Pas de service informatique à proprement parler dans cette PME, mais un responsable informatique qui pilote un prestataire. La fonction support est donc externalisée, comme c’est malheureusement trop souvent le cas quand un consultant vient se mêler des relations humaines.

Le chef d’entreprise m’accueille un peu surpris : “je croyais que la réunion était prévue à 9h”. Je lui explique que j’arrive toujours en avance pour être sur que les conditions d’accueil de la réunion d’expertise sont optimales. Il opine du chef, étant lui-même fort en avance.

Nous échangeons quelques banalités, puis il me dit : “sale affaire quand même”. Je le rassure en lui disant qu’il n’y a pas de raison pour qu’on n’avance pas sur le sujet, même si je n’en sais rien moi-même…

L’entreprise s’est faite dérober 40 000 euros le mois précédent et personne ne comprend comment cela a pu se produire. Plusieurs personnes sont suspectées, la police est en train d’enquêter. Mais le chef d’entreprise est inquiet et voudrait que les choses avancent BEAUCOUP plus vite, car la police n’a pas vraiment encore commencé son enquête. Son avocat lui a conseillé de faire appel à un expert judiciaire pour une mission privée. Son directeur financier m’a contacté et me voilà sur site pour démêler la pelote. Je ne suis pas sur d’y arriver, mais j’ai proposé d’essayer.

L’heure de la réunion est arrivée. Le comité de direction est au complet, je pourrais dire au garde à vous. Ma discussion informelle avec le chef d’entreprise m’a permis de cerner un peu le profil du personnage : autoritaire, exigeant avec lui-même et avec les autres, ne laissant pas ou peu la place aux doutes ou aux hésitations, intelligent mais avec des idées bien arrêtées.

Je regarde les personnes assises autour de la table. Je remarque une certain tension dans l’air. Personne ne parle, tout le monde attend que le patron prenne la parole. Celui-ci laisse une dizaine de secondes de silence s’écouler, puis introduit rapidement le sujet et me passe la main. Je me présente, puis je demande aux personnes autour de la table de se présenter, tout en prenant le temps de noter leurs prénom, nom et fonction. Cela pose la réunion dans un rite qui ne leur est pas habituel.

Puis le directeur financier m’explique qu’une facture de 40 000 euros a été payée à un fournisseur, mais à la mauvaise banque. Ce qui fait que le fournisseur réclame toujours le paiement de sa facture. Classique. J’évoque une arnaque au président ou une usurpation d’identité. Plusieurs personnes hochent la tête. Je me fais remettre des impressions des échanges, j’écoute les explications et les interrogations. Je vois bien que tout le monde a sorti le parapluie et que le chef d’entreprise cherche le coupable de cette catastrophe. Le directeur financier me vante les mérites de ses procédures à double vérification, le responsable informatique me vante les mérites de la sécurité de son parc informatique, de ses serveurs infonuagiques et de ses parefeux “gérés par le meilleur prestataire qui soit”… Bref, l’entreprise est sure, impossible de se faire piéger. Et pourtant…

A la pause de 10h30, je propose discrètement au chef d’entreprise de me laisser gérer la réunion “qui va prendre un tournant très technique ennuyeux” et lui suggère subliminalement de prendre la décision de quitter la salle pour aller gérer des choses plus importantes, ce qu’il fait d’assez bonne grâce (étant bien clair que c’est lui qui a pris cette décision). A la reprise de la réunion, j’annonce aux personnes présentes que compte tenu de la tournure technique que va prendre la suite des opérations, je souhaite ne pas leur faire perdre leur temps et les recevrait individuellement en tête à tête sur des créneaux d’une heure. Tout le monde a l’air un peu plus à l’aise

Je commence à lancer mes filets à grosses mailles.

