{"id":246,"date":"2016-07-31T19:33:41","date_gmt":"2016-07-31T19:33:41","guid":{"rendered":"http:\/\/www.erroussafi.com\/blog\/?p=246"},"modified":"2018-08-07T12:41:20","modified_gmt":"2018-08-07T11:41:20","slug":"la-regie-ma-tuer","status":"publish","type":"post","link":"https:\/\/www.erroussafi.com\/index.php\/2016\/07\/31\/la-regie-ma-tuer\/","title":{"rendered":"Lu sur internet &#8211; &#8220;La r\u00e9gie m&#8217;a tuer&#8221;"},"content":{"rendered":"<p>Je suis tomb\u00e9 sur un excellent article hier sur linkedin que l&#8217;auteur m&#8217;a permis gentillement de partager sur mon blog. Cet avis, sur le mode &#8220;r\u00e9gie&#8221; du sourcing \u00e0 la mode dans nos entreprises, est tr\u00e8s juste. Nous souffrons tous de ce mode de travail qui nous emp\u00e8che d&#8217;acc\u00e9der \u00e0 la vraie valeur ajout\u00e9e et \u00e0 d\u00e9velopper l&#8217;activit\u00e9 comme nous le souhaitons. Bonne lecture.<br \/>\n<!--more--><br \/>\nEn 15 ans de carri\u00e8re en cybers\u00e9curit\u00e9, principalement en France, j&#8217;ai toujours d\u00e9clin\u00e9 voire refus\u00e9 les missions dites en &#8220;r\u00e9gie&#8221;, \u00e0 savoir en d\u00e9l\u00e9gation permanente chez un client.<br \/>\nCe mode, particuli\u00e8rement en vigueur en France, s&#8217;est surtout d\u00e9velopp\u00e9 \u00e0 mon avis pour contourner la &#8220;rigidit\u00e9&#8221; du code du travail en permettant une pr\u00e9tendue flexibilit\u00e9 dans la sollicitation de comp\u00e9tences en cybers\u00e9curit\u00e9, entre autres.<br \/>\n<strong>Mon sentiment est que ce mode fragilise la s\u00e9curit\u00e9 num\u00e9rique de nos acteurs \u00e9conomiques<\/strong>.<br \/>\nLe mode &#8220;r\u00e9gie&#8221; s&#8217;est tellement d\u00e9velopp\u00e9 que <strong>le march\u00e9 fran\u00e7ais pour un v\u00e9ritable conseil ind\u00e9pendant et objectif s&#8217;est progressivement \u00e9tiol\u00e9 jusqu&#8217;\u00e0 quasiment dispara\u00eetre<\/strong>. Avec une poign\u00e9e d&#8217;irr\u00e9ductibles &#8220;conseillers&#8221; ind\u00e9pendants, nous jouons tous les jours des coudes pour nous faire entendre et apporter de la valeur \u00e0 des prospects et clients r\u00e9ceptifs.<br \/>\nJe me suis toujours oppos\u00e9 \u00e0 ce mode pour les raisons suivantes, et vous le verrez bien,<strong>c&#8217;est loin d&#8217;\u00eatre un caprice<\/strong> :<\/p>\n<ul>\n<li><strong>Le besoin d&#8217;objectivit\u00e9 et d&#8217;ind\u00e9pendance<\/strong><\/li>\n<\/ul>\n<p>J&#8217;ai la conviction que l&#8217;objectivit\u00e9 se perd lorsque le &#8220;consultant&#8221; se retrouve emp\u00eatr\u00e9 dans le contexte &#8220;politique&#8221; de son client. Toute lutte interne, tout bras de fer &#8220;politique&#8221;, toute r\u00e9organisation viennent polluer son cadre de travail et biaisent le conseil qu&#8217;il est amen\u00e9 \u00e0 donner.<br \/>\nPar ailleurs, et un diction arabe le dit si bien : &#8220;<strong>Fr\u00e9quentes une communaut\u00e9 pendant plus de 40 jours, sois tu finis par lui ressembler, sois tu pars<\/strong>&#8220;. Les missions de cette nature allant de 3 mois \u00e0 3 ans, je vous laisse deviner le degr\u00e9 de mim\u00e9tisme qui en r\u00e9sulte.