On me demande encore « pourquoi ne pas revenir en CDI »
On me pose souvent la question comme on poserait une évidence. Revenir en CDI rassurerait les esprits, mettrait un tampon sur une fiche de paie et clorait le débat. La logique est simple, administrative, confortable. Elle est aussi à côté de mon réel.
Quand j’ai commencé ma carrière, j’avais le savoir-faire et les connaissances, sans le diplôme ni l’étiquette, ni l’expérience. Personne ne voulait m’embaucher. J’ai appris au bas de l’échelle, helpdesk, support utilisateur, tickets à la chaîne. Je ne connaissais même pas ma valeur sur le marché du travail. Pas par modestie. Parce que mes compétences n’étaient pas lisibles dans les grilles: diagnostiquer vite, relier ce que les catégories séparent, comprendre le système avant de corriger le symptôme.
Avec le temps, j’ai cessé de chercher un poste. J’ai choisi d’offrir un effet. J’apporte des compétences, pas un intitulé. C’est un changement de paradigme. Je ne plaque pas un titre sur une organisation, j’obtiens un résultat mesurable dans un système vivant.
Le portage salarial n’est pas une échappatoire. C’est un choix d’ingénieur. Je veux entrer, qualifier, exécuter, mesurer, transmettre. Un périmètre clair, des jalons visibles, un plan qui tient, des critères d’acceptation qui ne se discutent pas à la machine à café. Le statut ne livre rien. Ce qui livre, c’est une méthode tenue et la responsabilité assumée jusqu’au bout.
J’ai appris à me méfier des évidences et à demander des preuves. Revenir en CDI sonne simple. La simplicité n’explique pas le réel, elle l’endort. Mon parcours est non académique. J’ai grandi par la pratique et la contrainte. Aujourd’hui je tiens la virtualisation, le réseau, la sécurité, l’analyse de vulnérabilités et la remédiation. Le cœur de mon métier tient en trois verbes: analyser, traiter, maintenir en condition opérationnelle. C’est sobre et exigeant.
Je viens du terrain et il m’a poli à vif. Technicien itinérant, j’ai appris au rythme des salles serveurs trop froides, des astreintes hors heures et des urgences qui ne préviennent pas. J’ai été formé autant par les architectures que par les modèles économiques des entreprises: marges, niveaux de service, saisons fortes, arbitrages entre coût et risque. Double exposition, feu des interventions et logique business. Cela a affûté mes priorités et ma manière de décider vite sans casser le lendemain.
Au fil des années, j’ai porté plusieurs casquettes selon le besoin: support et helpdesk, technicien itinérant, administration en datacenter sur virtualisation et réseau, référent sécurité, ingénierie cyber et réseau, et parfois la régie jusqu’au rôle de direction du système d’information. Cette trajectoire n’a pas empilé des titres, elle a relié des métiers. Elle m’a appris à tenir la continuité entre diagnostic, durcissement et maintien en conditions opérationnelles, avec des décisions utiles sous charge et sous contrainte.
Le problème, dans les organisations lourdes, c’est le casier. On me propose des postes de virtualisation, systèmes, réseau ou architecture, comme s’il fallait choisir entre le fil et la prise. Ma curiosité ne s’arrête pas au bord d’un domaine. Un ingénieur relie. On me dit: vous avez beaucoup de compétences, vous n’êtes expert d’aucune, nous cherchons des experts, ou des spécialistes. Je réponds que mon expertise est l’articulation. Je comprends ce que l’architecte veut poser, ce que l’ingénieur système doit stabiliser, ce que l’ingénieur réseau doit contenir, ce que l’analyste SOC a besoin de capter. Mon travail est de faire tenir ensemble ces contraintes pour que le tout fonctionne sous charge et sous attaque.
Je préfère un bastion silencieux à un open space bruyant. Un périmètre d’administration propre à une réunion interminable. La sécurité ne se voit pas, elle se vérifie. Elle s’écrit dans les journaux, pas dans les badges. J’ai appris que la sécurité n’est pas un mur, c’est une attention continue.
