter mes arguments de motivation, mes lacunes et mes qualités. J'ai enfin le sentiment d'être écouté et entendu. Je joue la carte de la transparence pour ne pas laisser de place aux doutes ou aux non-dits : je ne suis pas un spécialiste technique pointu, mais j'ai l'expérience de l'informatique et de l'environnement pédagogique de haut niveau. J'ai la motivation du débutant et l'expérience de l'ancienneté.

Quinze jours après, j'apprends que, cette fois, j'arrive en tête de la "short list" : j'ai une promesse d'embauche et cinq jours pour donner ma réponse.

Billet n.62

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.



]]>
Introduction - billet n.60

Depuis de nombreuses années, je fréquente un réseau social professionnel, sur lequel j'ai beaucoup de contacts : le réseau LinkedIn. Ce réseau dispose d'un système intégré d'offres d'emploi. C'est assez bien fait et j'ai pu contacter pas mal d'entreprises par ce biais.

L'une d'elle proposait un poste de RSSI dans un univers que je connais bien : l'enseignement supérieur privé. J'étudie attentivement l'offre, et j'arrive parfaitement à me projeter dans la fonction. J'envoie un CV et une lettre d'accompagnement.

Fidèle à ma technique, je prends contact au bout de quelques jours avec le service RH pour un suivi de ma candidature. L'accueil est sérieux, le suivi personnalisé. Un entretien téléphonique avec le DSI auquel le poste est rattaché est programmé. Le jour J, l'entretien se passe bien et le courant aussi.

Un deuxième entretien se déroule dans l'école située en région parisienne. Le poste est bien défini et je connais bien les difficultés et subtilités de l'univers de l'enseignement supérieur. Il n'y a pas de surprise a priori.

Un troisième entretien est programmé avec le CDO de l'entreprise. Entretien parfait où mon interlocuteur me laisse présenter mes arguments de motivation, mes lacunes et mes qualités. J'ai enfin le sentiment d'être écouté et entendu. Je joue la carte de la transparence pour ne pas laisser de place aux doutes ou aux non-dits : je ne suis pas un spécialiste technique pointu, mais j'ai l'expérience de l'informatique et de l'environnement pédagogique de haut niveau. J'ai la motivation du débutant et l'expérience de l'ancienneté.

Quinze jours après, j'apprends que, cette fois, j'arrive en tête de la "short list" : j'ai une promesse d'embauche et cinq jours pour donner ma réponse.

Billet n.62

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.



]]>
25 ans dans une startup - billet n.60 tag:blogger.com,1999:blog-33889351.post-6113941511314320772 ./?25-ans-dans-une-startup-billet-n-60 Wed, 13 Mar 2019 05:00:00 +0100 Introduction - billet n.59

Les offres se suivent, les entretiens aussi. Je suis souvent retenu pour un deuxième, puis un troisième entretien, mais à chaque fois un autre candidat est retenu. Je ne baisse pas les bras et je continue à chercher le job qui correspondrait à mes envies : soit DSI dans une petite structure, soit quelque chose autour de l'expertise judiciaire, soit RSSI dans une entreprise où je pourrais trouver ma place.

Un follower Twitter me fait suivre une offre particulièrement intéressante : un poste d'assistant spécialisé informatique est ouvert depuis plusieurs années et non pourvu dans... la section de lutte contre le terrorisme du parquet de Paris.

Oui, oui, vous avez bien lu. LA section C1 dite pôle antiterroriste...

Incrédule, j'envoie un email avec mon CV et une lettre de présentation. Je reçois une réponse et un questionnaire à remplir. Puis suit un entretien téléphonique. Le courant passe bien, mes motivations sont comprises, et j'ai parfaitement conscience des enjeux techniques et humains.

Je reçois une convocation pour un entretien avec plusieurs magistrats de ce service, dont la cheffe de la section de lutte contre le terrorisme, les assistants spécialisés cybercriminalité et la personne en charge du recrutement.

L'entretien se déroule dans le nouveau palais de justice de Paris.

Le jour J, je me présente à l'accueil, avec deux heures d'avance. La personne de l'accueil me remet un badge visiteur et m'explique le chemin à suivre pour monter dans les étages jusqu'à celui du cabinet du Procureur de la République.

Comme je suis en avance, je me dis qu'il est judicieux de faire un repérage discret des lieux avant l'entretien. Je prends donc la direction de la colonne d’ascenseurs indiquée par l'accueil. Je badge aux différents lecteurs qui se présentent à moi, jusqu'à me trouver face à un ascenseur qui ne semble pas capable de m'amener au 26e étage. Ce n'est pas grave, pensé-je en mon for intérieur, je n'ai qu'à monter et changer d’ascenseur... Erreur : je me suis retrouvé ensuite face à d'autres ascenseurs qui ne semblaient pas vouloir reconnaître mon badge. J'ai pris mon mal en patience, en essayant de prendre un air intelligent, et j'ai attendu qu'un ascenseur s'ouvre pour enfin arriver à bon port.

Une fois au 26e étage, je pousse une porte qui semble m'amener vers le cabinet du procureur. Je me retrouve entre deux portes, dans un sas. Et bien entendu, mon badge n'ouvre aucune des deux portes... Je repère alors un interphone et sonne en espérant que quelqu'un va répondre. Rien ne se passe.

J'attends, en essayant vainement de prendre un air intelligent.