Je reste seul avec le responsable informatique. Je lui demande de me fournir les impressions des emails avec leurs entêtes complètes. Je lui demande de convoquer le responsable technique du prestataire informatique immédiatement pour une réunion d’une heure dans l’après-midi. Je veux l’accès à tous les logs des équipements : postes de travail, routeurs réseaux, serveurs, téléphonies, parefeux, etc. Il est plus à l’aise qu’en présence de son chef d’entreprise et voit en moi l’un de ses pairs.

Je vois ensuite le responsable administratif et financiers. Je lui pose des questions sur le fonctionnement de son équipe, sur qui fait quoi. Il se lance dans une explication détaillée des subtilités de son art. Je l’arrête rapidement en lui disant que je suis nul en comptabilité/finance et que je souhaite voir rapidement en tête à tête la personne qui a mené les opérations de changement des informations bancaires. Il est un peu dépité, résiste au fait que je sois seul avec son collaborateur. Mais je suis intraitable.

Le responsable informatique revient avec une pile de feuilles d’impression contenant tous les emails échangés. Il reste avec moi pour m’aider à en prendre connaissance et à écrire sur le grand tableau blanc la ligne de temps des échanges, façon FBI. J’ai vu ça dans les séries et c’est vrai que c’est une bonne idée (sauf que c’est difficile à afficher proprement). Je repère un problème dans les entêtes des emails.

Une personne passe la tête par la porte et m’informe être en charge de la facturation. Je change de table en laissant le tas de papier en vrac, demande à l’informaticien de sortir et reçoit les confidences du comptable. “Vous savez, c’est dur de travailler ici. tout le monde est chef, mais nous sommes peu nombreux à faire, vous comprenez ?”. Je comprends. Je lui explique que je suis moi-même un peu chef, et donc très ignorant de son travail et que s’il pouvait me l’expliquer en termes simples. Il sourit et me détaille son activité. Je lui demande s’il se souvient d’une intervention particulière du service informatique dans le mois qui précède, il réfléchit et me signale une intervention assez longue sur son poste par le service informatique. Intrigué, je demande des détails : “Oh, j’avais des soucis avec Excel, et le service support de Microsoft m’a contacté par téléphone et m’a aidé à les régler.”

Le responsable technique du prestataire informatique arrive en retard sur son créneau horaire, mais avec tous les accès techniques. “Nous avons un puits de logs, vous savez”.

J’ai une idée en tête, je vais pouvoir lancer mes filets à petites mailles.

Deux heures plus tard, je crois avoir la solution. Je convoque à nouveau le comptable, mais en présence de l’informaticien et du responsable technique du prestataire. Je lui demande de nous détailler l’intervention du support informatique Microsoft. Et avant que les deux chefs ne réagissent, je leur demande d’écouter attentivement et de laisser parler le sachant.

“Alors voilà, j’ai reçu un coup de téléphone du support Microsoft pour le problème d’Excel que j’avais signalé, et nous avons passé une heure au téléphone. Ils m’ont fait installer un logiciel sur son poste pour pouvoir intervenir à distance, et ils ont fait plein de trucs pour me dépanner”. Je vois la mine déconfite du responsable informatique, mais avant qu’il n’intervienne, je dis de ma voix la plus douce possible “mais avez-vous imaginé que la personne au téléphone puisse ne pas appartenir au support Microsoft ?”. Et là, j’ai vu le visage du comptable se décomposer : “vous voulez dire que c’est moi qui ait donné accès à un pirate à mon ordinateur ?”