<br \/>\nDe plus, le consultant \u00e0 demeure chez le client finit par confondre son client avec son employeur, requ\u00e9rant son autorisation pour s&#8217;absenter ou partir en cong\u00e9s et le sollicitant m\u00eame parfois pour des besoins sp\u00e9cifiques en formation &#8230;<br \/>\nEt je ne rentrerai pas ici, \u00e0 dessein, dans toutes les autres consid\u00e9rations \u00e0 caract\u00e8re juridique induites par ce mode d&#8217;appel \u00e0 la prestation : d\u00e9lit de marchandage, risque de re-qualification en CDI, mauvaise transitivit\u00e9 entre les chartes informatiques, etc. que les juristes connaissent bien mieux que moi.<br \/>\nSur un plan plus &#8220;m\u00e9thodologique&#8221;, le consultant en &#8220;r\u00e9gie&#8221; qui prend le train en marche, a trop rarement une \u00e9coute et une marge de manoeuvre pour faire valoir son n\u00e9cessaire devoir de conseil, notamment en ce qui se rapporte aux m\u00e9thodologies employ\u00e9es. On lui r\u00e9torque souvent : &#8220;<strong>on n&#8217;a pas besoin d&#8217;apport m\u00e9thodologique, on a juste besoin de &#8220;bras&#8221; pour remplir les fichiers Excel de la m\u00e9thode existante<\/strong>&#8221; &#8230; Ainsi, ce consultant et son employeur se portent de facto caution de m\u00e9thodologies qu&#8217;ils d\u00e9sapprouvent intellectuellement mais qu&#8217;ils acceptent &#8220;commercialement&#8221;, risquant une schizophr\u00e9nie aigu\u00eb.<\/p>\n<ul>\n<li><strong>La capitalisation et le partage des connaissances<\/strong><\/li>\n<\/ul>\n<p>Le consultant en cybers\u00e9curit\u00e9 &#8220;exp\u00e9riment\u00e9&#8221;, qui a pass\u00e9 la majeure partie de sa carri\u00e8re en &#8220;r\u00e9gie&#8221;, n&#8217;a ni la bande passante ni la motivation pour partager ses connaissances en &#8220;coachant&#8221; ou en formant ses plus jeunes coll\u00e8gues. Quelques rares parviendraient \u00e0 le faire entre 19:00 et 20:00, une fois\u00a0leur journ\u00e9e en r\u00e9gie boucl\u00e9e, en repassant au &#8220;bureau&#8221;, faisant ainsi preuve d&#8217;implication et de bonne volont\u00e9, et ce dans un vain espoir d&#8217;une meilleure reconnaissance RH \u00e0 la fin de l&#8217;ann\u00e9e.<br \/>\nPar ailleurs, ce consultant exp\u00e9riment\u00e9 ne fait pas b\u00e9n\u00e9ficier d&#8217;autres entreprises de son savoir-faire, \u00e0 l&#8217;instar de ce que font les cabinets de conseil en strat\u00e9gie, les cabinets d&#8217;avocats ou encore d&#8217;expertise comptable, \u00e0 titre d&#8217;exemple.<br \/>\nAvec la &#8220;p\u00e9nurie&#8221; de ressources en cybers\u00e9curit\u00e9, <strong>cette situation prive la France et ses acteurs \u00e9conomiques d&#8217;un brassage vital en connaissances et en m\u00e9thodologies<\/strong>.<\/p>\n<ul>\n<li><strong>Le calibrage des d\u00e9penses en cybers\u00e9curit\u00e9<\/strong><\/li>\n<\/ul>\n<p>Un consultant en cybers\u00e9curit\u00e9, factur\u00e9 en moyenne 600 Euros HT par jour, rapporte donc en moyenne 12 000 Euros HT par mois \u00e0 son employeur. Lorsque l&#8217;on met en face le nombre de livrables ou de changements apport\u00e9s au client, on se rend vite compte du d\u00e9s\u00e9quilibre. Cette m\u00eame somme, d\u00e9pens\u00e9e aupr\u00e8s d&#8217;un v\u00e9ritable bureau d&#8217;\u00e9tudes ou de conseil ind\u00e9pendant, ne permettrait-elle pas l&#8217;acquisition d&#8217;\u00e9tudes et de connaissances nettement sup\u00e9rieures et de meilleure qualit\u00e9 ?