Au bout de 10mn, une personne entre dans le sas et me découvre en train d'attendre. Je crois qu'elle en rigole encore : une heure et demie d'avance sur son rendez-vous, bloqué dans un sas, à faire peur au personnel.

J'ai fini par patienter en salle d'attente. Les vigiles de la vidéosurveillance doivent encore se souvenir de cette scène étrange d'un gugusse prenant en photo la salle d'attente sous toutes ses coutures et Paris vu du haut du Palais de Justice :-)

L'entretien se déroule parfaitement. Je suis évidemment impressionné par les personnes présentes. Travailler avec elles serait un honneur pour moi.

Le poste est a peu près réparti en quatre parts égales :
- Forensic : reprise d’analyse de supports informatiques
- OSINT : recherches internet diverses et variées pour documenter les dossiers
- Assistance/expertise quotidienne pour les magistrats et les enquêteurs
- Participation groupes de travail, représentation, etc…
Le candidat idéal doit savoir un peu tout faire, sans être forcément un spécialiste dans tout.

Le statut du poste est conforme à ce qui était indiqué dans l'offre parue sur la bourse interministérielle de l'emploi public : les assistants spécialisés sont recrutés par voie de contrat, en qualité d'agent contractuel de catégorie A, pour une durée de 3 ans renouvelable.

Je rentre dans ma province profonde avec les yeux qui brillent comme quelqu'un qui rêve depuis tout petit de devenir pompier et qui est à la porte de la caserne...

Quelques jours plus tard, je reçois le contrat d'engagement à durée déterminée, et découvre un point qui avait échappé à ma sagacité : le contrat est d'une durée de 3 ans renouvelable une seule fois.

A 54 ans, pour mettre mes compétences au service de mon pays dans la lutte contre le terrorisme, je dois démissionner de mon poste de salarié du privé, pour un CDD de 6 ans maximum. C'est la perspective annoncée est d'être chômeur à 60 ans (ou à 57 si les budgets et mon poste sont supprimés). Je n'ai pas de corps de rattachement à réintégrer...

La mort dans l'âme, je me vois obligé de décliner l'offre malgré son intérêt évident.

Putain, intégrer le pôle antiterroriste...
Je continue mes recherches.

Billet n.61

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.



]]>
Introduction - billet n.59

Les offres se suivent, les entretiens aussi. Je suis souvent retenu pour un deuxième, puis un troisième entretien, mais à chaque fois un autre candidat est retenu. Je ne baisse pas les bras et je continue à chercher le job qui correspondrait à mes envies : soit DSI dans une petite structure, soit quelque chose autour de l'expertise judiciaire, soit RSSI dans une entreprise où je pourrais trouver ma place.

Un follower Twitter me fait suivre une offre particulièrement intéressante : un poste d'assistant spécialisé informatique est ouvert depuis plusieurs années et non pourvu dans... la section de lutte contre le terrorisme du parquet de Paris.

Oui, oui, vous avez bien lu. LA section C1 dite pôle antiterroriste...

Incrédule, j'envoie un email avec mon CV et une lettre de présentation. Je reçois une réponse et un questionnaire à remplir. Puis suit un entretien téléphonique. Le courant passe bien, mes motivations sont comprises, et j'ai parfaitement conscience des enjeux techniques et humains.

Je reçois une convocation pour un entretien avec plusieurs magistrats de ce service, dont la cheffe de la section de lutte contre le terrorisme, les assistants spécialisés cybercriminalité et la personne en charge du recrutement.

L'entretien se déroule dans le nouveau palais de justice de Paris.

Le jour J, je me présente à l'accueil, avec deux heures d'avance. La personne de l'accueil me remet un badge visiteur et m'explique le chemin à suivre pour monter dans les étages jusqu'à celui du cabinet du Procureur de la République.

Comme je suis en avance, je me dis qu'il est judicieux de faire un repérage discret des lieux avant l'entretien. Je prends donc la direction de la colonne d’ascenseurs indiquée par l'accueil. Je badge aux différents lecteurs qui se présentent à moi, jusqu'à me trouver face à un ascenseur qui ne semble pas capable de m'amener au 26e étage. Ce n'est pas grave, pensé-je en mon for intérieur, je n'ai qu'à monter et changer d’ascenseur... Erreur : je me suis retrouvé ensuite face à d'autres ascenseurs qui ne semblaient pas vouloir reconnaître mon badge. J'ai pris mon mal en patience, en essayant de prendre un air intelligent, et j'ai attendu qu'un ascenseur s'ouvre pour enfin arriver à bon port.

Une fois au 26e étage, je pousse une porte qui semble m'amener vers le cabinet du procureur. Je me retrouve entre deux portes, dans un sas. Et bien entendu, mon badge n'ouvre aucune des deux portes... Je repère alors un interphone et sonne en espérant que quelqu'un va répondre. Rien ne se passe.

J'attends, en essayant vainement de prendre un air intelligent.

Au bout de 10mn, une personne entre dans le sas et me découvre en train d'attendre. Je crois qu'elle en rigole encore : une heure et demie d'avance sur son rendez-vous, bloqué dans un sas, à faire peur au personnel.

J'ai fini par patienter en salle d'attente. Les vigiles de la vidéosurveillance doivent encore se souvenir de cette scène étrange d'un gugusse prenant en photo la salle d'attente sous toutes ses coutures et Paris vu du haut du Palais de Justice :-)

L'entretien se déroule parfaitement. Je suis évidemment impressionné par les personnes présentes. Travailler avec elles serait un honneur pour moi.

