Intervenants :
Gaëlle Picard, Directrice des relations extérieures de Docaposte
Giuliano Ippoliti, Directeur de la cybersécurité de Cloud Temple
Guillaume Poupard, DGA de Docaposte
Jérôme Saiz, expert en gestion de crise cyber, Senior Advisor CyberCercle
Benoît Moreau, Directeur de la Cybersécurité du groupe Nexter
Avec le développement de la cybersécurité, de ses domaines et applications, on assiste à la multiplication des rôles, des tâches, des responsabilités… Face à la complexification de cet environnement, la difficulté à regrouper tous les talents à la fois oblige les professionnels à la collaboration et au partage de savoir-faire et donc à l’humilité. Car qui dit humilité, dit empathie et humanité : c’est bien l’humain qui reste indubitablement l’élément de base et le cœur des entreprises.
En quoi adopter ce comportement humble est-il essentiel pour mieux faire face aux risques internes/externes d’impacts financiers, juridiques ou d‘image de marque ?
En quoi se remettre en question de façon permanente permet-il de toujours progresser ?
Pourquoi apporter de l’humilité dans les métiers, en les décomplexifiant, est-il un enjeu majeur dans le recrutement ?
Gaëlle Picard, Directrice des relations extérieures de Docaposte
Giuliano Ippoliti, Directeur de la cybersécurité de Cloud Temple
Guillaume Poupard, DGA de Docaposte
Jérôme Saiz, expert en gestion de crise cyber, Senior Advisor CyberCercle
Benoît Moreau, Directeur de la Cybersécurité du groupe Nexter
Avec le développement de la cybersécurité, de ses domaines et applications, on assiste à la multiplication des rôles, des tâches, des responsabilités… Face à la complexification de cet environnement, la difficulté à regrouper tous les talents à la fois oblige les professionnels à la collaboration et au partage de savoir-faire et donc à l’humilité. Car qui dit humilité, dit empathie et humanité : c’est bien l’humain qui reste indubitablement l’élément de base et le cœur des entreprises.
En quoi adopter ce comportement humble est-il essentiel pour mieux faire face aux risques internes/externes d’impacts financiers, juridiques ou d‘image de marque ?
En quoi se remettre en question de façon permanente permet-il de toujours progresser ?
Pourquoi apporter de l’humilité dans les métiers, en les décomplexifiant, est-il un enjeu majeur dans le recrutement ?
Category
🤖
TechnologieTranscription
00:00 Je suis très heureuse que vous soyez parmi nous aujourd'hui sur une table ronde autour
00:14 de la cyberhumilité, un terme qui m'est très cher.
00:18 Vous allez voir pourquoi après.
00:21 Je ne vais pas vous faire le déroulé du parcours des personnes qui m'accompagnent
00:29 aujourd'hui, je vais juste vous les présenter.
00:30 Jérôme Sesse qui est expert en gestion de crise et senior advisor du Cybercercle.
00:36 Bonjour.
00:37 Guillaume Poupard qui est désormais DGA de Doka Post.
00:41 Bonjour.
00:42 Benoît Moreau qui est RSSI et directeur de la cybersécurité du groupe Nextair.
00:47 Bonjour.
00:48 Et pour finir Giuliano Ippoliti qui est directeur de la cybersécurité de Clarent Temple.
00:57 Bonjour à tous.
00:59 Avant de rentrer justement dans le vif du sujet, et j'espère que vous nous entendez
01:03 bien avec le bruit qui est autour de nous, je voulais justement, parce que les mots ont
01:09 de l'importance, je voulais que chacun s'exprime juste sur ce terme de cyberhumilité pour
01:16 que vous compreniez ce qu'on veut faire passer comme message, puisque finalement à chaque
01:21 crise, quelle qu'elle soit et encore plus dans la cyber, l'humain reste au cœur de
01:27 l'entreprise un élément clé.
01:28 Je pense qu'il ne faut pas perdre de vue que le cyber et la crise c'est un affrontement
01:36 et qu'en matière d'affrontement, on ne part pas gagnant si on sous-estime son adversaire
01:42 et donc l'humilité commence déjà par respecter son adversaire et ses capacités et ne pas
01:46 oublier qu'on est vraiment dans un affrontement.
01:48 Oui l'humilité, c'est marrant de prendre le sujet cyber de cet angle là, c'est original,
01:55 mais c'est une qualité essentielle pour le défenseur.
01:59 Pour l'attaquant, je ne sais pas, il faudrait demander aux attaquants, mais fondamentalement
02:03 on est encore dans une situation où les attaquants, ils ont juste le risque d'échouer, mais
02:08 ce n'est pas grave, en fait tout ce qu'ils font est probablement compté en positif,
02:12 c'est encore comme ça.
