Lu sur internet – “La régie m’a tuer”

Je suis tombé sur un excellent article hier sur linkedin que l’auteur m’a permis gentillement de partager sur mon blog. Cet avis, sur le mode “régie” du sourcing à la mode dans nos entreprises, est très juste. Nous souffrons tous de ce mode de travail qui nous empèche d’accéder à la vraie valeur ajoutée et à développer l’activité comme nous le souhaitons. Bonne lecture.

En 15 ans de carrière en cybersécurité, principalement en France, j’ai toujours décliné voire refusé les missions dites en “régie”, à savoir en délégation permanente chez un client.
Ce mode, particulièrement en vigueur en France, s’est surtout développé à mon avis pour contourner la “rigidité” du code du travail en permettant une prétendue flexibilité dans la sollicitation de compétences en cybersécurité, entre autres.
Mon sentiment est que ce mode fragilise la sécurité numérique de nos acteurs économiques.
Le mode “régie” s’est tellement développé que le marché français pour un véritable conseil indépendant et objectif s’est progressivement étiolé jusqu’à quasiment disparaître. Avec une poignée d’irréductibles “conseillers” indépendants, nous jouons tous les jours des coudes pour nous faire entendre et apporter de la valeur à des prospects et clients réceptifs.
Je me suis toujours opposé à ce mode pour les raisons suivantes, et vous le verrez bien,c’est loin d’être un caprice :

  • Le besoin d’objectivité et d’indépendance

J’ai la conviction que l’objectivité se perd lorsque le “consultant” se retrouve empêtré dans le contexte “politique” de son client. Toute lutte interne, tout bras de fer “politique”, toute réorganisation viennent polluer son cadre de travail et biaisent le conseil qu’il est amené à donner.
Par ailleurs, et un diction arabe le dit si bien : “Fréquentes une communauté pendant plus de 40 jours, sois tu finis par lui ressembler, sois tu pars“. Les missions de cette nature allant de 3 mois à 3 ans, je vous laisse deviner le degré de mimétisme qui en résulte.
De plus, le consultant à demeure chez le client finit par confondre son client avec son employeur, requérant son autorisation pour s’absenter ou partir en congés et le sollicitant même parfois pour des besoins spécifiques en formation …
Et je ne rentrerai pas ici, à dessein, dans toutes les autres considérations à caractère juridique induites par ce mode d’appel à la prestation : délit de marchandage, risque de re-qualification en CDI, mauvaise transitivité entre les chartes informatiques, etc. que les juristes connaissent bien mieux que moi.
Sur un plan plus “méthodologique”, le consultant en “régie” qui prend le train en marche, a trop rarement une écoute et une marge de manoeuvre pour faire valoir son nécessaire devoir de conseil, notamment en ce qui se rapporte aux méthodologies employées. On lui rétorque souvent : “on n’a pas besoin d’apport méthodologique, on a juste besoin de “bras” pour remplir les fichiers Excel de la méthode existante” … Ainsi, ce consultant et son employeur se portent de facto caution de méthodologies qu’ils désapprouvent intellectuellement mais qu’ils acceptent “commercialement”, risquant une schizophrénie aiguë.

  • La capitalisation et le partage des connaissances

Le consultant en cybersécurité “expérimenté”, qui a passé la majeure partie de sa carrière en “régie”, n’a ni la bande passante ni la motivation pour partager ses connaissances en “coachant” ou en formant ses plus jeunes collègues. Quelques rares parviendraient à le faire entre 19:00 et 20:00, une fois leur journée en régie bouclée, en repassant au “bureau”, faisant ainsi preuve d’implication et de bonne volonté, et ce dans un vain espoir d’une meilleure reconnaissance RH à la fin de l’année.
Par ailleurs, ce consultant expérimenté ne fait pas bénéficier d’autres entreprises de son savoir-faire, à l’instar de ce que font les cabinets de conseil en stratégie, les cabinets d’avocats ou encore d’expertise comptable, à titre d’exemple.
Avec la “pénurie” de ressources en cybersécurité, cette situation prive la France et ses acteurs économiques d’un brassage vital en connaissances et en méthodologies.