Dans ce dossier, un pirate s’est fait passer pour le service support de Microsoft auprès d’un employé et a pu installer un logiciel de prise de contrôle à distance, sans éveiller de soupçons ni d’alerte, parce que la politique de sécurité informatique de l’entreprise n’interdisait pas l’utilisation de ce type de logiciel et par manque de sensibilisation du personnel (et des chefs) à la sécurité informatique. Le pirate a eu tout loisir d’accéder à l’ordinateur, d’analyser les échanges, les procédures et les habitudes. Quand j’ai regardé les entêtes des emails, j’ai remarqué le changement de domaine au moment où le pirate a expliqué le changement de banque et a adressé une facture parfaitement conforme à celle de l’année précédente (mais avec une nouvelle banque). Les outils de messagerie n’affichant pas l’adresse réelle de l’expéditeur, et de toutes façons celle utilisée par le pirate étant très proche de l’adresse de l’utilisateur légitime, le comptable ne s’est pas méfié (pas plus que les différentes personnes en copie des échanges). La procédure de double vérification consistait en des échanges emails “OK” complètement inefficients. Le terrain était prêt pour la catastrophe. Nous avons vérifié, la dernière utilisation du logiciel de contrôle à distance (toujours installé) remontait à la date de paiement de la facture.

J’ai passé plus de temps à expliquer au chef d’entreprise que le comptable était une victime (qu’il fallait défendre) qu’à lui présenter la méthode utilisée par le pirate.

J’ai eu la satisfaction d’apprendre par la suite que tout le monde s’était fait remonter les bretelles, mais que le comptable était toujours en poste. Sans doute le patron a-t-il eu la lucidité de comprendre qu’il n’avait pas tant de sachants que cela dans l’entreprise.

L’article La source de la faille de sécurité est apparu en premier sur Le blog de Zythom.

Je suis souvent contacté par des nouveaux experts judiciaires (sans doute grâce au référencement de ce blog) qui veulent avoir quelques conseils sur “comment ça se passe ensuite”.

Conseil n°1 : Inscrivez-vous à la compagnie pluridisciplinaire de votre cour d’appel.
Il y a de forte chance que vous rencontriez le président de cette compagnie, ou un représentant (quel joli mot), lors de votre prestation de serment. Inscrivez-vous pour au moins la raison suivante : votre adhésion inclut une assurance en responsabilité civile INDISPENSABLE à la réalisation de vos missions d’expertise (et vous ne trouverez pas moins cher tout seul de votre côté). Attention : certaines de vos missions peuvent avoir des enjeux financiers très importants, et au moindre faux pas de votre part, sans assurance… BOOM !

Conseil n°2 : Vous n’aurez aucun ami dans la tempête.
Vous allez vous trouver au milieu d’une guerre procédurale, souvent avec de forts enjeux. Lors des réunions contradictoires, les parties vont s’écharper, et vous feront les yeux doux si elles sentent que votre avis leur sera favorable, mais montreront les dents dans le cas contraire. Or, cela ne doit pas influencer votre avis, sans pour autant vous obliger à un avis tiède qui tente de ménager tout le monde. Mais l’expert n’est pas tout puissant : vous devrez expliquer votre avis, et répondre aux dires d’avocats. Si la situation s’envenime, ne comptez sur personne pour vous défendre : vous serez seul dans cette tempête. Ni le magistrat qui vous a missionné, ni le greffe du tribunal, ni votre compagnie pluridisciplinaire, ni vos confrères experts ne vous aideront (peut-être parfois une parole d’encouragement, ou un regard de compassion). Relisez ce billet si vous n’êtes pas convaincu.

Conseil n°3 : Évitez les comportements à risque.
Madame Marie-Claude MARTIN, quand elle était vice-présidente du TGI de Paris, écrivait sur les experts judiciaires :

[…] plusieurs comportements sont susceptibles d’être observés :
– L’expert sans problème : Je lis la mission, elle rentre parfaitement dans mes attributions, je l’accepte.
– L’expert aventureux, ou téméraire, ou intéressé : La mission ne paraît pas relever de ma compétence, mais elle m’intéresse ; je prendrai un sapiteur ultérieurement […]
– L’expert optimiste qui dit toujours oui : Je suis surchargé, je prends quand même cette mission, je me ferai aider au besoin par l’équipe qui m’entoure […].
– L’expert stressé qui ne sait pas dire non : Je suis surchargé, mais si je dis non, je ne serai plus désigné et je vais rapidement me trouver sans mission.