02:13 Là où le défenseur de plus en plus, c'est celui qui doit tout parer, qui doit tout contrôler
02:17 en permanence, est tel le gardien de but qui est condamné à échouer d'une certaine
02:22 manière, même si ce n'est pas ce qu'on lui souhaite.
02:24 Donc l'humilité est essentielle à la fois pour les professionnels du sujet, mais également
02:31 pour toute la chaîne de décision qu'il peut y avoir au-dessus.
02:33 C'est peut-être ça qu'on va rediscuter.
02:35 Effectivement c'est rigolo comme nouvelle approche de la cyber et finalement c'est fondamental
02:43 aujourd'hui, on subit une espèce de transformation.
02:45 On le voit notamment sous l'angle des assureurs.
02:48 Les assureurs jusque là ils disaient, pour avoir une assurance cyber, est-ce que vous
02:52 avez rempli la grille ? Remplir une grille ça veut dire on sait exactement quelle est
02:58 la menace dont on se protège et comment on se protège.
03:01 Le constat c'est que ça ne marche pas.
03:04 Ils ont remboursé beaucoup plus que ce qu'ils ont gagné.
03:07 Aujourd'hui l'approche par "je sais ce que je dois faire, je sais de quoi je me protège"
03:14 ne marche plus.
03:15 Il faut être très très humble et dire "je ne sais pas ce que va être l'attaque de
03:19 demain, ce que va être la crise de demain, il faut que je continue juste à m'entraîner,
03:23 me préparer, rester très humble sur ce que je sais faire et ce que je peux faire".
03:28 La cyberhumilité est un concept qui a plusieurs facettes à mon sens et qui s'exprime aussi
03:37 bien dans le questionnement individuel qu'on peut avoir face à la complexité du sujet
03:42 et aussi dans les interactions qu'on a avec ses collègues, ses clients, ses partenaires.
03:46 J'ai identifié trois axes de réflexion, l'humilité épistémique, l'humilité dans
03:54 la posture et l'humilité sociale.
03:56 Je vais développer ça tout de suite.
03:58 Tu vas garder le micro puisque justement en préparant cette table ronde avec Juliano,
04:07 on a beaucoup discuté sur le système de valeurs et d'éthique que doit avoir quand
04:13 on travaille dans la cyber.
04:15 Et ces trois concepts qu'il avait justement d'humilité épistémique, d'humilité sociale
04:21 et d'humilité de posture.
04:23 Donc si tu peux justement nous développer ces trois sujets.
04:26 Oui, avec plaisir.
04:27 Je commence par l'humilité épistémique qui est la conscience de la limitation de
04:32 son savoir.
04:33 Elle tire son origine dans l'histoire ancienne.
04:36 Quand Socrate disait "je sais que je ne sais rien", c'est un excellent exemple
04:40 d'humilité épistémique.
04:41 Elle est aussi au cœur de la méthode scientifique, le fait de tester des hypothèses, d'essayer
04:47 de les confirmer ou de les invalider.
04:49 Et elle est très importante dans la cybersécurité parce qu'elle est associée, à mon sens,
04:55 à l'ouverture à l'apprentissage.
04:57 C'est un monde qui est tellement changeant avec de nouvelles technologies, de nouvelles
05:02 menaces que si on n'a pas cette ouverture à l'apprentissage, on est voué à l'échec,
05:08 je dirais.
05:09 Et cette notion est également associée à la curiosité.
05:13 La curiosité qui est traditionnellement très associée au monde de la cyber.
05:18 Dans le manifeste du hacker en 1986, il y avait une phrase qui m'avait beaucoup marqué
05:23 "my crime is that of curiosity".
05:25 Donc la curiosité est vraiment très importante.
05:27 C'est important de faire preuve d'humilité épistémique, notamment dans les crises.
05:33 Ça évite de partir bille en tête dans une mauvaise direction et de suspendre le jugement
05:39 pendant un certain temps.
05:40 Cette humilité épistémique a quand même un revers.
05:45 C'est lié à l'exercice du leadership.
05:50 En fait, les personnes nous suivent souvent en fonction du degré d'assurance qu'on affiche.
05:59 Donc on peut avoir une tension entre ce besoin d'afficher de l'assurance, notamment dans
06:04 les situations de crise où la direction générale prend parfois le RSC, le directeur cyber,
06:10 comme un super héros qui doit avoir réponse à tout, et le fait de garder un jugement
06:13 qui est suspendu.
06:14 La deuxième notion, c'est l'humilité dans la posture.
