PROJET AUTOBLOG


Zythom

Site original : Zythom
⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Le junior aux cheveux blancs

mercredi 1 mai 2019 à 18:42
C'est une sensation étrange que de repartir de zéro. Je suis pourtant sûr que beaucoup de monde a vécu cette expérience. Un magistrat qui devient vigneron, un commercial dans un grand groupe qui devient chocolatier, ou un salarié qui devient entrepreneur, savent de quoi je parle : ce sentiment de repartir de rien, d'essayer de construire quelque chose sur de nouvelles compétences à acquérir, en faisant le deuil de compétences qui ne servent plus.

Moi, c'est plus simple : de Directeur des Systèmes d'Information (DSI), je suis devenu Responsable de la Sécurité du Système d'Information (RSSI). Ça sonne presque pareil, et puis c'est toujours dans l'informatique.

C'est vrai. Mais ces deux fonctions n'ont presque rien à voir entre elles. Le DSI que j'étais, décidait des orientations des évolutions du système d'information de mon entreprise (le schéma directeur), puis négociait le budget associé, puis mettait en musique les décisions qui en découlaient (les mains dans le cambouis). Et nous faisions des miracles.

Le RSSI a une toute autre fonction, plus spécialisée bien sûr, mais qui demande d'autres compétences. La sécurité informatique est une jeune science où le RSSI est en posture de défense, face aux attaquants de tous poils. Et pour cela, il faut de solides connaissances techniques, sur lesquelles il faut construire de solides connaissances méthodologiques (et l'inverse !).

Quand on vient de sortir d'une école où l'on a appris toutes ces connaissances, c'est "facile" : il ne manque que l'expérience. Cette expérience pourra, par exemple, s'acquérir dans une société de service dédiée à la sécurité, ou à l'ANSSI avec un CDD de trois ans très bien vu sur un CV (petit salaire mais grosse notoriété). Quand on a 55 ans et que sa formation initiale date de plus de 30 ans, c'est une autre paire de manche : l'expérience est là, mais les connaissances techniques et surtout méthodologiques, peuvent laisser à désirer, ou dater quelque peu.

J'ai la chance d'avoir été bien accueilli par une équipe d'ingénieurs qui, passé le moment gênant où ils se demandaient ce qu'allait bien pouvoir leur apporter ce (presque)grand-père, a accepté de m'initier à leur système d'information bien plus complexe que celui que j'avais mis en place dans ma vie professionnelle antérieure.
Et surtout, j'ai bien prévenu que je ne deviendrai jamais aussi bon qu'eux dans leur domaine d'expertise respectif. Ce n'est ni mon objectif, ni ma fonction.

Beaucoup d'entreprises n'ont pas de RSSI et gèrent pourtant malgré tout la sécurité informatique : un administrateur réseau, un développeur logiciel ou un responsable informatique sont des professionnels qui doivent savoir intégrer la sécurité dans leurs activités (et qui connaissent son importance... et ses limites).

Finalement, on peut comparer tout cela à un groupe de musiciens qui composent, s'exercent, se corrigent, s'entrainent et enfin se produisent en public, sur des petites scènes, puis sur des grandes scènes. Ils n'ont pas besoin d'un chef d'orchestre pour leur donner le rythme, l'un d'entre eux s'y colle en général (par exemple le batteur).

Les problèmes peuvent apparaître quand le nombre de musiciens augmente. Dans un grand orchestre, il faut une personne qui donne le rythme. Cette personne n'est pas nécessairement un virtuose d'un instrument (même si elle peut l'être), et surtout, elle ne peut pas remplacer chacun des membres de l'orchestre.

Le RSSI peut être ce chef d'orchestre en matière de sécurité : il coordonne les moyens, les techniques, les méthodes, les procédures, etc. qui permettent d'améliorer la sécurité. Il n'est pas nécessairement expert d'un domaine pointu (pentesteur, admin réseau...) même s'il peut l'être. Mais surtout, il ne peut pas à lui tout seul gérer la sécurité informatique de toute l'entreprise, ni se substituer à tous les professionnels sur lesquels cette sécurité repose. Ma hantise du moment est qu'un certain nombre de personnes de l'entreprise se disent "ah maintenant je ne crains plus rien concernant les attaques informatiques, puisque le RSSI est là !".