Soyez l’expert sans problème…

Conseil n°4 : Travaillez le Droit ou mariez vous avec un(e) avocat(e).
Ne croyez pas qu’une formation de quelques semaines va faire de vous un spécialiste du Droit. De la même manière qu’il vous a fallu des années de formation puis de pratique pour établir votre propre compétence, connaître par cœur les articles 263 à 284-1 du code de procédure civile, et les articles 156 à 169-1 du code de procédure pénale, ne fera pas de vous un professionnel de ces questions. Essayer de maîtriser tous les aspects des procédures expertales, c’est bien, mais ne vous faites pas embarquer par plus fort que vous sur les questions de droit. Ce n’est pas ce qui vous est demandé, mais c’est le piège dans lequel rêvent de vous faire tomber tous les avocats quand vous allez les chercher sur leur terrain.

Conseil n°5 : Ne prenez pas les avocats pour des ignorants techniques de votre domaine.
Pour faire court, j’ai croisé des avocats qui en savent plus que moi sur l’informatique en général ou sur la sécurité informatique en particulier. Je peux en citer quelques uns : Maître Alexandre Archambault, Maître Eolas, Maître Alain Bensoussan, Maître Olivier Itéanu, et bien d’autres. L’attitude minimale à prendre avec eux est celle de l’écoute active et d’une certaine modestie, tout en prenant ses propres responsabilités !

Conseil n°6 : Ne faites pas de phobie administrative ou mariez vous avec un(e) comptable.
Il va falloir apprendre à tenir une comptabilité, à faire des factures, à choisir une structure juridique pour permettre tout cela (autoentrepreneur par exemple), comprendre les procédures administratives associées, les déclarations d’impôts, et surtout, surtout, SURTOUT s’armer de patience, de courage et d’opiniâtreté pour comprendre Chorus Pro… Ce système va vous demander des numéros impossibles à obtenir, des informations sibyllines que seuls les grands prêtres connaissent et rejeter impitoyablement toutes vos tentatives farfelues d’obtenir la juste contrepartie de vos diligences. Je vous offre 10 mn de mode d’emploi vidéo.

Conseil n°7 : Demandez des précisions techniques avant d’accepter une mission.
“Examiner l’ordinateur scellé n°12” est une mission un peu vague. Est-ce un ordinateur Windows, un Mac, un AS/400, un Tera-1000-2 ? Les moyens que VOUS mettrez en œuvre A VOS FRAIS ne sont pas les mêmes. Idem pour les téléphones, tout le monde n’a pas une mallette spécialisée d’analyse. Et je ne connais aucun expert ayant réussi à faire passer le coût d’achat de ses équipements d’analyse sur Chorus Pro.

Conseil n°8 : Sécurisez votre environnement informatique d’expertise ou mariez vous avec un(e) RSSI.
Là aussi , pour faire court, imaginez que la police débarque chez vous parce que votre enfant a insulté un ministre sur Twitter, et qu’elle découvre les 150000 images et films pédopornographiques stockés sur votre disque dur dans le dossier TEMP au lieu d’être chiffrés dans le dossier EXPERTISES_PENALES. La nuit va être difficile.

Voilà, j’espère que ces quelques conseils vont sauver votre future activité d’expert judiciaire. Si quelqu’un avait pu me les donner avant de démarrer mes expertises, jamais je n’aurais commencé ^^.

L’article Quelques conseils aux futurs nouveaux experts judiciaires est apparu en premier sur Le blog de Zythom.

Ce billet est la suite de celui-ci et me permet de faire un bilan de cette expérience.

Tout d’abord, je voulais utiliser du matériel d’occasion pour me faire une machine de cassage de mots de passe basée sur les anciennes cartes graphiques de mon gamer de fils. Puis est née l’envie de regarder un peu du côté des cryptomonnaies, pour découvrir cet univers. Enfin, l’idée était de remplacer mon chauffage électrique d’appoint qui me chauffe l’hiver. J’ai donc mené cette expérience tout l’hiver, prolongée jusqu’au mois de mai où j’ai éteint ce mini rig de minage.