06:18 C'est le concept selon lequel la sécurité est au service des métiers.
06:25 La sécurité n'est pas une fin en soi.
06:27 Donc une entreprise qui est hyper sécurisée, mais qui perd de l'argent et qui ne vend
06:32 rien, va mettre la clé sous la porte.
06:35 Donc les professionnels de la sécurité doivent avoir à l'esprit qu'ils sont au service
06:41 du business, comprendre leurs besoins, se mettre à l'écoute, être dans une posture
06:47 d'accompagnement plutôt que de veto.
06:49 Encore une fois, cette facette de l'humilité a un revers.
06:55 C'est celui selon lequel le RSC peut se replier dans une posture de pur conseil.
07:01 Alors que parfois, il faut un peu secouer la direction pour lui faire prendre conscience
07:08 de la menace.
07:09 Donc encore une fois, il faut trouver le bon équilibre.
07:11 La troisième forme d'humilité, l'humilité sociale, fait référence à tout ce qui est
07:17 bienveillance, empathie, humanité.
07:19 Donc mis à part les aspects éthiques, à mon sens, à mon humble avis, c'est important
07:24 que le directeur de sécurité fasse preuve de cette qualité parce qu'il va devoir interagir
07:30 avec des personnes avec qui il n'a pas forcément un lien hiérarchique.
07:33 Donc il doit faire preuve d'influence, il doit tisser des bonnes relations avec ces
07:38 personnes-là.
07:39 Le revers de la médaille, c'est qu'on peut parfois refuser d'aller au conflit alors
07:44 que ça peut être la bonne chose à faire dans certaines situations.
07:47 Ce qu'on a essayé de faire, si on ne vous a pas perdu avec ces trois concepts, c'est
07:56 de casser cette image du geek à capuche qui travaille tout seul derrière son ordinateur.
08:02 Avec Jérôme, on voulait justement vous prouver comment il faut déconstruire ce mythe parce
08:10 que ce mythe fait que beaucoup de jeunes aujourd'hui ne vont pas dans ce secteur parce qu'ils
08:15 ne veulent pas se retrouver seuls, ils veulent travailler en équipe.
08:17 Jérôme, peux-tu nous expliquer pourquoi il est essentiel de déconstruire ce mythe ?
08:23 Alors déjà, les attaquants eux-mêmes l'ont déconstruit depuis longtemps puisqu'aujourd'hui
08:32 on n'est plus dans le pirate à capuche qui travaille seul, on est dans des groupes d'attaquants
08:38 qui produisent des outils et des plateformes qui louent à d'autres groupes d'attaquants.
08:42 Ils ont chacun leur propre rôle.
08:45 Ils sont peut-être très humbles aussi.
08:46 Celui dont le rôle est de donner des accès, de vendre des accès volés à ses camarades,
08:51 eh bien il ne fait que ça.
08:54 Et celui dont le rôle est de développer les outils d'accès initiaux ne fait que ça.
09:01 Donc les attaquants ont déjà décloisonné ça et travaillent déjà beaucoup en groupe.
09:04 Donc il n'y a aucune raison que les défenseurs ne le fassent pas.
09:06 Ensuite, évidemment, l'autre aspect qui milite fortement pour ne plus travailler seul,
09:11 c'est que la crise est quelque chose d'incroyablement complexe.
09:15 Parce que les entreprises sont complexes, parce que les systèmes d'information sont
09:19 complexes et parce que les interactions entre les systèmes d'information et la vie de
09:23 l'entreprise sont terriblement complexes.
09:24 Donc aujourd'hui, il n'est plus possible d'avoir le bonhomme qui a tout dans sa tête
09:28 et qui va pouvoir orchestrer tout ça et à la fois créer une stratégie de réponse,
09:33 l'adapter et aller mettre la main dans le moteur, aller créer des règles de pare-feu,
09:39 aller faire de l'analyse, de malware, etc.
09:41 C'est fini tout ça.
09:42 C'est excessivement complexe.
09:44 Donc déjà, la crise est forcément, ou la réponse à l'incident et la gestion de crise
09:48 est forcément une affaire d'équipe.
09:50 On va avoir des gens qui sont, et là c'est très important aussi si on parle de rejoindre
09:54 ces métiers-là, on a tout un pan de la gestion de crise qui n'est pas un pan technique.
09:58 Évidemment, il faut être en mesure de comprendre les grands concepts techniques, ça c'est
10:03 évident, mais pas de les mettre en œuvre.
10:06 Je suis un très mauvais développeur.
10:08 J'adore ça, mais je développe mal.
