25 ans dans une startup - billet n.59
Zythom - Zythom, 12/03/2019
Introduction - billet n.58
Parmi les rêves fous que je faisais, en lien avec mon évolution professionnelle, revenait souvent la fonction de RSSI, c'est-à-dire Responsable de la Sécurité des Systèmes d'Information. Si je n'ai clairement pas le niveau technique d'un pentester, ou d'un participant à un concours de hacking, j'ai l'expérience d'un expert judiciaire qui a mené pendant 20 ans des audits informatiques, souvent dans le domaine de la sécurité.
Alors, quand cette offre d'emploi pour un poste de RSSI dans un grand groupe français du CAC40 m'a été présentée par un lecteur du blog, j'ai étudié la question avec intérêt.
Voici la fiche de poste qui m'a été présentée :
Missions Principales :
• Garantir la protection de nos données, applications, infrastructures IT et Réseau contre les cyber-risques
• Évaluer les risques et auditer la vulnérabilité IT
• Assurer la veille technologique sur la sécurité IT et les standards IT
• Définir et suivre l’application des normes de sécurité IT de l'entreprise en particulier lors du choix des solutions (contrats software et communication)
• Participer aux déploiements de solutions innovantes applicatives en apportant les moyens de protection appropriés
• Organiser un comité trimestriel de Sécurité des Infrastructures avec l’ensemble des sociétés de l'entreprise, en collaboration avec le responsable Telecom de l'entreprise
• Participer à la réalisation du budget Infrastructure sur son périmètre de responsabilité
• Suivre l’application (par les sociétés de l'entreprise) des standards de sécurité Infrastructure et réseaux indiquées dans la PSSI (15 security rules, SOC…)
• Définir la future stratégie de Sécurité de l'entreprise à mettre en œuvre après TSA
• Assurer la relation avec les fournisseurs de matériel, logiciel et services définis dans le portefeuille de standards et sécurité IT.
• Piloter en particulier la prestation de SOC délivrée par le partenaire, les comité sécurité avec les infogérants et les chaine d’alertes associées
• Animer le réseau Sécurité IT en relation avec les filiales et apporter un support technique aux IT locaux et aux IT Industriels sur la sécurité
• Définir, suivre les indicateurs de sécurité IT (KPI) et les communiquer à la DSI
• Définir la charte de sécurité IT et en assurer la mise à jour et la promotion en relation avec la Communication Interne et les IT Locaux
Compétences requises (techniques, …) :
Maitrise des technologies Microsoft
Maitrise de l’état de l’art en matière de cyberdéfense
Anglais +
Rigueur et sens de l'organisation
Fonctionnement et animation en réseau
Disponibilité étendue
Résistance au stress, engagement et orientation résultat
Communication interne (communauté IT globale et Directions Générales & Métiers)
Le premier entretien (téléphonique) s'est bien déroulé et mon interlocuteur était attentif et précis dans ses questions/réponses. J'ai ainsi pu franchir le premier tri des candidats.
Le deuxième entretien se faisait sur place, dans l'entreprise, dans le quartier d'affaire de la Défense du Grand-Paris. J'arrive en avance, je cherche mon chemin, je me perds entre les tours, je trouve l'entrée de la grande tour de l'entreprise, je passe la fouille du sas d'entrée, j'obtiens mon badge visiteur, j'attends que quelqu'un descende d'un des étages pour venir me chercher...
L'entretien se passe très bien, avec mon futur chef. Il répond à toutes mes questions, et je joue la carte de la franchise. L'entretien se termine au bout de deux heures. Je suis impressionné par les enjeux du poste, par la taille de l'entreprise, par les moyens mis à la disposition du RSSI.
Dix jours plus tard, j'apprends que je suis classé en première position sur la "short list" des trois candidats retenus.
Je reçois le contrat et la proposition financière.
J'étudie longuement le saut que je m'apprête à faire: réduction de salaire, déménagement sur Paris, changement d'entreprise, de métier et de fonction.
Puis je me rends compte que je n'ai pas les clés pour réussir: je n'ai jamais travaillé dans un grand groupe, je n'en connais pas les codes, la culture. Au moment de signer, je n'arrive pas à me projeter.
Je me suis vu plus fort, plus beau que je ne suis en réalité.
Je sais que ce poste est trop gros pour mes épaules.
Réaliste, je refuse la proposition.