De même que l'harmonie musicale d'un orchestre est l'affaire de tous les musiciens, du chef d'orchestre, de la qualité des instruments, de la salle, de l'historique du groupe, la sécurité est l'affaire de tous : l'équipe réseaux, l'équipe de développement, l'équipe support, le RSSI, les moyens financiers et tous les utilisateurs qui manipulent des logiciels et des données.

Pour l'instant, dans mon reboot professionnel, mes seules armes sont ma volonté de mettre le feu à mes neurones, et mes 20 années d'expertises judiciaires où j'ai pu constater in situ beaucoup d'erreurs à ne pas faire, et où j'ai pu étudier les chapeaux noirs pour essayer d'être un chapeau blanc.

Il me faut accepter d'être un junior aux cheveux blancs.
Ad augusta per angusta (Victor Hugo, Hernani, mot de passe des conjurés)

It's the hat

Source : https://zythom.blogspot.com/feeds/8456648062512891270/comments/default


25 ans dans une startup - épilogue

lundi 18 mars 2019 à 05:00
Introduction - billet n.62

Quand j'ai écrit l'introduction de cette série de billets, en juin 2018, je n'avais pas encore trouvé d'emploi, et je ne savais pas comment la série allait se terminer. J'avais besoin d'écrire sur tout ce que j'avais ressenti pendant cette période pour évacuer tout ce mal être qui menaçait de m'envahir.

J'avais à l'époque deux chemins possibles : soit je trouvais un nouveau travail passionnant, soit je ne trouvais pas de nouvel emploi et il me fallait transformer celui que j'occupais en travail passionnant.

Après tout, j'ai parfaitement conscience que le différent stratégique que j'ai eu avec mon directeur général est assez banal, même si je l'ai mal vécu, et que j'aurais pu/dû le surmonter.

Lorsque j'ai donné ma démission, j'ai tenu à ce que les raisons de mon départ ne soient connues que par la DRH et le directeur général. Pendant sa période de préavis, le salarié conserve un devoir de loyauté envers son employeur. Je ne voulais pas semer la zizanie dans la startup, en étalant un différend stratégique qui pouvait décrédibiliser la direction, je n'ai donc parlé à personne des raisons exactes de mon départ, expliquant qu'une proposition d'emploi que je ne pouvais pas refuser m'avait été faite dans une belle entreprise (ce qui n'est pas complètement faux).

C'est aussi la raison de l'arrêt de la publication des billets en octobre 2018 et du mystérieux billet n°37.5 qui se terminait par ces mots :
2019 sera pour moi une année de grands changements. Le blog va également changer d'orientation. J'en parlerai dans l'épilogue de la série des "25 ans dans une startup". Merci pour votre patience.
J'ai effectué ma période de préavis de trois mois, en terminant le plus proprement possible tous les projets que j'avais engagés, en formant du mieux que je pouvais, comme je l'ai toujours fait, mon nouveau chef de projets. J'ai également eu la chance de pouvoir côtoyer ma successeure pendant deux mois et lui transmettre le plus d'informations possibles, y compris tout le savoir informel accumulé pendant 25 ans. J'ai pu la présenter aux réseaux professionnels d'échanges de bonnes pratiques auxquels j'ai participé et que j'ai pu apprécier pendant tant d'années.

Le plus difficile pendant cette période de préavis a été de ne pas pouvoir démarrer les projets importants de transformation numérique que j'avais détaillés dans le schéma directeur présenté au personnel de la startup, faute de pouvoir en assumer le bon déroulement et les difficultés. Les derniers jours ont également été très éprouvants, car je quittais certaines personnes que j'avais beaucoup appréciées (et sans pouvoir leur dire pourquoi j'abandonnais le navire).

Et au mois de janvier 2019, j'ai donc démarré un nouveau métier, en prenant un poste de RSSI dans une grande école de commerce qui m'a fait confiance. Le défi est important, car non seulement je change de métier, mais aussi d'entreprise, de collègues, de région, de mode de vie... Jusqu'ici tout va bien, et l'avenir dira si j'ai bien fait ou si je me suis lamentablement vautré... L'année 2019 sera pour moi, de toutes manières, une année de grands changements. Je vais commencer par essayer de finir correctement ma période d'essai...

En écrivant cette histoire, je ne pensais pas qu'elle aurait autant de succès parmi les lecteurs de ce blog. J'en ai été surpris. Il s'agissait surtout pour moi d'un travail d’autothérapie par l'écriture, mais je ne vais pas me plaindre, et j'espère que quelques-uns d'entre vous, surtout parmi les plus jeunes, pourront en tirer des leçons profitables. Merci aussi pour tous vos emails de soutien, les échanges et les interactions.

Le blog va changer d'orientation. La thématique va changer : je voudrais partager avec vous ma découverte du monde de la sécurité informatique. C'est un monde où la discrétion est reine, où les échanges sont plutôt souterrains et où la technique est très importante. C'est drôle, c'est exactement comme l'univers des experts judiciaires...

Justement, à propos des expertises judiciaires, du fait des difficultés que je rencontrais dans la startup, j'ai énormément diminué mon activité expertale, en renvoyant toutes les demandes vers des experts compétents et disponibles. Je vais attendre de voir un peu comment se passe cette année 2019, mais sans doute m'acheminé-je doucement vers une fin d'activité et un non-renouvellement de mon inscription sur la liste des experts judiciaires. Quand j'ai commencé en 1999, j'avais 35 ans et je ne comprenais pas comment le suivant en âge de la liste pouvait avoir 20 ans de plus que moi dans un domaine aussi technique et changeant que celui de l'informatique. J'ai aujourd'hui cet âge-là et, même si je me sens encore dynamique, je pense qu'il faut savoir laisser la place et ne pas finir par porter ce titre d'expert judiciaire uniquement pour la carte de visite. On verra bien. Je me donne un an pour prendre une décision.

Concernant le télétravail, c'est un sujet dont je parlerai dans un billet dédié, tant j'ai été surpris par la difficulté que l'auto-discipline demande. Heureusement, j'ai été bien conseillé et je ne m'en sors pas trop mal.

La téléfamille, c'est plus difficile. Là aussi j'en parlerai dans un billet dédié.

Merci à tous ceux et à toutes celles qui m'ont lu jusqu'ici.
Je transmets également mon bonjour aux anciens collègues qui me lisent ici (j'ai les noms ;-)

A bientôt pour de nouvelles aventures.

Tweet du 5 janvier 2019. Maintenant vous faites partie de ceux qui savent ;-)

Source : https://zythom.blogspot.com/feeds/3899966031385702868/comments/default


25 ans dans une startup - billet n.62

vendredi 15 mars 2019 à 05:00
Introduction - billet n.61

Je prends quelques jours de réflexion, je discute beaucoup avec mon épouse et nous prenons une décision.

Je ne peux pas envisager de rater une telle opportunité.
J'ai besoin de me passionner pour mon travail.
J'ai besoin d'apprendre en permanence et de progresser.
J'ai besoin d'avoir les neurones en feu tous les jours.

Je vais devoir trouver une chambre d'étudiant en région parisienne et faire l'aller-retour (2 x 450 km) tous les week-ends, pendant les 10 prochaines années. Je vais sacrifier 20% de mon salaire, alors que la vie parisienne est 15% plus chère. Je vais quitter le confort de mes repères, de mes savoirs, de mes certitudes.

Mais je n'aurai plus de management à faire, j'aurai des objectifs clairs et les moyens de les atteindre. Je pourrai travailler 50 heures par semaine sans craindre de voir tout mon travail s'écrouler. Je travaillerai avec des experts techniques de haut niveau. J'apprendrai un nouveau métier. Je découvrirai les affres et le charme du télétravail. Je gouterai à la joie des retrouvailles tous les week-ends avec l'Amour de ma vie.

Bref, un nouveau monde s'offre à moi, plein de défis à relever. J'ai 55 ans et tant de choses à apprendre. Sans la certitude d'y arriver.

Je me sens revivre.

J'écris ma lettre de démission que je remets le lendemain en main propre à mon directeur général.

J'aurai passé 25 ans dans une startup.

--oOo--   FIN   --oOo--

Épilogue

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Extrait de http://salemoment.tumblr.com/
avec l'aimable autorisation de l'auteur Olivier Ka


Source : https://zythom.blogspot.com/feeds/3988895048184905583/comments/default


25 ans dans une startup - billet n.61

jeudi 14 mars 2019 à 05:00
Introduction - billet n.60

Depuis de nombreuses années, je fréquente un réseau social professionnel, sur lequel j'ai beaucoup de contacts : le réseau LinkedIn. Ce réseau dispose d'un système intégré d'offres d'emploi. C'est assez bien fait et j'ai pu contacter pas mal d'entreprises par ce biais.

L'une d'elle proposait un poste de RSSI dans un univers que je connais bien : l'enseignement supérieur privé. J'étudie attentivement l'offre, et j'arrive parfaitement à me projeter dans la fonction. J'envoie un CV et une lettre d'accompagnement.

Fidèle à ma technique, je prends contact au bout de quelques jours avec le service RH pour un suivi de ma candidature. L'accueil est sérieux, le suivi personnalisé. Un entretien téléphonique avec le DSI auquel le poste est rattaché est programmé. Le jour J, l'entretien se passe bien et le courant aussi.

Un deuxième entretien se déroule dans l'école située en région parisienne. Le poste est bien défini et je connais bien les difficultés et subtilités de l'univers de l'enseignement supérieur. Il n'y a pas de surprise a priori.

Un troisième entretien est programmé avec le CDO de l'entreprise. Entretien parfait où mon interlocuteur me laisse présenter mes arguments de motivation, mes lacunes et mes qualités. J'ai enfin le sentiment d'être écouté et entendu. Je joue la carte de la transparence pour ne pas laisser de place aux doutes ou aux non-dits : je ne suis pas un spécialiste technique pointu, mais j'ai l'expérience de l'informatique et de l'environnement pédagogique de haut niveau. J'ai la motivation du débutant et l'expérience de l'ancienneté.

Quinze jours après, j'apprends que, cette fois, j'arrive en tête de la "short list" : j'ai une promesse d'embauche et cinq jours pour donner ma réponse.

Billet n.62

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.



Source : https://zythom.blogspot.com/feeds/8287162572800723489/comments/default


25 ans dans une startup - billet n.60

mercredi 13 mars 2019 à 05:00
Introduction - billet n.59

Les offres se suivent, les entretiens aussi. Je suis souvent retenu pour un deuxième, puis un troisième entretien, mais à chaque fois un autre candidat est retenu. Je ne baisse pas les bras et je continue à chercher le job qui correspondrait à mes envies : soit DSI dans une petite structure, soit quelque chose autour de l'expertise judiciaire, soit RSSI dans une entreprise où je pourrais trouver ma place.

Un follower Twitter me fait suivre une offre particulièrement intéressante : un poste d'assistant spécialisé informatique est ouvert depuis plusieurs années et non pourvu dans... la section de lutte contre le terrorisme du parquet de Paris.

Oui, oui, vous avez bien lu. LA section C1 dite pôle antiterroriste...

Incrédule, j'envoie un email avec mon CV et une lettre de présentation. Je reçois une réponse et un questionnaire à remplir. Puis suit un entretien téléphonique. Le courant passe bien, mes motivations sont comprises, et j'ai parfaitement conscience des enjeux techniques et humains.

Je reçois une convocation pour un entretien avec plusieurs magistrats de ce service, dont la cheffe de la section de lutte contre le terrorisme, les assistants spécialisés cybercriminalité et la personne en charge du recrutement.

L'entretien se déroule dans le nouveau palais de justice de Paris.

Le jour J, je me présente à l'accueil, avec deux heures d'avance. La personne de l'accueil me remet un badge visiteur et m'explique le chemin à suivre pour monter dans les étages jusqu'à celui du cabinet du Procureur de la République.

Comme je suis en avance, je me dis qu'il est judicieux de faire un repérage discret des lieux avant l'entretien. Je prends donc la direction de la colonne d’ascenseurs indiquée par l'accueil. Je badge aux différents lecteurs qui se présentent à moi, jusqu'à me trouver face à un ascenseur qui ne semble pas capable de m'amener au 26e étage. Ce n'est pas grave, pensé-je en mon for intérieur, je n'ai qu'à monter et changer d’ascenseur... Erreur : je me suis retrouvé ensuite face à d'autres ascenseurs qui ne semblaient pas vouloir reconnaître mon badge. J'ai pris mon mal en patience, en essayant de prendre un air intelligent, et j'ai attendu qu'un ascenseur s'ouvre pour enfin arriver à bon port.

Une fois au 26e étage, je pousse une porte qui semble m'amener vers le cabinet du procureur. Je me retrouve entre deux portes, dans un sas. Et bien entendu, mon badge n'ouvre aucune des deux portes... Je repère alors un interphone et sonne en espérant que quelqu'un va répondre. Rien ne se passe.

J'attends, en essayant vainement de prendre un air intelligent.

Au bout de 10mn, une personne entre dans le sas et me découvre en train d'attendre. Je crois qu'elle en rigole encore : une heure et demie d'avance sur son rendez-vous, bloqué dans un sas, à faire peur au personnel.

J'ai fini par patienter en salle d'attente. Les vigiles de la vidéosurveillance doivent encore se souvenir de cette scène étrange d'un gugusse prenant en photo la salle d'attente sous toutes ses coutures et Paris vu du haut du Palais de Justice :-)

L'entretien se déroule parfaitement. Je suis évidemment impressionné par les personnes présentes. Travailler avec elles serait un honneur pour moi.

Le poste est a peu près réparti en quatre parts égales :
- Forensic : reprise d’analyse de supports informatiques
- OSINT : recherches internet diverses et variées pour documenter les dossiers
- Assistance/expertise quotidienne pour les magistrats et les enquêteurs
- Participation groupes de travail, représentation, etc…
Le candidat idéal doit savoir un peu tout faire, sans être forcément un spécialiste dans tout.

Le statut du poste est conforme à ce qui était indiqué dans l'offre parue sur la bourse interministérielle de l'emploi public : les assistants spécialisés sont recrutés par voie de contrat, en qualité d'agent contractuel de catégorie A, pour une durée de 3 ans renouvelable.

Je rentre dans ma province profonde avec les yeux qui brillent comme quelqu'un qui rêve depuis tout petit de devenir pompier et qui est à la porte de la caserne...

Quelques jours plus tard, je reçois le contrat d'engagement à durée déterminée, et découvre un point qui avait échappé à ma sagacité : le contrat est d'une durée de 3 ans renouvelable une seule fois.

A 54 ans, pour mettre mes compétences au service de mon pays dans la lutte contre le terrorisme, je dois démissionner de mon poste de salarié du privé, pour un CDD de 6 ans maximum. C'est la perspective annoncée est d'être chômeur à 60 ans (ou à 57 si les budgets et mon poste sont supprimés). Je n'ai pas de corps de rattachement à réintégrer...

La mort dans l'âme, je me vois obligé de décliner l'offre malgré son intérêt évident.

Putain, intégrer le pôle antiterroriste...
Je continue mes recherches.

Billet n.61

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.



Source : https://zythom.blogspot.com/feeds/6113941511314320772/comments/default