Le poste est a peu près réparti en quatre parts égales :
- Forensic : reprise d’analyse de supports informatiques
- OSINT : recherches internet diverses et variées pour documenter les dossiers
- Assistance/expertise quotidienne pour les magistrats et les enquêteurs
- Participation groupes de travail, représentation, etc…
Le candidat idéal doit savoir un peu tout faire, sans être forcément un spécialiste dans tout.

Le statut du poste est conforme à ce qui était indiqué dans l'offre parue sur la bourse interministérielle de l'emploi public : les assistants spécialisés sont recrutés par voie de contrat, en qualité d'agent contractuel de catégorie A, pour une durée de 3 ans renouvelable.

Je rentre dans ma province profonde avec les yeux qui brillent comme quelqu'un qui rêve depuis tout petit de devenir pompier et qui est à la porte de la caserne...

Quelques jours plus tard, je reçois le contrat d'engagement à durée déterminée, et découvre un point qui avait échappé à ma sagacité : le contrat est d'une durée de 3 ans renouvelable une seule fois.

A 54 ans, pour mettre mes compétences au service de mon pays dans la lutte contre le terrorisme, je dois démissionner de mon poste de salarié du privé, pour un CDD de 6 ans maximum. C'est la perspective annoncée est d'être chômeur à 60 ans (ou à 57 si les budgets et mon poste sont supprimés). Je n'ai pas de corps de rattachement à réintégrer...

La mort dans l'âme, je me vois obligé de décliner l'offre malgré son intérêt évident.

Putain, intégrer le pôle antiterroriste...
Je continue mes recherches.

Billet n.61

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.



]]>
25 ans dans une startup - billet n.59 tag:blogger.com,1999:blog-33889351.post-5213253267125700935 ./?25-ans-dans-une-startup-billet-n-59 Tue, 12 Mar 2019 05:00:00 +0100 Introduction - billet n.58

Parmi les rêves fous que je faisais, en lien avec mon évolution professionnelle, revenait souvent la fonction de RSSI, c'est-à-dire Responsable de la Sécurité des Systèmes d'Information. Si je n'ai clairement pas le niveau technique d'un pentester, ou d'un participant à un concours de hacking, j'ai l'expérience d'un expert judiciaire qui a mené pendant 20 ans des audits informatiques, souvent dans le domaine de la sécurité.

Alors, quand cette offre d'emploi pour un poste de RSSI dans un grand groupe français du CAC40 m'a été présentée par un lecteur du blog, j'ai étudié la question avec intérêt.

Voici la fiche de poste qui m'a été présentée :

Missions Principales :
• Garantir la protection de nos données, applications, infrastructures IT et Réseau contre les cyber-risques
• Évaluer les risques et auditer la vulnérabilité IT
• Assurer la veille technologique sur la sécurité IT et les standards IT

• Définir et suivre l’application des normes de sécurité IT de l'entreprise en particulier lors du choix des solutions (contrats software et communication)
• Participer aux déploiements de solutions innovantes applicatives en apportant les moyens de protection appropriés
• Organiser un comité trimestriel de Sécurité des Infrastructures avec l’ensemble des sociétés de l'entreprise, en collaboration avec le responsable Telecom de l'entreprise
• Participer à la réalisation du budget Infrastructure sur son périmètre de responsabilité
• Suivre l’application (par les sociétés de l'entreprise) des standards de sécurité Infrastructure et réseaux indiquées dans la PSSI (15 security rules, SOC…)
• Définir la future stratégie de Sécurité de l'entreprise à mettre en œuvre après TSA
• Assurer la relation avec les fournisseurs de matériel, logiciel et services définis dans le portefeuille de standards et sécurité IT.
• Piloter en particulier la prestation de SOC délivrée par le partenaire, les comité sécurité avec les infogérants et les chaine d’alertes associées
• Animer le réseau Sécurité IT en relation avec les filiales et apporter un support technique aux IT locaux et aux IT Industriels sur la sécurité
• Définir, suivre les indicateurs de sécurité IT (KPI) et les communiquer à la DSI
• Définir la charte de sécurité IT et en assurer la mise à jour et la promotion en relation avec la Communication Interne et les IT Locaux


Compétences requises (techniques, …) :
Maitrise des technologies Microsoft
Maitrise de l’état de l’art en matière de cyberdéfense
Anglais +
Rigueur et sens de l'organisation
Fonctionnement et animation en réseau
Disponibilité étendue
Résistance au stress, engagement et orientation résultat
Communication interne (communauté IT globale et Directions Générales & Métiers)


Le premier entretien (téléphonique) s'est bien déroulé et mon interlocuteur était attentif et précis dans ses questions/réponses. J'ai ainsi pu franchir le premier tri des candidats.

Le deuxième entretien se faisait sur place, dans l'entreprise, dans le quartier d'affaire de la Défense du Grand-Paris. J'arrive en avance, je cherche mon chemin, je me perds entre les tours, je trouve l'entrée de la grande tour de l'entreprise, je passe la fouille du sas d'entrée, j'obtiens mon badge visiteur, j'attends que quelqu'un descende d'un des étages pour venir me chercher...

