Formations pour directeur de projet

Salut,

pour moi, si je réfléchis côté DevOps pour un directeur de projet, je dirais plutôt qu'il faut faire une certif Méthode Agile/Scrum, dont le DevOps est un outil.

Pourquoi ? :

• Si je lis entre les lignes, tu n'es pas assez technique pour monter une chaine CICD ou déployer de l'infra en Terraform. Donc, tu ne peux probablement pas prétendre faire du DevOps.

• Par contre, tu es tout à fait capable de comprendre les principes du DevOps et te mouvoir dans un milieu utilisant le DevOps. Or, à un niveau de manager, il faut forcément être rompu à la méthode Agile, aux cérémonies, etc.... Quand quelq'un va te parler d'une user story et d'un planning poker, il vaut mieux savoir de quoi il s'agit.

Si je réfléchis côté RSSI pour un directeur de projet, ça me semble vraiment être une très bonne option. Attention, il faut s'accrocher pour monter en compétence niveau technique :

• Tu apprends le B-A-BA de la cyber. Réseau, firewall, CVE, ingénierie sociale, chiffrement, etc....

• Tu mets en pratique sur Linux Kali en utilisant les outils du cyberattaquant (Nmap, Metasploit, etc....)

• Tu mets en place un Rapid7 et tu attaques tes propres machines.

• Tu réfléchis longuement pour éditer une PSSI (Politique de Sécurité des Systèmes d'Information). Tu seras nécessairement attendu sur ce point.

Pour moi, il y a probablement 2 mois de travail pour monter en compétence. Pour mon compte, j'ai acheté un PC puissant capable de supporter 4 ou 5 VM. (PC avec 16 coeurs et 64 Go de RAM).

Je pense sincèrement que nous sommes encore au début du processus Cyber. Il y a de la place pour beaucoup de monde pour devenir RSSI. C'est ton organisation et ta vision qui feront la différence.

Bonjour "Steph12",

Vous êtes "Directeur de Projet" (Métiers ? IT ?) ... Je subodorerais "IT" car le forum est plus orienté "IT".

Vous avez plusieurs solutions d'évolutions :

• Directeur de Programme

• PMO (Project Management Officer)

• Scrum (Master)

• Management (Infra/cloud, Technique, Exploitation, Applications)

• Formateur (on y pense rarement et c'est bien dommage)

Revoilà le RSSI et les légendes urbaines ou lunaires .... Il s'agit d'une fonction SI et non d'un métier (même si tout le monde veut que ce soit un métier, d'ailleurs, il n'y a pas de formation académique validée par l'Etat à ce sujet car il y a encore tout un tas de polémiques "puériles" à évacuer) et ce n'est près de s'améliorer avec la "tonne" de nouveaux métiers dans ce vaste secteur de la sécurité globale (sûreté/sécurité/cyber/...). Sans exagérer, à chaque nouvelle "trouvaille" cyber, on invente un nouveau profil métier ou IT (actuellement, on arrive à près de 120 qu'il va falloir un jour élaguer).

Un petit rappel :

• Le RSSI (Responsable de la Sécurité des Systèmes d'Information) est le "bras armé technique"

• D'un CISO (Chief Information Security Officer) qui lui est plus orienté fonctionnel métiers

  On rencontre ces deux fonctions dans différentes tailles de structures (qu'elles soient nationales ou internationales).

• Dans les structures plus légères, le RSSI/CISO ne font souvent qu'un (c'est un peu plus "casse-figure" pour être poli).

• De plus, dans RSSI, il y a le "R" de "Responsable", vous vous engagez potentiellement sur un siège éjectable à base de tonneau de poudre noire que vous soyez freelance ou pas. En ce moment, la position RSSI n'est pas si enjouée ou enjouable que cela (cochon qui s'en dédit !).

• La responsabilité fait peur et c'est normal ... Ce genre d'activités est soumise à astreintes (même en freelance) régulières et votre N+1 est la DG ou ou la DAF (au pire).

• Le RSSI doit avoir "plus d'un tour dans son sac" et travaille avec toutes les entités et secteurs de l'entreprise : c'est, par défaut, l'empêcheur de "tourner en rond", le "casse-quelque chose de précieux", l'enquiquineur public n°1, le cynorrhodon (ou "poil-à-gratter) de la sécurité SI/Métier, l'agent de liaison du DPO (Data Protection Officer) et du CISO, l'entreteneur des bonnes relations avec la GRC (Gouvernance/Gestion des Risques et de la Conformité), l'entremetteur avec l'équipe "Juridique" et si en plus, vous travaillez dans des domaines industriels, on peut encore en rajouter d'autres ... Bref, si il est comme "bibi", vous n'en serez pas débarrassé de sitôt : je suis plutôt du genre "pénible" (mais c'est l'expérience).