Je continue mes recherches.
A suivre...
--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.
Parmi les rêves fous que je faisais, en lien avec mon évolution professionnelle, revenait souvent la fonction de RSSI, c'est-à-dire Responsable de la Sécurité des Systèmes d'Information. Si je n'ai clairement pas le niveau technique d'un pentester, ou d'un participant à un concours de hacking, j'ai l'expérience d'un expert judiciaire qui a mené pendant 20 ans des audits informatiques, souvent dans le domaine de la sécurité.
Alors, quand cette offre d'emploi pour un poste de RSSI dans un grand groupe français du CAC40 m'a été présentée par un lecteur du blog, j'ai étudié la question avec intérêt.
Voici la fiche de poste qui m'a été présentée :
Missions Principales :
• Garantir la protection de nos données, applications, infrastructures IT et Réseau contre les cyber-risques
• Évaluer les risques et auditer la vulnérabilité IT
• Assurer la veille technologique sur la sécurité IT et les standards IT
• Définir et suivre l’application des normes de sécurité IT de l'entreprise en particulier lors du choix des solutions (contrats software et communication)
• Participer aux déploiements de solutions innovantes applicatives en apportant les moyens de protection appropriés
• Organiser un comité trimestriel de Sécurité des Infrastructures avec l’ensemble des sociétés de l'entreprise, en collaboration avec le responsable Telecom de l'entreprise
• Participer à la réalisation du budget Infrastructure sur son périmètre de responsabilité
• Suivre l’application (par les sociétés de l'entreprise) des standards de sécurité Infrastructure et réseaux indiquées dans la PSSI (15 security rules, SOC…)
• Définir la future stratégie de Sécurité de l'entreprise à mettre en œuvre après TSA
• Assurer la relation avec les fournisseurs de matériel, logiciel et services définis dans le portefeuille de standards et sécurité IT.
• Piloter en particulier la prestation de SOC délivrée par le partenaire, les comité sécurité avec les infogérants et les chaine d’alertes associées
• Animer le réseau Sécurité IT en relation avec les filiales et apporter un support technique aux IT locaux et aux IT Industriels sur la sécurité
• Définir, suivre les indicateurs de sécurité IT (KPI) et les communiquer à la DSI
• Définir la charte de sécurité IT et en assurer la mise à jour et la promotion en relation avec la Communication Interne et les IT Locaux
Compétences requises (techniques, …) :
Maitrise des technologies Microsoft
Maitrise de l’état de l’art en matière de cyberdéfense
Anglais +
Rigueur et sens de l'organisation
Fonctionnement et animation en réseau
Disponibilité étendue
Résistance au stress, engagement et orientation résultat
Communication interne (communauté IT globale et Directions Générales & Métiers)
Le premier entretien (téléphonique) s'est bien déroulé et mon interlocuteur était attentif et précis dans ses questions/réponses. J'ai ainsi pu franchir le premier tri des candidats.
Le deuxième entretien se faisait sur place, dans l'entreprise, dans le quartier d'affaire de la Défense du Grand-Paris. J'arrive en avance, je cherche mon chemin, je me perds entre les tours, je trouve l'entrée de la grande tour de l'entreprise, je passe la fouille du sas d'entrée, j'obtiens mon badge visiteur, j'attends que quelqu'un descende d'un des étages pour venir me chercher...
L'entretien se passe très bien, avec mon futur chef. Il répond à toutes mes questions, et je joue la carte de la franchise. L'entretien se termine au bout de deux heures. Je suis impressionné par les enjeux du poste, par la taille de l'entreprise, par les moyens mis à la disposition du RSSI.
Dix jours plus tard, j'apprends que je suis classé en première position sur la "short list" des trois candidats retenus.
Je reçois le contrat et la proposition financière.
J'étudie longuement le saut que je m'apprête à faire: réduction de salaire, déménagement sur Paris, changement d'entreprise, de métier et de fonction.
Puis je me rends compte que je n'ai pas les clés pour réussir: je n'ai jamais travaillé dans un grand groupe, je n'en connais pas les codes, la culture. Au moment de signer, je n'arrive pas à me projeter.
Je me suis vu plus fort, plus beau que je ne suis en réalité.
Je sais que ce poste est trop gros pour mes épaules.
Réaliste, je refuse la proposition.
Je continue mes recherches.
A suivre...
--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.