L'entretien se passe très bien, avec mon futur chef. Il répond à toutes mes questions, et je joue la carte de la franchise. L'entretien se termine au bout de deux heures. Je suis impressionné par les enjeux du poste, par la taille de l'entreprise, par les moyens mis à la disposition du RSSI.

Dix jours plus tard, j'apprends que je suis classé en première position sur la "short list" des trois candidats retenus.

Je reçois le contrat et la proposition financière.

J'étudie longuement le saut que je m'apprête à faire: réduction de salaire, déménagement sur Paris, changement d'entreprise, de métier et de fonction.

Puis je me rends compte que je n'ai pas les clés pour réussir: je n'ai jamais travaillé dans un grand groupe, je n'en connais pas les codes, la culture. Au moment de signer, je n'arrive pas à me projeter.

Je me suis vu plus fort, plus beau que je ne suis en réalité.
Je sais que ce poste est trop gros pour mes épaules.

Réaliste, je refuse la proposition.
Je continue mes recherches.

Billet n.60

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.



]]>
Introduction - billet n.58

Parmi les rêves fous que je faisais, en lien avec mon évolution professionnelle, revenait souvent la fonction de RSSI, c'est-à-dire Responsable de la Sécurité des Systèmes d'Information. Si je n'ai clairement pas le niveau technique d'un pentester, ou d'un participant à un concours de hacking, j'ai l'expérience d'un expert judiciaire qui a mené pendant 20 ans des audits informatiques, souvent dans le domaine de la sécurité.

Alors, quand cette offre d'emploi pour un poste de RSSI dans un grand groupe français du CAC40 m'a été présentée par un lecteur du blog, j'ai étudié la question avec intérêt.

Voici la fiche de poste qui m'a été présentée :

Missions Principales :
• Garantir la protection de nos données, applications, infrastructures IT et Réseau contre les cyber-risques
• Évaluer les risques et auditer la vulnérabilité IT
• Assurer la veille technologique sur la sécurité IT et les standards IT

• Définir et suivre l’application des normes de sécurité IT de l'entreprise en particulier lors du choix des solutions (contrats software et communication)
• Participer aux déploiements de solutions innovantes applicatives en apportant les moyens de protection appropriés
• Organiser un comité trimestriel de Sécurité des Infrastructures avec l’ensemble des sociétés de l'entreprise, en collaboration avec le responsable Telecom de l'entreprise
• Participer à la réalisation du budget Infrastructure sur son périmètre de responsabilité
• Suivre l’application (par les sociétés de l'entreprise) des standards de sécurité Infrastructure et réseaux indiquées dans la PSSI (15 security rules, SOC…)
• Définir la future stratégie de Sécurité de l'entreprise à mettre en œuvre après TSA
• Assurer la relation avec les fournisseurs de matériel, logiciel et services définis dans le portefeuille de standards et sécurité IT.
• Piloter en particulier la prestation de SOC délivrée par le partenaire, les comité sécurité avec les infogérants et les chaine d’alertes associées
• Animer le réseau Sécurité IT en relation avec les filiales et apporter un support technique aux IT locaux et aux IT Industriels sur la sécurité
• Définir, suivre les indicateurs de sécurité IT (KPI) et les communiquer à la DSI
• Définir la charte de sécurité IT et en assurer la mise à jour et la promotion en relation avec la Communication Interne et les IT Locaux


Compétences requises (techniques, …) :
Maitrise des technologies Microsoft
Maitrise de l’état de l’art en matière de cyberdéfense
Anglais +
Rigueur et sens de l'organisation
Fonctionnement et animation en réseau
Disponibilité étendue
Résistance au stress, engagement et orientation résultat
Communication interne (communauté IT globale et Directions Générales & Métiers)


Le premier entretien (téléphonique) s'est bien déroulé et mon interlocuteur était attentif et précis dans ses questions/réponses. J'ai ainsi pu franchir le premier tri des candidats.

Le deuxième entretien se faisait sur place, dans l'entreprise, dans le quartier d'affaire de la Défense du Grand-Paris. J'arrive en avance, je cherche mon chemin, je me perds entre les tours, je trouve l'entrée de la grande tour de l'entreprise, je passe la fouille du sas d'entrée, j'obtiens mon badge visiteur, j'attends que quelqu'un descende d'un des étages pour venir me chercher...

L'entretien se passe très bien, avec mon futur chef. Il répond à toutes mes questions, et je joue la carte de la franchise. L'entretien se termine au bout de deux heures. Je suis impressionné par les enjeux du poste, par la taille de l'entreprise, par les moyens mis à la disposition du RSSI.

Dix jours plus tard, j'apprends que je suis classé en première position sur la "short list" des trois candidats retenus.

Je reçois le contrat et la proposition financière.

J'étudie longuement le saut que je m'apprête à faire: réduction de salaire, déménagement sur Paris, changement d'entreprise, de métier et de fonction.

Puis je me rends compte que je n'ai pas les clés pour réussir: je n'ai jamais travaillé dans un grand groupe, je n'en connais pas les codes, la culture. Au moment de signer, je n'arrive pas à me projeter.

Je me suis vu plus fort, plus beau que je ne suis en réalité.
Je sais que ce poste est trop gros pour mes épaules.

Réaliste, je refuse la proposition.
Je continue mes recherches.

Billet n.60

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.



