jeudi 6 décembre 2012

Toucher le fond pour mieux remonter !

Depuis quelques temps j'ai l'impression de sombrer et je compte sur ce blog pour me remettre les idées en place :)

Je sais que dans le monde du travail on ne peut pas toujours faire ce qui nous plaît. Alors j'ai pris mon mal en patience. Par la suite j'ai demandé à changer de poste, mais sans succès. Depuis quelques jours je pensais avoir franchi le pas en cherchant du travail ailleurs, mais sans succès jusqu'à maintenant.

Je n'avais peut-être pas encore la motivation suffisante ; je me suis ramolli en restant trop longtemps à la même place ; je n'ai pas visé des postes qui me correspondent ; j'ai des contraintes incompatibles avec certains postes. Les raisons de cet échec sont nombreuses, personnelles et m'enfoncent encore plus. Mais j'ai quand même la conviction que le système est faussé.

Je travaille dans la sécurité informatique depuis bientôt 8 ans et comme le dit si bien Nicolas RUFF, "la sécurité est un échec". Je ne vais pas argumenter ici, mais je suis à 200% d'accord avec lui. Par contre j'ai envie de faire un lien avec ma situation : "ma carrière dans la sécurité est un échec".

Comment ai-je pu arriver à cette idée ? Simplement ce que je constate au quotidien. La sécurité dans la plupart des entreprises (il y a des exceptions) n'est qu'une illusion. A l'heure actuelle les RSSI sont loin d'être tous issus de la filière sécurité, certains viennent de la qualité (la roue de Deming peut mener loin) et d'autres de la filière SI. Le niveau technique exigé à leurs équipes (ou celles du DSI) est en adéquation avec leur niveau de compétence, c'est-à-dire faible.

Si le niveau attendu des acteurs de la sécurité (administrateur sécurité, architecte, consultant, auditeur...) est faible, alors les échelons sont vite franchis entre junior (sortie d'école), confirmé (2/3 ans d'XP), senior (6/7 ans d'XP). Les possibilités de progression sont alors managériales ou commerciales et non techniques... Et d'ailleurs le marché suit également cette logique en tirant les prix vers le bas car par exemple un pentester senior qui aurait 7 ans d'expérience et un salaire qualifié d'honnête serait alors trop cher pour réaliser les missions et faire une bonne marge. Le management va alors proposer au pentester de faire du commercial au détriment de l'expertise (il vaut mieux prendre des stagiaires pour la R&D).


Une autre voie sans issue est celle des administrateurs réseau sécurité. Ceux-ci étant très techniques ils sont souvent mal reconnus et peuvent difficilement accéder à des postes d'architectes sécurité. Pourtant en tant que praticiens de la sécurité ils seraient sans doute les mieux placés pour proposer des systèmes fonctionnels et efficaces...

J'en arrive à mon exemple d'ancien pentester curieux de tout, qui a survolé de nombreux sujets mais sans en creuser beaucoup, changeant d'environnement plusieurs fois par mois et devant simplement repérer les maillons faibles. Ma lacune a sans doute été de ne pas avoir "pratiqué" la sécurité comme un administrateur, de ne pas avoir fait d'intégration et de production. J'ai toujours voulu voir des briques comme les firewalls sans vouloir comprendre les différences entre Cisco, Juniper et CheckPoint. Je suis maintenant décalé de la réalité du métier et si on me demandait ce qu'il faut choisir pour se protéger et comment le mettre en place je ne saurai pas le faire. Il ne me reste plus qu'à faire manager et piloter des petits jeunes qui eux savent comme si moi j'avais déjà atteint mon maximum...

Maintenant que j'ai réalisé cet état de fait il ne tient qu'à moi de trouver une échappatoire et de réorienter ma carrière.

Aucun commentaire:

Enregistrer un commentaire