• Le RSSI peut gérer plusieurs facettes : faire "mumuse" avec sa "Kali", donner à manger des trames réseaux à son inséparable pote le "Shark", se faire un rail "de flux ftp", aller au bal masqué déguisé en diode réseau industrielle (il va se faire un tas d'amis "IDS", de Firewall, etc...).

• Une fois qu'il aura trop bu et/ou trop mangé, il va "déguster" pour gérer les crises (de foi, foie, foix) jaunes ou cirrhosés du Système d'Information et avec la "gueule de bois" en perspective, il sera en première ligne des négociations et des communications et devra s'interfacer avec les autorités (prévoir l'éthylotest) car comme pour la circulation, certains sont sympas (comme Max avec les Routiers sur RTL) et d'autres beaucoup moins.

• Le RSSI doit faire beaucoup d'administratif (management, budget à défendre, formations, vie quotidienne, encadrement, pourparler, navigation en eaux troubles, passage de crème, "souplesse city"...) et de la documentation en tous genres (PSSI, GPSSI, Directives, Chartes, ...), organiser des campagnes de sensibilisation, de mise en situation, de simulation, de tests cyber, de faux phishing, de "serious games" ... il peut faire de la revue de code de sécurité .... Il fouine, met son "museau de musaraigne ou de belette ou de furet" là où il n'est pas attendu ou pas entendu, etc ... et rêve de piquer le poste du DPO car cela lui faire une entrée dans la dure maison "Métiers", là où tout se "trame", là où soit disant, la sécurité freine les envies d'innovations.

• Il y a certes pléthore de formations "RSSI" pour la couche de peinture de base et ce n'est pas en 5 jours ou en 2 mois que l'on se targue d'être un RSSI ou un CISO car contrairement à ce que beaucoup pensent de nos métiers (RSSI/CISO), nous sommes des "couteaux-suisses" et des "bestioles à x-têtes ou pattes", rares donc coûteuses, enquiquineuses et tout le "toutim" et nous avons une petite manie, c'est d'appuyer là où ça fait mal, là où c'est douloureux et savoir habilement manoeuvrer pour se rendre "indispensable" tout en surveillant ses arrières, comme dans l'équipe de la Patrouille de France, là où le "Charognard"' se trouve (à gauche du chef de patrouille - à la moindre erreur du Chef de Patrouille, le Charognard peut, en plein vol, prendre la place par autorité, même si il est moins gradé - ils sont tous à minima d'anciens pilotes de chasse de combats : lieutenant, capitaine, lieutenant-colonel ou colonel) et après la Patrouille de France, ils finissent pilote de bombardier d'eau (Canadair est une marque/modèle). Le revers de la médaille, c'est que vous êtes trop (très) souvent détestés comme (ou plus que) le DPO ...

• Il y a 2 niveaux dans la fonction RSSI : s'occuper du "Top Magement" (ceux qui ont les finances) et du "Down Management" (les "petites mains de l'ombre). Quand on peut faire les 2, c'est bien. Mais il arrive que vous soyez seul, perdu au milieu d'un désert, infesté de bestioles répugnantes et visqueuses avec votre modeste et humble personne car les soft skills n° 1 & 2, d'un RSSI ou d'un CISO, sont l'humilité et la remise en cause permanente.

• N'oublions pas que le RSSI/CISO sort obligatoirement de ses zones de conforts et se doit d'être au top de son art : certifications, formations continues, veilles techniques/technologiques/juridiques/judiciaires/règlementaires/normalisations/forums/salons car la sûreté/sécurité/cyber ne se limite pas qu'au Web et heureusement d'ailleurs.

• Tout cela m'anime depuis presque 40 ans, je peux donc en parler en connaissance de cause et d'effets, dans différentes vies et secteurs d'activités.

En espérant avoir contribué à des pistes et éclairer quelques lanternes obscures des mythes et légendes urbaines, campagnardes, de la Savane ou des Steppes ou bien encore des montagnes.

Bien à vous,

Yanolezard.