]]>
25 ans dans une startup - billet n.58 tag:blogger.com,1999:blog-33889351.post-1222690311936616837 ./?25-ans-dans-une-startup-billet-n-58 Mon, 11 Mar 2019 05:00:00 +0100 Introduction - billet n.57

Comme mon profil est a priori celui d'un DSI proche du terrain, je cherche des offres d'emploi en rapport. Grâce à un lecteur du blog, j'apprends l'existence d'une offre d'emploi du marché caché, qui semble bien me correspondre, dans une startup de La Poste.

Je ne reproduirai pas ici la fiche de poste, ni l'offre d'emploi, mais le commentaire associé, écrit par le Responsable Ressources Humaines de la sous-division concernée chez La Poste :
"Recherche de profil transverse (aussi bien architecte qu’opérationnel), une appétence à faire et mettre en œuvre est indispensable. Esprit start-up, équipe, collectif."
Mon contact me transmet les coordonnées du Responsable Ressources Humaines qui gère le recrutement. Je constitue un dossier complet, CV, lettre de motivation, et courrier d'accompagnement.

Trois jours plus tard, je reçois ce message :

Bonjour M. [Zythom],

Je vous remercie de votre intérêt pour notre structure et aussi pour notre offre de poste.

Vous avez une expérience riche et variée accompagnée d'une formation de grande qualité. Cependant, il me semble que l'offre que nous proposons est en décalage avec votre profil. En effet, notre poste est bien plus adapté à un profil junior/confirmé qui est encore pleinement dans l'opérationnel et qui souhaite continuer à développer son spectre de compétences.

Ainsi je pense qu'il n'est pas judicieux que nous nous rencontrions pour échanger sur votre parcours.

Je vous souhaite tout de même un bon weekend,
En espérant que vous trouverez un challenge à hauteur de vos attentes,

Cordialement,
[Félix Santini] | Responsable Ressources Humaines

A 54 ans, je ne suis donc plus considéré comme quelqu'un qui "souhaite continuer à développer son spectre de compétences", et cela sans aucune discussion ni prise de contact téléphonique.

Je ne serai donc pas DSI d'une startup de La Poste...

Billet n.59

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Extrait de http://salemoment.tumblr.com/
avec l'aimable autorisation de l'auteur Olivier Ka


]]>
Introduction - billet n.57

Comme mon profil est a priori celui d'un DSI proche du terrain, je cherche des offres d'emploi en rapport. Grâce à un lecteur du blog, j'apprends l'existence d'une offre d'emploi du marché caché, qui semble bien me correspondre, dans une startup de La Poste.

Je ne reproduirai pas ici la fiche de poste, ni l'offre d'emploi, mais le commentaire associé, écrit par le Responsable Ressources Humaines de la sous-division concernée chez La Poste :
"Recherche de profil transverse (aussi bien architecte qu’opérationnel), une appétence à faire et mettre en œuvre est indispensable. Esprit start-up, équipe, collectif."
Mon contact me transmet les coordonnées du Responsable Ressources Humaines qui gère le recrutement. Je constitue un dossier complet, CV, lettre de motivation, et courrier d'accompagnement.

Trois jours plus tard, je reçois ce message :

Bonjour M. [Zythom],

Je vous remercie de votre intérêt pour notre structure et aussi pour notre offre de poste.

Vous avez une expérience riche et variée accompagnée d'une formation de grande qualité. Cependant, il me semble que l'offre que nous proposons est en décalage avec votre profil. En effet, notre poste est bien plus adapté à un profil junior/confirmé qui est encore pleinement dans l'opérationnel et qui souhaite continuer à développer son spectre de compétences.

Ainsi je pense qu'il n'est pas judicieux que nous nous rencontrions pour échanger sur votre parcours.

Je vous souhaite tout de même un bon weekend,
En espérant que vous trouverez un challenge à hauteur de vos attentes,

Cordialement,
[Félix Santini] | Responsable Ressources Humaines

A 54 ans, je ne suis donc plus considéré comme quelqu'un qui "souhaite continuer à développer son spectre de compétences", et cela sans aucune discussion ni prise de contact téléphonique.

Je ne serai donc pas DSI d'une startup de La Poste...

Billet n.59

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Extrait de http://salemoment.tumblr.com/
avec l'aimable autorisation de l'auteur Olivier Ka


]]>
25 ans dans une startup - billet n.57 tag:blogger.com,1999:blog-33889351.post-8362763140852439257 ./?25-ans-dans-une-startup-billet-n-57 Fri, 08 Mar 2019 05:00:00 +0100 Introduction - billet n.56

Je vais vous présenter rapidement 4 recherches d'emploi que j'ai menées parmi les dizaines qui ont émaillé mon année 2018. Mais avant, parlons un peu de méthode : j'ai appliqué les conseils que j'ai prodigués pendant des années auprès de mes étudiants, et que j'ai présentés dans ce billet de blog intitulé "Recrutement des jeunes" que je reproduis ci-dessous. Problème : je ne suis plus tout à fait "jeune"...

-----------------------------------------

Je suis parfois sidéré de la manière que peuvent avoir les étudiants de chercher du travail (stage ou emploi). Beaucoup d'entre eux préparent consciencieusement leur CV et leur lettre de motivation, plus ou moins sur le même modèle, puis adressent tout cela aux entreprises, par email ou par courrier papier, à l'adresse trouvée dans les annuaires spécialisés.

Certains viennent s'ouvrir à moi de leurs difficultés: "J'ai envoyé 200 lettres, et je n'ai encore aucune réponse positive".

J'écris donc ce billet pour tous les étudiants (ou pas) qui cherchent leur premier emploi. Je souhaite me concentrer sur un point rarement abordé (il me semble): l'obtention de l'entretien. Vous avez donc déjà digéré 2000 sites web et manuels vous expliquant comment rédiger votre CV et/ou lettre de motivation.

La méthode que je vais vous présenter est simple, universelle, et a été testé par un grand nombre de mes étudiants. Elle a pour base l'idée qu'il faut se prendre en main et OSER.

-----------------------------------------

Tout d'abord, chercher du travail, c'est DIFFICILE. On ne peut pas généralement se contenter de faire fonctionner une photocopieuse et la machine à poster. Il faut CIBLER.

Bon, alors là, j'ai droit en général à la remarque suivante: "Oui, mais moi, je ne connais personne..."

Cela tombe bien, moi non plus.

1) Vos critères:
Pour trouver l'entreprise qui a besoin de vous, il faut commencer par faire une recherche dans un annuaire spécialisé. Il y a les pages jaunes, mais aussi beaucoup d'outils tels que le Kompass. Vous y chercherez les entreprises selon vos propres critères: taille (TPE, PME, grands groupes...), situation géographique, secteurs d'activité, etc. La plupart des centres documentaires de vos écoles sont abonnés à ce type d'annuaires.

2) La liste:
Vous obtenez enfin une liste d'entreprises qui vous semblent pouvoir correspondre à vos aspirations. Classez cette liste par ordre de préférence. Ne commencez pas forcément par celle qui vous plait le plus, afin de roder votre méthode d'approche. Pour chaque entreprise de la liste, créez un dossier (papier ou électronique selon vos goûts) dans lequel vous allez stocker toutes les informations que vous allez obtenir sur cette entreprise, ET celles que vous allez lui envoyer.

3) Le phoning:
C'est l'étape la plus importante. Vous ne connaissez personne dans l'entreprise ciblée? Normal, tout le monde n'a pas un papa Président de la République. Par contre, vous avez le numéro du standard, ou celui des ressources humaines. Notez les dans vos fiches, mais inutile de vous y frotter: ces personnes sont aguerries aux techniques de rembarrage téléphonique.
Par contre, ajoutez votre chiffre fétiche aux derniers numéros du numéro de téléphone du standard, et tentez votre coup. Par exemple, un numéro de standard qui se termine par 00? Et bien remplacez le double zéro par 12 (ou 07, 13, etc).

4) Mais qui êtes-vous?
Bien sur, vous n'avez aucune idée de sur qui vous allez tomber: un ingénieur, une secrétaire, un stagiaire, une personne de l'entretien... Tant pis: présentez-vous poliment et demandez si vous êtes bien chez l'entreprise TRUC. Il n'y a aucune raison que la personne qui a décroché le téléphone vous rentre dedans. Par contre, elle va très vite vous demander qui vous êtes et ce que vous voulez. Là, il faut avoir préparé une petite explication. Personnellement, je suis plutôt pour l'explication "recherche de stage", même si vous êtes en recherche d'emploi. Cela fait moins peur.

5) L'accroche:
Il vous faut absolument garder le contact avec la personne que vous avez au bout du fil. Dites lui par exemple: "Me permettez-vous de vous poser quelques questions sur l'entreprise pour me faciliter ma recherche de stage?". Rares seront les sans-cœur qui se débarrasseront de vous immédiatement. Posez alors quelques questions judicieusement choisies, comme par exemple: "Y a-t-il souvent des stagiaires dans l'entreprise?" etc. Après quelques questions innocentes, demandez "Y a-t-il un gros projet en cours actuellement dans l'entreprise?". Si la personne vous parle plutôt "plan de licenciement", inutile de perdre votre temps (et le sien). Abrégez la conversation poliment.

6) Le chef de projet:
Si par contre, la personne vous dit fièrement que l'entreprise vient de décrocher le contrat du siècle, posez lui des questions autour de ce projet et en particulier: "Pensez-vous que le chef de projet va avoir besoin de stagiaires?". Quelle que soit la réponse, demandez lui dans quel service travaille le chef de projet concerné par le gros contrat et en particulier le nom de cette personne. Faites parler votre interlocuteur de ce qu'il connaît le mieux, son service, son travail. Vous verrez, c'est fou ce que l'on obtient comme information sur une entreprise par ce biais, comme par exemple sur la (bonne) ambiance de travail.

7) La recommandation:
Avant de raccrocher, demandez à votre interlocuteur s'il peut vous passer les coordonnées du chef de projet (téléphone direct), et - cerise sur le gâteau - demandez lui si vous pouvez l'appeler de sa part (et prenez le nom de votre interlocuteur). Là encore, vous verrez que votre culot sera en général payant, la personne vous donnera les informations demandées.

8) Le coup de grâce:
A ce stade, vous disposez d'un vrai point d'entrée dans l'entreprise: le nom d'un responsable d'un projet prometteur qui risque d'avoir besoin d'embaucher du personnel, avec en plus la recommandation d'une autre personne de l'entreprise. Appelez cette personne et proposez lui vos services (stage ou emploi). Il faut être prêt à se présenter oralement de manière simple et brève. Vous devez faire bonne impression. L'objectif étant d'envoyer un CV qui sera lu attentivement, demander lui (ou faite confirmer) ses coordonnées (service, bâtiment...). Dites lui que vous lui adressez un CV dès aujourd'hui, et remerciez la pour le temps consacré au téléphone.

9) Le suivi:
Vous pouvez donc ajuster votre CV pour qu'il colle parfaitement aux besoins de l'entreprise (sans mentir ni inventer). Vous pouvez rédiger une lettre de motivation commençant par "Suite à notre conversation téléphonique de ce jour, je me permets de vous adresser comme convenu". Il reste à envoyer le tout par la poste. Enfin, n'oubliez pas de conserver précieusement une copie des CV et courriers pour vous y retrouver lors d'un entretien que vous ne manquerez pas d'avoir avec cette personne (rien n'est plus catastrophique que d'avoir à la main un CV différent de celui que l'on a envoyé).

10) Le suivi bis:
Tout le monde est débordé, ou prétend l'être. Votre CV est peut-être sous une pile de dossiers encore non traités. N'hésitez pas à rappeler votre correspondant une semaine après lui avoir envoyé votre CV. Demandez lui poliment s'il a bien reçu votre courrier, s'il a eu le temps de le traiter. Demandez lui s'il peut vous accorder un rendez-vous afin que vous puissiez vous présenter.

-----------------------------------------

Les étudiants à qui je fais ce discours réagissent de manière variée. Certains trouvent que cela dépasse leur capacité d'improvisation. D'autres ont du mal à comprendre qu'il soit si difficile de trouver du travail (ceux là n'ont en général pas encore commencé à chercher). Cette présentation leur aide à comprendre que la recherche d'emploi est avant tout une affaire de contacts humains et qu'il ne faut pas hésiter à sortir un peu des sentiers battus.

Et tous les étudiants qui l'ont appliquée travaillent actuellement.
Et de cela, je suis fier.

-----------------

En écrivant ce texte en 2010 (les pages jaunes...), je pensais évidemment surtout à mes étudiants. J'avais appliqué avec succès ces techniques dans les années 1990. Me voici en 2018, à souhaiter démarrer sérieusement une recherche d'emploi.

A 55 ans, les choses ne se sont pas passées comme je le voulais.

Billet n.58

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.



]]>
Introduction - billet n.56

Je vais vous présenter rapidement 4 recherches d'emploi que j'ai menées parmi les dizaines qui ont émaillé mon année 2018. Mais avant, parlons un peu de méthode : j'ai appliqué les conseils que j'ai prodigués pendant des années auprès de mes étudiants, et que j'ai présentés dans ce billet de blog intitulé "Recrutement des jeunes" que je reproduis ci-dessous. Problème : je ne suis plus tout à fait "jeune"...

-----------------------------------------

Je suis parfois sidéré de la manière que peuvent avoir les étudiants de chercher du travail (stage ou emploi). Beaucoup d'entre eux préparent consciencieusement leur CV et leur lettre de motivation, plus ou moins sur le même modèle, puis adressent tout cela aux entreprises, par email ou par courrier papier, à l'adresse trouvée dans les annuaires spécialisés.

Certains viennent s'ouvrir à moi de leurs difficultés: "J'ai envoyé 200 lettres, et je n'ai encore aucune réponse positive".

J'écris donc ce billet pour tous les étudiants (ou pas) qui cherchent leur premier emploi. Je souhaite me concentrer sur un point rarement abordé (il me semble): l'obtention de l'entretien. Vous avez donc déjà digéré 2000 sites web et manuels vous expliquant comment rédiger votre CV et/ou lettre de motivation.

La méthode que je vais vous présenter est simple, universelle, et a été testé par un grand nombre de mes étudiants. Elle a pour base l'idée qu'il faut se prendre en main et OSER.

-----------------------------------------

Tout d'abord, chercher du travail, c'est DIFFICILE. On ne peut pas généralement se contenter de faire fonctionner une photocopieuse et la machine à poster. Il faut CIBLER.

Bon, alors là, j'ai droit en général à la remarque suivante: "Oui, mais moi, je ne connais personne..."

Cela tombe bien, moi non plus.

1) Vos critères:
Pour trouver l'entreprise qui a besoin de vous, il faut commencer par faire une recherche dans un annuaire spécialisé. Il y a les pages jaunes, mais aussi beaucoup d'outils tels que le Kompass. Vous y chercherez les entreprises selon vos propres critères: taille (TPE, PME, grands groupes...), situation géographique, secteurs d'activité, etc. La plupart des centres documentaires de vos écoles sont abonnés à ce type d'annuaires.

2) La liste:
Vous obtenez enfin une liste d'entreprises qui vous semblent pouvoir correspondre à vos aspirations. Classez cette liste par ordre de préférence. Ne commencez pas forcément par celle qui vous plait le plus, afin de roder votre méthode d'approche. Pour chaque entreprise de la liste, créez un dossier (papier ou électronique selon vos goûts) dans lequel vous allez stocker toutes les informations que vous allez obtenir sur cette entreprise, ET celles que vous allez lui envoyer.

3) Le phoning:
C'est l'étape la plus importante. Vous ne connaissez personne dans l'entreprise ciblée? Normal, tout le monde n'a pas un papa Président de la République. Par contre, vous avez le numéro du standard, ou celui des ressources humaines. Notez les dans vos fiches, mais inutile de vous y frotter: ces personnes sont aguerries aux techniques de rembarrage téléphonique.
Par contre, ajoutez votre chiffre fétiche aux derniers numéros du numéro de téléphone du standard, et tentez votre coup. Par exemple, un numéro de standard qui se termine par 00? Et bien remplacez le double zéro par 12 (ou 07, 13, etc).