La machine

Il s’agit d’un ancien PC dont la carte mère possède trois ports PCI-Express 1x qui me permettent de déporter les cartes graphiques loin du boîtier, grâce à des “Riser PCI” achetés pour mettre les cartes à la verticale.

Si au départ j’ai utilisé plusieurs alimentations séparées, “bricolées” pour démarrer sans être reliées à la carte mère, j’ai fini par récupérer une alimentation unique de 850W qui me permet d’alimenter la carte mère et les cartes graphiques. Notez que j’aurais pu simplement acheter un câble “double alimentation” à 12€ permettant de brancher deux alims ATX sur la même carte mère. Mais bon, les alims étaient vieilles, chauffaient beaucoup et je n’avais pas trop envie de mettre le feu à ma studette…

J’ai utilisé trois cartes graphiques : 2 GTX1080Ti (dont une achetée sur LeBonCoin) et 1 GTX1060, toutes branchées sur leur riser. J’ai ajoutée quelques radiateurs passifs qui traînaient dans mon bazar, afin d’extraire le plus vite possible la chaleur des GPU (en plus des ventilateurs d’origine) et les maintenir à environ 70°C en fonctionnement.

A vu de nez, l’ensemble consomme environ 700Wh, ce qui correspond à un petit chauffage d’appoint électrique. Attention toutefois, celui-ci va fonctionner 24h/24 et 7j/7 : il faut donc qu’il soit utile et permette de gagner quelques degrés par rapport au chauffage collectif de mon immeuble (ce qui est le cas : sans chauffage d’appoint, il fait 18°C dans ma studette l’hiver).

Le choix de la cryptomonnaie et de l’équipe de minage

Après avoir fait pas mal de tests, j’ai choisi de miner de l’Ethereum (ETH) et d’être payé sans frais en Bitcoin (BTC) en participant à l’équipe de minage eth.2miners.com. Il n’est pas nécessaire d’y créer un compte et les frais de participation sont corrects (1%). J’ai choisi d’être payé dès que possible, c’est-à-dire dès que la rémunération de mon système de minage arrive à 0.0005 ETH, ce qu’il atteint tous les 4 jours. Cet hiver, cela correspondait environ à 14 euros tous les 4 jours.

J’utilise le logiciel Gminer qui utilise bien les ressources de ma configuration, là aussi à un coût raisonnable dû aux développeurs (1%).

Enfin j’utilise le logiciel Exodus comme portefeuille crypto pour obtenir une adresse BTC et y stocker mes Bitcoins obtenus pour les blocs ETH minés. J’ai fait le choix d’un portefeuille logiciel installé sur ma machine (et mon téléphone) pour éviter d’utiliser celui fourni par les plateforme (Binance, ZenGo…). Cela demande de bien faire attention à ses sauvegardes.

Le transfert en euros

Mon objectif initial n’était pas de faire des plus-values d’investissements, et donc je pensais transférer rapidement mes Bitcoins en Euros. Mais j’ai été relativement désappointé par l’application ZenGo que j’utilisais initialement (car sans obligation de créer un compte). En effet, il s’est passée 3 heures entre la demande de conversion de mes Bitcoins en Euros et sa réalisation effective par ZenGo, ce qui a fait que j’ai perdu 3% du montant attendu (le BTC avait baissé pendant ces 3h). Ça laisse une impression désagréable, loin de l’idée de l’ordre de vente à la corbeille que je vois dans les films.

J’ai donc fini par me créer un compte sur une plateforme d’échange, et j’ai choisi Binance. J’ai mis un peu de temps à trouver les menus des seules actions qui m’intéressent, mais j’ai fini par comprendre (la plateforme est surtout conçue pour ceux qui veulent trader).