C’est aussi la raison simple de mon choix. Mon poste, tel que je le pratique, existe peu dans les grandes structures figées. Il vit dans les équipes resserrées et les contextes qui demandent une tête bien faite plutôt qu’un badge de spécialité. Là, soit une petite structure confie tout à un seul ingénieur, soit le portage me permet d’entrer avec un mandat clair et d’opérer à cheval sur plusieurs disciplines sans perdre la ligne de résultat.
Je sais ce que j’apporte. Pas un catalogue, une cohérence. Le fil qui relie la dette technique au risque réel, la configuration au flux, la supervision au geste d’exploitation. Je n’empile pas des outils. J’organise la réponse. Et je la tiens dans le temps.
En poste CDI, on finit souvent par épouser la boîte à outils de l’entreprise. On en maîtrise chaque recoin, on pousse loin les automatismes, mais on s’expose à deux biais: la dépendance à un écosystème et l’aveuglement sur les alternatives. En mission, la contrainte change. Il faut auditer vite l’existant, s’adapter à des environnements hétérogènes et choisir l’outil qui résout vraiment le problème au moindre coût de possession, pas celui qui est simplement le plus familier. Cette neutralité technique oblige à comparer les capacités, le niveau de sécurité, la traçabilité, la facilité d’intégration, le support, la réversibilité, le coût en exploitation et la courbe d’apprentissage pour l’équipe qui restera. Mon rôle n’est pas d’imposer une marque ni de multiplier les consoles. Mon rôle est de réduire la surface d’outils, de n’en garder que ceux qui apportent une valeur mesurable sur la détection, la remédiation et l’exploitation, et de documenter ce choix pour qu’il soit maintenable par ceux qui prennent le relais. La compétence, ici, n’est pas d’avoir tout vu, c’est de savoir évaluer vite, décider sobrement et transférer proprement.
J’ai appris par la casse puis par la reconstruction. Mon vieux site, chaos utile, m’a enseigné qu’on protège d’abord les mots puis les machines. Aujourd’hui, je garde la même règle: curiosité cadrée, corrections reproductibles, documentation brève et actionnable.
Le rôle que je vise et que j’exerce quand les conditions le permettent est simple à nommer, rare à trouver. Être l’ingénieur qui tient la continuité entre l’analyse des failles, le durcissement et la remédiation, puis le maintien en conditions opérationnelles du système d’information dans sa globalité. Sans frontières artificielles entre système, réseau ou architecture. Mon quotidien idéal empile des itérations courtes, avec sorties propres et effets mesurables, dans une trajectoire longue qui va jusqu’au run. Observer, mesurer, durcir, corriger, vérifier, documenter, puis recommencer. C’est un travail d’articulation plus que de collection d’outils: relier l’intention de l’architecte aux urgences de l’exploitation, raccorder les besoins du SOC à la réalité des flux, faire en sorte que l’intention de sécurité survive au passage en production.
Ce rôle a des marqueurs concrets: on détecte les incidents plus vite, on rétablit les services plus vite, on restaure vraiment les sauvegardes, on sort les accès d’administration des postes bureautiques, les exceptions ont une date de fin, les journaux racontent une histoire lisible, les changements ne cassent pas le lendemain. Mon indicateur final n’est pas un slogan. C’est un système qui encaisse, un métier qui respire, une équipe qui garde la main.
On me répond que le CDI fidélise. La fidélité ne se décrète pas, elle se gagne dans la résolution de problèmes réels. Quand une restauration rend une nuit au métier, quand une segmentation coupe une propagation latérale, quand une supervision arrête de crier pour ne signaler que ce qui compte, la relation devient solide. J’appelle cela de la fidélité par le résultat. Elle tient mieux que n’importe quelle clause. La fidélisation, c’est aussi la continuité sur le même périmètre avec le même client. Quand une mission est renouvelée pour approfondir ce qui a été engagé, quand on passe d’un premier cycle de remise en ordre à un cycle de maintien et d’amélioration continue, la confiance devient structurelle. On ne prolonge pas des journées, on prolonge des effets.