<\/p>\n<ul>\n<li><strong>Le risque d&#8217;\u00e9parpillement et de fuite d&#8217;informations sensibles<\/strong><\/li>\n<\/ul>\n<p>Le &#8220;consultant&#8221; en r\u00e9gie est un vecteur de BYOD avant l&#8217;heure, connectant ses moyens num\u00e9riques personnels ou professionnels (ceux de son employeur direct) par n\u00e9cessit\u00e9, parce qu&#8217;il a int\u00e9gr\u00e9 le mode &#8220;r\u00e9gie&#8221; bien avant\u00a0la mise \u00e0 disposition de ses acc\u00e8s &#8220;corporate&#8221;, ou encore par autorisation parce que ce mode de connexion est &#8220;permis&#8221; chez le client.<br \/>\nIl en r\u00e9sulte un risque de stockage et de transport d&#8217;informations propri\u00e9taires et sensibles sur des ressources num\u00e9riques sur lesquelles le client n&#8217;a pas de contr\u00f4le. Et lorsque l&#8217;on sait qu&#8217;une part non n\u00e9gligeable des effectifs des DSI des grandes entreprises est compos\u00e9e de prestataires externes employ\u00e9s par une multitude d&#8217;Entreprises de Service dans le Num\u00e9rique (ESN, ex-SSII), je vous laisse imaginer la surface d&#8217;\u00e9parpillement de l&#8217;information sensible voire strat\u00e9gique.<\/p>\n<ul>\n<li><strong>Les dangers de la consanguinit\u00e9<\/strong><\/li>\n<\/ul>\n<p>A force de s&#8217;acclimater, que ce soit pour le donneur d&#8217;ordre ou pour le fournisseur de prestations en &#8220;r\u00e9gie&#8221;, d&#8217;un tel mode de fonctionnement, une relation de consanguinit\u00e9 s&#8217;installe et prive le march\u00e9 des apports de structures beaucoup plus petites et de consultants ind\u00e9pendants. Ainsi, <strong>ce sont toujours les m\u00eames qui parlent aux m\u00eames, en cherchant \u00e0 pr\u00eacher des convaincus de longue date &#8230;<\/strong><br \/>\nOn en ressent d&#8217;ailleurs les affres au cours des grandes messes annuelles sur la cybers\u00e9curit\u00e9 o\u00f9 le degr\u00e9 et la profondeur des innovations et des id\u00e9es nouvelles laissent am\u00e8rement \u00e0 d\u00e9sirer.<br \/>\nEn conclusion, voici quelques propositions adress\u00e9es aux instances de r\u00e9gulation, aux donneurs d&#8217;ordre et aux offreurs de prestation de cybers\u00e9curit\u00e9 en France :<\/p>\n<ul>\n<li><strong>ANSSI<\/strong> : \u00e9tendre la &#8220;labellisation&#8221; \u00e0 tout offreur de prestations en cybers\u00e9curit\u00e9, bien au del\u00e0 des offreurs &#8220;techniques&#8221; : tout prestataire amen\u00e9 \u00e0 r\u00e9diger une charte informatique, \u00e9laborer une PSSI, concevoir ou remplir des tableaux de bord SSI, etc. Ainsi, les ESN et tout autre offreur de quelque taille que ce soit, seront soumis \u00e0 une obligation d&#8217;objectivit\u00e9 et de qualit\u00e9. <strong>La confiance num\u00e9rique en sortira davantage renforc\u00e9e<\/strong>.