  • Le calibrage des dépenses en cybersécurité

Un consultant en cybersécurité, facturé en moyenne 600 Euros HT par jour, rapporte donc en moyenne 12 000 Euros HT par mois à son employeur. Lorsque l’on met en face le nombre de livrables ou de changements apportés au client, on se rend vite compte du déséquilibre. Cette même somme, dépensée auprès d’un véritable bureau d’études ou de conseil indépendant, ne permettrait-elle pas l’acquisition d’études et de connaissances nettement supérieures et de meilleure qualité ?

  • Le risque d’éparpillement et de fuite d’informations sensibles

Le “consultant” en régie est un vecteur de BYOD avant l’heure, connectant ses moyens numériques personnels ou professionnels (ceux de son employeur direct) par nécessité, parce qu’il a intégré le mode “régie” bien avant la mise à disposition de ses accès “corporate”, ou encore par autorisation parce que ce mode de connexion est “permis” chez le client.
Il en résulte un risque de stockage et de transport d’informations propriétaires et sensibles sur des ressources numériques sur lesquelles le client n’a pas de contrôle. Et lorsque l’on sait qu’une part non négligeable des effectifs des DSI des grandes entreprises est composée de prestataires externes employés par une multitude d’Entreprises de Service dans le Numérique (ESN, ex-SSII), je vous laisse imaginer la surface d’éparpillement de l’information sensible voire stratégique.

  • Les dangers de la consanguinité

A force de s’acclimater, que ce soit pour le donneur d’ordre ou pour le fournisseur de prestations en “régie”, d’un tel mode de fonctionnement, une relation de consanguinité s’installe et prive le marché des apports de structures beaucoup plus petites et de consultants indépendants. Ainsi, ce sont toujours les mêmes qui parlent aux mêmes, en cherchant à prêcher des convaincus de longue date …
On en ressent d’ailleurs les affres au cours des grandes messes annuelles sur la cybersécurité où le degré et la profondeur des innovations et des idées nouvelles laissent amèrement à désirer.
En conclusion, voici quelques propositions adressées aux instances de régulation, aux donneurs d’ordre et aux offreurs de prestation de cybersécurité en France :

  • ANSSI : étendre la “labellisation” à tout offreur de prestations en cybersécurité, bien au delà des offreurs “techniques” : tout prestataire amené à rédiger une charte informatique, élaborer une PSSI, concevoir ou remplir des tableaux de bord SSI, etc. Ainsi, les ESN et tout autre offreur de quelque taille que ce soit, seront soumis à une obligation d’objectivité et de qualité. La confiance numérique en sortira davantage renforcée.
  • Donneurs d’ordres : adopter un autre mode d’appel à la prestation. Il en résultera une réduction substantielle des coûts, une meilleure diversification des prestataires et surtout la jouissance d’un véritable apport indépendant, objectif et stratégique en conseil et en méthodologies. Par ailleurs, si les besoins en ressources sont de longue durée … mieux vaut recruter et contribuer à la baisse du taux de chômage en France.
  • Offreurs : adopter le mode des cabinets d’avocat en valorisant et en “exploitant” plus judicieusement les compétences et les connaissances de vos consultants expérimentés.  Il en résultera de meilleurs capitalisations et partages des compétences au sein de vos équipes et un conseil à plus forte valeur ajoutée chez vos clients. Vous pourriez même, à la limite, commencer à augmenter vos honoraires …

Vous avez atteint la fin de ce modeste plaidoyer qui, loin d’être exhaustif, permet je l’espère de lancer cette alerte et d’amorcer quelques changements salutaires sur le marché de la cybersécurité.

Auteur :

Hadi El-Khoury
Cybersecurity Interpreter, Advisor, Auditor and Trainer

Page linkedin de l’auteur : https://www.linkedin.com/in/helkhoury
Lien de l’article : https://www.linkedin.com/pulse/cybers%C3%A9curit%C3%A9-la-r%C3%A9gie-ma-tuer-hadi-el-khoury?trk=hp-feed-article-title-share


Posted

in

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *