Le "blues" du DPO / RSSI
Il n’aura sans doute pas échappé au lecteur (même distrait) que votre serviteur œuvre dans l’ombre pour contribuer à protéger les données (souvent personnelles, mais pas que) d’entreprises et d’individus, comme RSSI et/ou DPO. J’en vis depuis 2014, et j’y contribue bénévolement depuis 2006. Et quand bien même j’aime ce que je fais, quand bien même je pense que c’est indispensable, ce n’est pas simple, ni rose, tous les jours. Je vais tenter de vous expliquer pourquoi.
C’est donc un billet très personnel et subjectif, mais qui devrait refléter assez fidèlement mon regard actuel sur mon métier et le sens qu’il porte, ou devrait porter.
Et aussi sûr qu’un article de blog n’est pas le moyen le plus adapté pour échanger, je reste disponible par courriel (passez par le formulaire de contact 🙂 ), Riot Element (@maxauvy:matrix.drycat.fr), ou éventuellement le compte Twitter de ce blog (@openfreax). Oh, et je suis régulièrement de passage sur #fediverse de Geeknode. Au pire, invoquez-moi.
« En fait, on sait pas trop ce que tu fais »
Je pense que ça résume bien la vision du RSSI / DPO de la part du quidam. J’y ai mis des guillemets car c’est une citation : c’est ce que j’entends souvent aux réunions de famille, à la maison, et parfois même au travail.
Et parfois, je ne sais pas répondre. Parce que toutes mes tâches du quotidien, elles sont invisibles au sein de l’entreprise, et absolument pas ancrées dans la réalité de M. Tout-le-monde. Parce que la « culture cybersécurité » est loin d’être répandue, et qu’on ose rien demander de peur d’un refus ou de conditions. Parce que quand on sait qu’il existe, le RSSI / DPO est un frein, un empêcheur de tourner en rond.
Et quand je pourrais répondre, je n’ose pas. Parce que le métier a changé. Parce que le cadre dans lequel il s’exerce a changé. Parce que j’ai aussi des valeurs et des convictions sur lesquelles je ne transigerai pas et qui font qu’aujourd’hui, je patauge en pleine dissonance cognitive. Parce que depuis que je suis passé du côté organisationnel de la Force, non seulement je n’ai pas plus le sentiment de faire quelque chose d’utile, de tangible/mesurable et de reconnu, mais je perds même le lien avec « la technique ». Mon quotidien depuis 2-3 ans, c’est Word, PowerPoint et Outlook. Et vaguement Excel pour les grands jours, ceux où je suis au max du fun et fais des macros. Ah, et des réunions en visio. Mais pas sur Zoom, faut pas déconner quand même.
Sensibiliser n’est pas une réponse suffisante
C’est une condition nécessaire, certes, mais pas suffisante. Je vois au moins 3 étapes essentielles : sensibiliser (expliquer simplement les risques et menaces), proposer des solutions (qui soient utilisables et adaptées : forcer un KeePass moche et en anglais, sans ateliers de découverte et sans extension pour le navigateur, c’est le meilleur moyen de braquer l’utilisateur, surtout quand on a un KeePassXC ou un Buttercup en face), et abolir la frontière pro/perso dans l’hygiène numérique.
Pour ce dernier point, je vais préciser un petit peu. Le confinement et le télétravail forcé qu’il a induit ont mis en exergue un comportement connu mais négligé : les gens ne sont pas des machines qui segmentent à 100% les activités professionnelles et personnelles. L’ordinateur professionnel sert aussi à des tâches personnelles à la maison (car souvent plus rapide que le PC familial, et déjà allumé), et au travail on fait tous un « drive » de temps en temps, ou un tour sur un réseau social, bref un truc où on connecte un compte pas contrôlé par l’entreprise.
Et puisqu’on mélange le tout, qu’on connecte son téléphone pro au Wi-Fi de la maison, qu’on ouvre des documents perso au travail, il faut arrêter le discours « au travail c’est comme ça, à la maison démerdez-vous ». C’est aussi stupide que de justifier d’écrire comme un demeuré sur un forum parce que « On ER pAs A LekOl ». Ce n’est pas la comparaison la plus heureuse mais vous saisissez l’idée générale.