<\/li>\n<li><strong>Donneurs d&#8217;ordres<\/strong> : adopter un autre mode d&#8217;appel \u00e0 la prestation. Il en r\u00e9sultera une r\u00e9duction substantielle des co\u00fbts, une meilleure diversification des prestataires et surtout la jouissance d&#8217;un v\u00e9ritable apport ind\u00e9pendant, objectif et strat\u00e9gique en conseil et en m\u00e9thodologies. Par ailleurs, si les besoins en ressources sont de longue dur\u00e9e &#8230; <strong>mieux vaut recruter et contribuer \u00e0 la baisse du taux de ch\u00f4mage en France<\/strong>.<\/li>\n<li><strong>Offreurs<\/strong> : adopter le mode des cabinets d&#8217;avocat en valorisant et en &#8220;exploitant&#8221; plus judicieusement les comp\u00e9tences et les connaissances de vos consultants exp\u00e9riment\u00e9s. \u00a0Il en r\u00e9sultera de meilleurs capitalisations et partages des comp\u00e9tences au sein de vos \u00e9quipes et un conseil \u00e0 plus forte valeur ajout\u00e9e chez vos clients. <strong>Vous pourriez m\u00eame, \u00e0 la limite, commencer \u00e0 augmenter vos honoraires &#8230;<\/strong><\/li>\n<\/ul>\n<p>Vous avez atteint la fin de ce modeste plaidoyer qui, loin d&#8217;\u00eatre exhaustif, permet je l&#8217;esp\u00e8re de lancer cette alerte et d&#8217;amorcer quelques changements salutaires sur le march\u00e9 de la cybers\u00e9curit\u00e9.<\/p>\n<h3>Auteur :<\/h3>\n<div id=\"name-container\" data-li-template=\"name\">\n<div id=\"name\" class=\"editable-item\"><strong><span class=\"fn\"><span class=\"full-name\" dir=\"auto\">Hadi El-Khoury<br \/>\n<\/span><\/span>Cybersecurity Interpreter, Advisor, Auditor and Trainer<\/strong><\/div>\n<\/div>\n<p>Page linkedin de l&#8217;auteur :\u00a0<a href=\"https:\/\/www.linkedin.com\/in\/helkhoury\">https:\/\/www.linkedin.com\/in\/helkhoury<\/a><br \/>\nLien de l&#8217;article :\u00a0<a href=\"https:\/\/www.linkedin.com\/pulse\/cybers%C3%A9curit%C3%A9-la-r%C3%A9gie-ma-tuer-hadi-el-khoury?trk=hp-feed-article-title-share\">https:\/\/www.linkedin.com\/pulse\/cybers%C3%A9curit%C3%A9-la-r%C3%A9gie-ma-tuer-hadi-el-khoury?trk=hp-feed-article-title-share<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Je suis tomb\u00e9 sur un excellent article hier sur linkedin que l&#8217;auteur m&#8217;a permis gentillement de partager sur mon blog. Cet avis, sur le mode &#8220;r\u00e9gie&#8221; du sourcing \u00e0 la mode dans nos entreprises, est tr\u00e8s juste. Nous souffrons tous de ce mode de travail qui nous emp\u00e8che d&#8217;acc\u00e9der \u00e0 la vraie valeur ajout\u00e9e et [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":541,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","enabled":false},"version":2}},"categories":[4],"tags":[],"class_list":["post-246","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/www.erroussafi.com\/wp-content\/uploads\/2016\/07\/1480672500-manager-du-developpement-de-ressources-humaines-zoom.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/posts\/246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/comments?post=246"}],"version-history":[{"count":0,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/posts\/246\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/media\/541"}],"wp:attachment":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/media?parent=246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/categories?post=246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/tags?post=246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}