Je transfère donc de temps en temps mes Bitcoins avec Exodus vers Binance, puis je choisis sur Binance le moment de la cotation du BTC la plus intéressante pour faire la conversion en euros vers mon compte bancaire. C’est amusant comment on en arrive à regarder les cours du BTC tous les jours en “espérant” que ça monte (bull market ou marché taureau). Autant dire qu’en ce moment, je ne transfère pas grand chose (bear market ou marché ours).

Au passage, j’ai appris qu’en bourse, on appelle un marché à la baisse “bear market” et un marché à la hausse “bull market”, à cause de la façon dont ces deux animaux se battent : l’ours attaque avec ses griffes de haut en bas, alors que le taureau utilise ses cornes de bas en haut

Ma machine de minage est maintenant éteinte jusqu’à l’hiver prochain, sauf bien sur de temps en temps pour un petit cassage de mots de passe avec hashcat… et ça, c’est une autre histoire.

L’article Se chauffer en minant des cryptomonnaies est apparu en premier sur Le blog de Zythom.

Lorsque son entreprise utilise Google Workspace ou Microsoft 365, le RSSI peut accéder à des outils de supervision fournis par ces deux grands éditeurs. Ces outils donnent accès à des systèmes d’alerte plus ou moins paramétrables qui permettent d’avoir des informations concernant la sécurité informatique des comptes.

Bon, voilà pour la théorie.

En pratique, quand vous devez superviser 30 000 comptes, si vous ne voulez pas être submergé d’informations, il faut “faire confiance” à des règles pré-paramétrées et à des filtres qui vous alertent quand ils repèrent un problème. Il est de plus très difficile d’être expert de chaque outil de supervision et de chacune des briques de sécurité fournies, car les règles d’alerte et les filtres changent très souvent, et sont adaptés par les équipes Google et Microsoft, sans prévenir les équipes de sécurité de leurs clients.

Si en plus vous êtes comme moi en charge de la coordination de la sécurité informatique d’une grande école de l’enseignement supérieure, alors les mois de juin et de décembre sont un peu particuliers… En effet, beaucoup d’utilisateurs se déplacent d’un coup dans le monde entier, ce qui affole les outils de détection. C’est le charme du travail avec une grande population d’étudiants.

Mais si en plus, l’école accueille un très grand nombre d’étudiants étrangers, en provenance d’un grand nombre de pays, alors là c’est le pompon : les outils détectent des connexions en provenance de PAYS A RISQUE : Syrie, Russie, Iran, Irak, Libye, Chine, Tchétchénie, Yémen…

Alors, comme toute l’année, le RSSI prend son bâton de pèlerin, et vérifie que oui, ce compte est bien attribué à une personne qui vit dans ce pays, et que oui, il est probable qu’à ce moment de l’année, cette personne soit rentrée chez elle, même dans ce pays identifié comme PAYS A RISQUE par les outils de détection américain. C’est un travail long et fastidieux, mais qui a le mérite de me faire voyager par procuration.

Et de temps en temps, je tombe sur un compte réellement compromis, en général par un pirate ayant récupéré les identifiant/mot de passe de l’étudiant quand celui-ci les utilise sur d’autres comptes, ailleurs sur la planète, et que ceux-ci se sont faits piratés…

A ce moment-là démarre une autre traque, plus délicate : la recherche des données ayant été compromises, exfiltrées par le pirate. Il faut ensuite prévenir les personnes concernées, faire les déclarations auprès des organismes appropriés (CNIL, dépôt de plainte…).

Mais ça, c’est une autre histoire. Pour l’instant, je rêve de SOC et d’armés d’experts qui pourraient m’aider dans ces tâches parfois un peu absurdes et rébarbatives : tiens, untel est-il vraiment parti en vacances/travail/famille à tel endroit ?

L’article La détection automatique des anomalies est apparu en premier sur Le blog de Zythom.