On doit donner des règles d’hygiène numérique communes. Sinon, on ne fait qu’augmenter l’écart entre les deux : plus c’est contraint au boulot, plus il y aura de relâchement à la maison. Mais est-ce à l’entreprise de donner ces connaissances ? Ne devrait-on pas le faire plus tôt, à l’école ?
Par ailleurs, pour insister sur l’aspect indispensable de la sensibilisation, on sait tous qu’imposer sans expliquer, c’est foncer tête baissée dans le mur. On entend régulièrement que l’opposition à telle ou telle loi/réforme c’est dû au manque d’explication, parce que si les gens comprenaient, ils approuveraient. Ben en cybersécurité c’est pareil. (Et le résultat final est à peu près le même, notez : tout le monde s’en cogne toujours autant)
Ce qu’il manque, aussi, c’est de l’engagement. Après 20 ans à dire que c’est l’utilisateur le problème et qu’il ne comprend rien, on commence à essayer de le responsabiliser, ou plutôt de lui faire comprendre qu’il a un rôle important à jouer, qu’il est acteur de tout ça et pas juste un boulet ou un maillon faible. Je suis à titre personnel très peu fan de « la sécurité malgré lui », où l’essentiel des choses se ferait dans le dos de l’utilisateur. Le faux sentiment de sécurité que cela peut donner est contre-productif. Et comme il ne ferait pas la distinction entre un environnement sécurisé et un qui ne le serait pas, le comportement ne changerait pas entre l’un et l’autre. D’où soucis. L’éducation et l’implication sont essentielles, et ces missions sont nobles.
D’ailleurs, les sessions de sensibilisation/formation, les ateliers, campagnes de phishing… et les cours que je donne sont sans nul doute les activités que je préfère. Viennent ensuite les audits et conseils aux TPE-PME, parce que ça s’en approche beaucoup, et que je crois qu’elles méritent d’être accompagnées par des passionnés plutôt que par une ESN (qui voudra aller vite parce que bon, le potentiel de renouvellement est pas foufou et plus vite on ira, plus on margera sur le forfait).
« Mais pourquoi tu parles de blues…
…si tu es convaincu que ce que tu fais est nécessaire ? »
Pour pas mal de raisons. Déjà, parce que si je fais ce métier, c’est par passion et pour un ensemble de convictions et valeurs qui me sont chères. J’ai exploré les différents volets de mon métier en cherchant celui qui me permettrait de concilier le tout, et je ne l’ai je crois pas encore trouvé.
Je suis intimement persuadé que « les gens » doivent récupérer du contrôle sur leur intimité numérique, de l’indépendance vis-à-vis des sociétés auxquelles ils confient leurs données, du respect aussi, et du choix. Vous allez me dire, le RGPD, c’est pile ça, en somme. Sauf que non.
Le RGPD (ou la loi Informatique et Libertés, c’est la même chose), c’est récent, c’est perçu comme une contrainte, on ne le fait pas par choix mais par peur de l’amende. Conséquence principale : il n’est appliqué que partiellement, et surtout, surtout, son but originel qui était de se poser des questions qu’on aurait déjà dû se poser est totalement dévoyé. Exit les « est-ce que j’ai vraiment besoin du numéro de sécu ? », « est-ce que garder ces infos 10 ans est pertinent alors que 2 ans suffiraient ». Aujourd’hui, dans la très grande majorité des entreprises que j’ai pu visiter, cette loi est perçu comme une épine dans le pied (donc on s’en affranchit assez largement), ou alors on l’intègre (et on nomme même un DPO) mais on cherche davantage à donner un cadre aux crasses qu’on faisait avant pour pouvoir continuer à les faire.
On a voulu responsabiliser les entreprises, c’est un lamentable échec. Moi-même, je sais que l’entreprise au sein de laquelle je travaille ne sera jamais conforme à 100%, qu’il y aura toujours à redire, et que je découvrirai toujours des manquements cachés sous un tapis. Ce n’est pas un problème en soi, c’est juste que le régulateur aurait dû faire autrement, et plus tôt.
Tant que toute la chaîne ne disposera pas de cette culture « intimité numérique et sécurité », on lutte contre le vent. Et j’y inclus une dimension morale/éthique. Quand je vois le business model de certaines entreprises, ou de startups que j’ai eu l’occasion de conseiller, je me pose sérieusement la question : suis-je le seul à ne pas trouver ça moral vis-à-vis de l’utilisateur ? Suivi du comportement, publicité ciblée, géolocalisation, remontées d’infos personnelles, des contacts, et j’en passe. Personne ne voit le souci ? Est-ce que parce que ça n’a pas encore été fait, alors c’est une bonne idée de le faire (et de le monétiser) ?