On dit que le portage coûte plus cher. Il faut regarder l’économie complète. Le coût n’est pas un chiffre isolé. Il inclut le temps perdu en réunions sans effet, la surface d’attaque laissée ouverte par habitude, la dette technique reportée, les incidents silencieux, les escalades inutiles, la fatigue d’équipes qui compensent à la main. Il inclut aussi la part prise par chaque intermédiaire dans les chaînes classiques. Le portage ne gonfle pas le prix, il déplace la marge et supprime des couches. Quand j’interviens, je coupe les dérives, je resserre le plan, j’aligne les actions sur les risques majeurs, avec moins d’interfaces et un chemin court entre besoin et livrable. Le coût devient lisible parce qu’il se relie à des résultats vérifiables.
Je ne suis pas fermé au CDI. Portage ou CDI, j’évalue au résultat en production, à un périmètre clair, à des jalons tenus et à une sortie propre. Si le rôle couvre l’architecture sécurité opérationnelle et les opérations de sécurité, avec des objectifs vérifiables et une gouvernance qui protège l’exécution, le format du contrat suit. Le contrat suit la mission, pas l’inverse. Le CDI apporte de la stabilité sociale, un cadre connu, des repères. Son revers, c’est l’inertie: décisions centralisées, périmètre figé, cycles longs, arbitrages politiques. La montée en compétence s’y heurte souvent aux calendriers et aux priorités budgétaires. À l’inverse, une mission impose de s’aligner vite sur un besoin réel, de livrer des effets mesurables, d’apprendre à haute fréquence et de traverser des environnements différents. On y gagne en acuité technique, en lecture de risque et en réflexes d’exécution. Mon choix n’est pas idéologique: je préfère le cadre qui maintient la tension utile entre exigence, apprentissage et résultat.
La conformité fixe la grammaire, la stratégie donne le sens. Entre cybersécurité et cyberstratégie, je choisis les deux, mais dans cet ordre: d’abord la pensée adversaire pour décider, ensuite la norme pour prouver. Le portage est cohérent avec cette posture. Il ne me fige pas. Il me rend responsable d’un bout à l’autre, avec une facture qui raconte un parcours de résolution et non une présence abstraite.
Mon profil est inclassable pour les cases RH classiques. C’est un fait et une force. Plutôt que de me laisser ranger dans une colonne, je définis ma case fonctionnelle: articulation, stabilisation, remise en ordre. Le portage est le contenant adapté à cette réalité. Il m’autorise à être évalué sur l’effet produit, pas sur l’étiquette.
Revenir en CDI ne résoudrait rien de ce que l’on me confie si le rôle ne correspond pas à ce périmètre. Je ne choisis pas un camp dans une querelle administrative. Je choisis un cadre où un profil transversal peut livrer sans se faire rogner par les silos. Là où l’on attend de moi de relier des métiers, pas de défendre une frontière. Là où l’ingénierie se mesure à sa capacité à rendre un système défendable.
Je reste là où la mission est claire, la valeur se mesure et la sortie est propre. J’ai besoin d’un cadre qui protège l’exécution et respecte les équipes. Tracer, expliquer, retirer sans douleur: c’est ainsi que j’évite les illusions et que je tiens mes engagements devant des systèmes qui, eux, ne mentent jamais.
Si vous cherchez un interlocuteur pour transformer une infrastructure vulnérable en système défendable, si vous voulez des décisions qui s’écrivent en critères d’acceptation plutôt qu’en slogans, parlons. Quinze minutes suffisent pour cadrer un périmètre, nommer les premiers risques et poser des jalons réalistes. Après, il reste à faire. C’est là que je suis utile.
Malik V.
Références
Cadre légal du portage salarial
Code du travail, article L1254-1, définition officielle du portage salarial, Legifrance
Ministère du Travail, page d’information Le portage salarial
Fiche pratique Portage salarial, Entreprendre Service Public
Référentiels et cadres cybersécurité
ANSSI, Guide d’hygiène informatique 42 mesures
Directive UE 2022/2555 dite NIS 2, EUR-Lex, JOUE L 333 du 27 12 2022
Règlement UE 2022/2554 DORA résilience opérationnelle numérique, EUR-Lex
Règlement UE 2024/1689 AI Act, EUR-Lex, JOUE du 12 07 2024
NIST SP 800-61 Rev. 3 Computer Security Incident Handling Guide 2025
ISO IEC 27001 2022 Système de management de la sécurité de l’information