Ceux qui me suivent depuis le début sur ce blog savent que j’ai un parcours professionnel particulier : diplôme d’ingénieur en poche, j’ai passé une thèse sur les réseaux de neurones comme maître assistant, puis travaillé comme maître de conférences, puis comme professeur-chef de projet informatique dans une école d’ingénieurs généralistes en mode startup (lire cette série de billets), où je suis ensuite devenu responsable informatique, DSI, et enfin directeur technique et informatique.

Puis, en désaccord avec le directeur général sur l’importance des moyens humains à consacrer au développement du numérique, j’ai quitté début 2019 l’entreprise que j’avais contribué à développer, pour rejoindre une magnifique structure où j’apprends à endosser les habits du RSSI.

Mon âge et mon parcours font dire à certains de mes jeunes collègues que je me comporte encore comme un DSI, plutôt que comme un expert technique.

J’ai déjà écrit dans un billet ce que je pensais du profil idéal du RSSI, que je vois comme la fusion d’un expert technique et d’un expert des processus de son entreprise.

Ce que je n’ai pas écrit, c’est comment moi je me situe face à ce profil idéal… Et bien je pense être un DSI expérimenté de petite structure, expert des processus de son ex PME, qui s’est lancé le défi d’apprendre à devenir un expert technique cyber tout en découvrant les processus métiers de sa nouvelle entreprise internationale…

Bref, je suis un débutant en cyber et un bleu dans l’entreprise !

C’est excellent pour la taille des chevilles et de la tête, et cela me rappelle mes débuts dans la recherche quand mon mentor me disait : “Zythom, tout ce que tu as cru apprendre en classes préparatoires et en école d’ingénieurs, il va falloir maintenant le comprendre réellement, et il y a beaucoup de travail !”.

C’est exactement ce qu’il se passe depuis trois ans et demi : beaucoup des “réflexes” que j’avais pu acquérir comme DSI sont à désapprendre pour être mieux appris, et surtout compris dans le nouveau contexte de la sécurité informatique d’une grande entreprise. Il y a un effet d’échelle.

Un exemple ? Prenons le chiffrement du disque d’un ordinateur portable sous Windows. Comme DSI de PME, il m’a suffi de regarder ce que Microsoft proposait comme solution, puis de retenir Bitlocker, de rédiger un mode d’emploi, puis de demander au personnel concerné de chiffrer sa machine, avec mon appui et celui du service informatique. Comme RSSI dans une structure de grande taille, il m’a fallu étudier toutes les solutions avec les experts techniques (beaucoup plus pointus que moi sur le sujet) et retenir avec eux la solution qui pouvait être déployée sur une grande échelle, puis gérée par l’équipe support face à tous les incidents possibles (un utilisateur se trouvant à l’étranger et oubliant sa clé de déchiffrement, par exemple).¹

J’ai encore beaucoup à apprendre, et beaucoup de coups à recevoir, avant de perdre les habits soyeux du DSI pour l’armure cabossée du RSSI. Mais l’aventure est passionnante

1 – Pour la petite histoire, nous avons retenu le logiciel Cryhod qui cochait toutes les cases.

Avec le temps, j’ai réussi à me concentrer sur les missions du RSSI, sans toutefois oublier complètement les contraintes d’un DSI, ni les exigences d’un professeur, et petit à petit, j’ai compris les codes de l’entreprise, et j’ai pu réussir à construire une stratégie d’amélioration de la sécurité informatique, par petits pas.

Mais si je devais donner un seul conseil aux jeunes RSSI qui, comme moi, débutent sur ce marché, c’est de s’inscrire aux deux organismes phares du secteur : le CESIN et le CLUSIF, de participer aux échanges, aux retours d’expérience, et aux salons professionnels.

Pour l’instant, ma soif d’apprendre n’a pas diminué, et je continue de creuser mon sillon.

L’article Le DSI devenu RSSI est apparu en premier sur Le blog de Zythom.