Bref.
Il reste quand même un petit socle sur lequel m’appuyer, je crois.
Je crois…
Plus j’échange avec mes congénères sur mon métier et les convictions qui le sous-tendent, plus je me rends compte que les retours font mal. En fait, si on a responsabilisé les entreprises, c’est peut-être aussi, un peu, parce que le quidam s’en cogne royalement. Quand on lui laisse le choix, quand il a la possibilité de se protéger avec un investissement de temps et d’énergie proche du néant, il refuse.
Le bandeau cookies, qui permet normalement de refuser une forme de pistage en ligne ? « C’est pénible, je clique sur oui, il est gênant ce bandeau il prend de la place, t’as pas une extension Firefox pour le masquer ? »
Les mots de passe ? Stockés dans une note sur son iPhone, dans un carnet papier, parfois enregistrés dans Firefox, et dans 80% des cas « ah j’avais un mot de passe pour ça ? Mais c’est quoi ? Ah bah oui le même que partout ». Les 20% restants, c’est 18% de « je le réinitialise à chaque fois que je dois me connecter » et 2% de « j’y ai pas accès parce que c’est partagé avec Maxime et il veut pas me l’envoyer par mail, il veut que j’utilise un gestionnaire de mots de passe et je veux pas, quel pénible. »
Les applis sur smartphone ? « Si c’est sur le store, c’est que c’est OK ». Parler de F-Droid, ou d’Exodus, c’est déjà trop, alors que ça n’engage à rien. Une appli pour scanner un document via l’appareil photo du téléphone ? Oui c’est pratique, mais c’est souvent pour scanner des documents confidentiels. Pour ma part, si je ne dois prendre que mes 3 derniers scans, c’est un lot de factures acquittées pour des examens médicaux, un bulletin de salaire, et un acte de décès. Que des choses que j’aime autant garder pour moi. Croyez-le ou pas, même pour des amis avec une culture plutôt développée sur ces aspects, une fois sortis du contexte boulot, c’est la foire à la saucisse, et hop on installe une application de « scan » truffée de pisteurs qui remontent on ne sait pas trop quoi à des tiers.
Sans parler des services utilisés. De Dropbox à Facebook en passant par TikTok ou WhatsApp. J’ai beau proposer des alternatives tout aussi utilisables et simples, on n’en veut pas. Prenons Signal, la messagerie sécurisée, que je propose comme alternative à WhatsApp. Ben ça ne va pas. Parce que dans la balance « habitudes vs. intimité numérique », pouvoir changer un fond d’écran de conversation pèse plus lourd que ce que Signal apporte en termes de confidentialité des échanges.
Même des copains pro-libre et qui ont lutté avec moi contre les GAFAM pendant longtemps ont baissé les bras et abandonné Linux au profit de Windows (pour jouer initialement, puis pour tout parce que c’est pénible de redémarrer), abandonné le chiffrement des courriels parce que trop contraignant, abandonné IRC au profit de Discord, refusent « tes trucs chiffrés de hippie » comme Matrix/Element, résumé à « IRC avec une interface en NodeJS de merde » (même si on peut difficilement nier le tout dernier point). Et ce n’est pas le Fédiverse (Mastodon, tout ça) et son extrême toxicité qui risque de réconcilier M. Michu avec les réseaux « hors gros silos de données ».
En très très résumé : on ne sait ou ne voit pas ce que je fais, et quand on en est conscient, on l’ignore sciemment parce que ça demande un peu d’investissement personnel. Mais il paraît que les Français sont de plus en plus conscients des problématiques liées à la vie privée en ligne. Vous croyez ça, vous, dans un pays sur-équipé en smartphones disposant de « OK Google » et Siri, en Amazon Alexa et en Google Home ?
Mais côté boulot ?
Côté boulot, j’ai fait le choix de tester un peu tous les aspects du métier, en me disant que je pourrais ensuite rester sur la formule qui me convient le mieux. Spoiler : je ne crois pas avoir trouvé.
