1. Avez-vous déjà passé une certification sécurité ?
- sur un sujet qui ne vous intéresse pas ?
- sur un sujet "juste pour le fun" ?
- que vous recommandez (#askingforafriend) ?
2. Avez-vous déjà contribué à la formalisation d'un schéma directeur sécurité ?
- ou rédigé un schéma directeur sécurité vous-même ?
- avec un budget ?
- relatif à l'amélioration des 10% restant ?
- et présenté ce schéma directeur sécurité au Board ?
- et arbitré vos mesures après présentation au Board ?
3. Avez-vous déjà contribué à la rédaction une analyse de risques ou d'une politique de sécurité ?
- ou rédigé vous même une analyse de risques ou une politique de sécurité. Ou les deux ?
- ou validé une analyse de risques ou une politique de sécurité rédigée(s) par un autre ?
- et présenté les conclusions au Board ?
- et argumenté avec un auditeur externe sur la pertinence de vos documents ?
4. Avez-vous déjà dirigé le processus de certification de votre organisation (27x, pcidss, passi, etc) ?
- et pris la responsabilité d'un retard de conformité ?
- limitant de fait les capacités opérationnelles de vos métiers ?
- et changé d'auditeur en cours d'audit pour une raison quelconque ?
5. Avez-vous déjà conçu un support de sensibilisation pour les utilisateurs de votre Système d'Information ?
- pour des utilisateurs techniques et non techniques ?
- et animé une "première" séance de sensibilisation ?
- et animé une séance de sensibilisation pendant laquelle les utilisateurs sont demeurés intéressés du début à la fin ?
- alors que cette séance est la n-ième à laquelle ils participent ?
6. Avez-vous déjà été confronté à la gestion d'un incident de sécurité ?
- dans un cadre dépourvu de toute organisation ou procédure adaptée ?
- pour un environnement sur lequel vous étiez responsables des contrôles ?
- avec une compromission totale de votre SI (technique ou métier) ?
- un vendredi 14 juillet ?
- monté en épingles sur les réseaux sociaux ?
- que vous apprenez par email de la part d'un tiers ?
- que vous êtes obligés de notifier à un ou des tiers ?
- impactant les Systèmes d'Information de tiers ?
- et déclenché les garanties de votre couverture en responsabilité civile ?
- et essuyé un refus de couverture par votre assureur ?
7. Avez-vous déjà accompagné votre Direction dans la rédaction d'un plan de continuité d'activité ?
- et dirigé les opérations dans le cadre d'un plan de reprise d'activité ?
- et "planté" la bascule en mode dégradé pour une raison quelconque ?
- pour une raison connue de tous pour laquelle vous étiez jusqu'à présent l'oiseau de mauvais augure ?
- et dirigé les opérations dans le cadre d'un plan de relocalisation des fonctions essentielles ?
- et déplacé vos x fonctions sensibles sur un site de répli ne disposant que de x/2 positions ?
- et dirigé un exercice de gestion de crise ?
- pour lequel vous "tuez" le directeur de crise dans les 5 premières minutes de l'exercice
- pour lequel 1/4 de la cellule de crise est toxique sans que les autres participants en soient informés ?
8. Avez-vous déjà dirigé un audit fonctionnel ?
- que vous avez réalisé vous-même ?
- sans possibilité d'entretien (questionnaires uniquement) ?
- sans possibilité de questionnaire (entretiens uniquement) ?
- et présenté des conclusions écarlates au Board ?
- et présenté des conclusions satisfaisantes au Board ?
9. Avez-vous déjà dirigé un audit technique ?
- que vous avez réalisé vous-même ?
- sur la base de preuves d'audits fournies par un tier (mais vos scripts) ?
- pour lesquelles vous avez-vous même développé les scripts d'audit ?
- sur une base exclusivement documentaire (spécifications) ?
- et interrompu l'audit suite à l'identification d'un point de compromission ?
- et présenté des conclusions écarlates au Board ?
- et présenté des conclusions satisfaisantes au Board ?
10. Avez-vous déjà dirigé des tests d'intrusion ?
- que vous avez réalisés vous-même ?
- sur un axe de travail "red team" (pas de contrainte de temps ou de périmètre) ?
- sur un axe de travail "ingénierie sociale" ?
- avec validation d'un scénario impactant la disponibilité de composants essentiels ?
- entrainant une indisponibilité effective des composants cibles ?
- et présenté des conclusions écarlates au Board ?
- et présenté des conclusions satisfaisantes au Board ?
11. Avez-vous déjà piloté une organisation de veille opérationnelle en vulnérabilités ?
- et réalisé la veille vous-même ?
- lors de la publication d'une vulnérabilité écarlate ?
- un vendredi 14 juillet ?
- et arbitré un report de correction d'une vulnérabilité écarlate pour des contraintes métier ?
- et déclenché votre gestion de crise suite à l'exploitation "malvenue" de ladite vulnérabilité ?
- et forcé l'application ASAP de correctifs de sécurité ?
- avec effets de bord et retour arrière ?
12. Avez-vous déjà administré toute ou partie d'un Système d'Information ?
- dans un environnement professionnel ?
- avec une DSI de x/2 collaborateurs avec x nécessaires aux opérations quotidiennes ?
- composé d'éléments non maintenus ou obsolètes ?
- en préparation de fusion avec le Système d'Information d'un tiers suite à un rachat ou une fusion ?
13. Avez-vous déjà développé un logiciel ?
- dans un environnement professionnel ?
- pour lequel vous avez au préalable formalisé les spécifications et le cahier de recette ?
- auxquels vous avez adjoint un cahier de recette sécurité ?
- pour lequel vous avez assuré seul le développement ?
- pour lequel vous avez travaillé en équipe ?
- que vous avez publié en open source ?
- avec un processus de V&V intégrant suivi des vulnérabilités et des correctifs ?
14. Avez-vous déjà publié articles et/ou livres ?
- et présenté vos travaux lors d'une conférence ?
- sans connaitre les organisateurs ?
- sur un sujet que peu maitrisent ?
- sur un sujet que beaucoup maitrisent ?
Question bonus : pouvez-vous réaliser demain (seul ou accompagné) toutes les réponses précédentes auxquelles vous avez répondu oui ? :-)
PS : Merci @helpacsoout, @helkhoury et @philoupas !
Jess - @JessicaGallante