4) Mais qui êtes-vous?
Bien sur, vous n'avez aucune idée de sur qui vous allez tomber: un ingénieur, une secrétaire, un stagiaire, une personne de l'entretien... Tant pis: présentez-vous poliment et demandez si vous êtes bien chez l'entreprise TRUC. Il n'y a aucune raison que la personne qui a décroché le téléphone vous rentre dedans. Par contre, elle va très vite vous demander qui vous êtes et ce que vous voulez. Là, il faut avoir préparé une petite explication. Personnellement, je suis plutôt pour l'explication "recherche de stage", même si vous êtes en recherche d'emploi. Cela fait moins peur.

5) L'accroche:
Il vous faut absolument garder le contact avec la personne que vous avez au bout du fil. Dites lui par exemple: "Me permettez-vous de vous poser quelques questions sur l'entreprise pour me faciliter ma recherche de stage?". Rares seront les sans-cœur qui se débarrasseront de vous immédiatement. Posez alors quelques questions judicieusement choisies, comme par exemple: "Y a-t-il souvent des stagiaires dans l'entreprise?" etc. Après quelques questions innocentes, demandez "Y a-t-il un gros projet en cours actuellement dans l'entreprise?". Si la personne vous parle plutôt "plan de licenciement", inutile de perdre votre temps (et le sien). Abrégez la conversation poliment.

6) Le chef de projet:
Si par contre, la personne vous dit fièrement que l'entreprise vient de décrocher le contrat du siècle, posez lui des questions autour de ce projet et en particulier: "Pensez-vous que le chef de projet va avoir besoin de stagiaires?". Quelle que soit la réponse, demandez lui dans quel service travaille le chef de projet concerné par le gros contrat et en particulier le nom de cette personne. Faites parler votre interlocuteur de ce qu'il connaît le mieux, son service, son travail. Vous verrez, c'est fou ce que l'on obtient comme information sur une entreprise par ce biais, comme par exemple sur la (bonne) ambiance de travail.

7) La recommandation:
Avant de raccrocher, demandez à votre interlocuteur s'il peut vous passer les coordonnées du chef de projet (téléphone direct), et - cerise sur le gâteau - demandez lui si vous pouvez l'appeler de sa part (et prenez le nom de votre interlocuteur). Là encore, vous verrez que votre culot sera en général payant, la personne vous donnera les informations demandées.

8) Le coup de grâce:
A ce stade, vous disposez d'un vrai point d'entrée dans l'entreprise: le nom d'un responsable d'un projet prometteur qui risque d'avoir besoin d'embaucher du personnel, avec en plus la recommandation d'une autre personne de l'entreprise. Appelez cette personne et proposez lui vos services (stage ou emploi). Il faut être prêt à se présenter oralement de manière simple et brève. Vous devez faire bonne impression. L'objectif étant d'envoyer un CV qui sera lu attentivement, demander lui (ou faite confirmer) ses coordonnées (service, bâtiment...). Dites lui que vous lui adressez un CV dès aujourd'hui, et remerciez la pour le temps consacré au téléphone.

9) Le suivi:
Vous pouvez donc ajuster votre CV pour qu'il colle parfaitement aux besoins de l'entreprise (sans mentir ni inventer). Vous pouvez rédiger une lettre de motivation commençant par "Suite à notre conversation téléphonique de ce jour, je me permets de vous adresser comme convenu". Il reste à envoyer le tout par la poste. Enfin, n'oubliez pas de conserver précieusement une copie des CV et courriers pour vous y retrouver lors d'un entretien que vous ne manquerez pas d'avoir avec cette personne (rien n'est plus catastrophique que d'avoir à la main un CV différent de celui que l'on a envoyé).

10) Le suivi bis:
Tout le monde est débordé, ou prétend l'être. Votre CV est peut-être sous une pile de dossiers encore non traités. N'hésitez pas à rappeler votre correspondant une semaine après lui avoir envoyé votre CV. Demandez lui poliment s'il a bien reçu votre courrier, s'il a eu le temps de le traiter. Demandez lui s'il peut vous accorder un rendez-vous afin que vous puissiez vous présenter.

-----------------------------------------

Les étudiants à qui je fais ce discours réagissent de manière variée. Certains trouvent que cela dépasse leur capacité d'improvisation. D'autres ont du mal à comprendre qu'il soit si difficile de trouver du travail (ceux là n'ont en général pas encore commencé à chercher). Cette présentation leur aide à comprendre que la recherche d'emploi est avant tout une affaire de contacts humains et qu'il ne faut pas hésiter à sortir un peu des sentiers battus.

Et tous les étudiants qui l'ont appliquée travaillent actuellement.
Et de cela, je suis fier.

-----------------

En écrivant ce texte en 2010 (les pages jaunes...), je pensais évidemment surtout à mes étudiants. J'avais appliqué avec succès ces techniques dans les années 1990. Me voici en 2018, à souhaiter démarrer sérieusement une recherche d'emploi.

A 55 ans, les choses ne se sont pas passées comme je le voulais.

Billet n.58

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.



]]>