La CNIL, c’était franchement top, mais fatigant, à Paris uniquement (même pas de référents en région comme l’ANSSI), et très limité pour un profil « informaticien ». Comprendre par là que les postes de direction sont réservés aux juristes. L’institution a du mal à évoluer aussi vite que les usages, notamment sur les contrôles. Contrôles qui font assez rapidement tout voir en noir et donnent réellement l’impression que la protection des données est un truc totalement accessoire. Je ne parle même pas du contrôle du blocage administratif (contenu terroriste mais pas seulement). Il y aurait eu de quoi faire « en régions », je serais resté, mais cela a été jugé non rentable.
Les ESN. J’ai rapidement compris pourquoi on en parlait comme des « marchands de barbaque ». Grosse ou petite, en régie ou pas, spécialisée ou non, c’est du pareil au même. Et c’est pas un babyfoot, une salle de sieste ou un label « chouette endroit où travailler » qui y changera quoi que ce soit. Tout ce qui compte c’est d’être rentable, quitte à tirer dans les pattes, placarder, mentir au consultant. J’ai parfois été facturé à plus de 900€/jour, ce qui m’a mis assez mal à l’aise (et pas seulement parce que je n’en voyais même pas le tiers sur ma fiche de paie).
Le conseil. Je le distingue des ESN parce que le fonctionnement n’est pas tout à fait le même. Quoiqu’un peu plus propice à l’épanouissement (fonction du manager évidemment), la rentabilité reste le maître mot. C’est globalement là que mon intitulé de poste aurait pu devenir « expert Microsoft Office », vu qu’on n’y fait globalement que ça sur des missions qu’on ne choisit pas souvent.
RSSI / DPO interne. C’est assurément le plus confortable, à condition que l’entreprise elle-même choisisse d’aller dans le bon sens et s’en donne les moyens. Cela implique un peu plus que recruter quelqu’un et en déléguer la responsabilité au DSI parce qu’on « comprend rien à ces sujets ». Selon l’entreprise et sa culture, on peut se retrouver très très isolé à ce type de poste.
En indépendant. Du point de vue de l’activité et des valeurs, c’est là que je me suis le plus épanoui. J’ai toujours une petite activité en indep’, d’ailleurs. Cela me permet de donner des cours (j’adore) ou d’intervenir dans de petites structures à un coût franchement raisonnable, par choix de ma part : c’est aussi ça qui compte pour moi, rendre ce genre de prestations et d’audits accessibles à un laboratoire de biologie médicale par exemple, ou à un journal local, à un lycée… une approche plus personnalisée, plus « circuit court », et une organisation que je choisis. Le but c’est d’en vivre correctement, pas de changer de bagnole tous les ans, et pour ça j’ai pas besoin de 20 000€/mois (ce que j’étais facturé à un client fut un temps). Et franchement, mes meilleurs souvenirs sont effectivement dans la santé, l’éducation ou la presse. Ah, et aussi les experts-comptables et les avocats.
Mais aujourd’hui, j’en suis là. A me demander si la cause n’est pas perdue. Si aborder la sécurité et l’hygiène numérique côté entreprise est utile. Si impliquer l’utilisateur lambda est possible. A me dire que « la conformité de ma boîte » comme but ultime, ça ne porte pas de sens. Qu’on soit clair, ce que j’attends c’est pas des « merci c’est cool », mais plutôt des « ah je savais pas », « tu m’as appris un truc », « je vais changer telle habitude maintenant », qui sont non seulement plus gratifiants mais qui permettent de mieux percevoir l’impact que mon travail peut avoir. C’est ça qui me manque, observer un effet de mon boulot sur le quotidien d’humains. Pas un % d’avancement dans un tableur. Remettre de l’humain dans un milieu trop spécialisé, et pour lequel la seule ouverture semble être le bullshit commercialo-corporate sur LinkedIn (mais si, vous savez, le TikTok du lectorat des Echos).
Enfin voilà : à quoi bon faire tout ça par choix et conviction, si personne n’en veut ? Mais si, ce fameux « j’ai rien à cacher »… Avouez que ça complète bien mon éternel syndrome de l’imposteur.
Ne serais-je pas mieux ailleurs ? En indépendant ? Ou carrément dans un autre secteur d’activité ? On rigole souvent à dire qu’on va aller élever 3 chèvres dans le Larzac, mais finalement, est-ce une si mauvaise idée ? Moi, je me pose la question.