10:09 En revanche, ça me permet de comprendre des concepts que je vais pouvoir mettre en application
10:14 quand je parlerai à des DSI par exemple.
10:16 De la même manière, on a besoin de gens qui soient formés à la politique, à la
10:20 géopolitique, à des gens qui soient formés à la politique de l'entreprise, au légal,
10:25 le juridique très important, à la communication.
10:27 Et donc, quand on est, paradoxalement, plus chacun est spécialisé et bon dans son domaine,
10:34 plus tout le monde est humble.
10:35 Vous connaissez cette fameuse courbe, bien sûr, où moins on en sait, plus on croit
10:41 en savoir.
10:42 Eh bien moi, je préfère pour gérer une crise, avoir des individus qui soient très
10:45 bons chacun dans leur domaine, qui ont dépassé un petit peu cette courbe-là où ils pensent
10:51 tout savoir parce qu'ils n'en savent pas assez, et avoir une équipe d'experts qui
10:54 forcément seront probablement plus humbles.
10:57 Et encore une fois, pas que des experts techniques.
10:59 Justement, pour rebondir sur ce que tu viens de dire et pour partager ensemble, on se rend
11:07 compte de plus en plus de l'importance du directeur cyber ou du RSSI et de sa place
11:13 clé dans l'entreprise parce qu'il devient un réel influenceur.
11:16 Et justement, j'aimerais, cette notion d'influenceur est plutôt utilisée dans le monde de la
11:22 com, dans le monde des réseaux sociaux.
11:25 J'aimerais justement que chacun, vous nous disiez comment vous voyez les choses de cette
11:30 influence au sein de l'entreprise du directeur cyber ou du RSSI.
11:35 C'est moi qui attaque.
11:42 Ce n'est pas un rôle classique d'influenceur.
11:48 C'est une influence qui arrive de manière négative très souvent parce qu'il s'est
11:55 passé des choses pas souhaitables, parce qu'il y a eu des attaques.
11:58 Donc moi, j'ai un peu joué ce rôle-là au sein de l'État.
12:02 En fait, je peux vous assurer qu'au départ, il y a quelques années, l'influenceur était
12:08 fui fondamentalement parce que le responsable cyber, le responsable RSSI, c'est celui qui
12:14 apportait de la contrainte, qui mettait sur le devant des problèmes qui étaient bien
12:19 enfouis dans la mauvaise conscience.
12:21 Et c'est vrai que progressivement, avec le constat, le fait d'admettre que ce cyber,
12:30 c'était quelque chose d'inéluctable, de plus en plus, de créer une relation de confiance.
12:35 Et c'est là que l'influence intervient, une relation de confiance.
12:39 C'est-à-dire, finalement, il faut faire face à ce problème-là.
12:43 Sur qui je peux m'appuyer ? On a des équipes SSI, on a des équipes cyber qui sont finalement
12:48 une force et pas un poids à traîner ou quelqu'un qui va nous coûter cher pour rien.
12:52 Et puis l'étape d'après, c'est justement la mise en œuvre de cette influence avec
13:00 ce que j'ai vécu.
13:02 Comment est-ce qu'on fait pour porter des sujets aussi techniques, qui ne sont pas faciles
13:07 à vulgariser objectivement, auprès de personnes qui sont des personnes très intelligentes
13:12 et je dis sans ironie, mais qui n'ont pas la culture et qui pour certains d'entre
13:16 eux n'ont pas la culture, même numérique, tout court.
13:19 Je ne balancerai pas de noms, mais il y a encore des ministres qui font imprimer leurs
13:23 mails.
13:24 Donc le matin, leur secrétaire imprime les mails, ils répondent à la main sur les mails
13:29 et c'est la secrétaire qui tape la réponse.
13:31 Ils ne sont pas tous comme ça.
13:34 Et puis tout en haut, il y en a qui sont un peu trop digitales natives, donc ça pose
13:38 d'autres problèmes, mais ça je ne retournerai pas dans le détail.
13:40 Mais fondamentalement, comment est-ce qu'on fait pour apporter des éléments à ces décideurs
13:45 pour qu'ils puissent intégrer ces questions cyber ? Comment est-ce qu'on fait pour les
13:48 influencer de manière à ce que leur choix à la fin, leur choix en termes de politique
13:51 publique, leurs grandes décisions, tiennent compte de ces sujets qui sont fondamentalement
13:56 incompréhensibles dans son essence technique ?
13:59 Et c'est là où la question d'humilité en miroir quelque part, d'humilité pour
14:04 celui qui porte le message, mais également de mettre, de créer les conditions pour mettre
14:08 le destinataire dans une position d'humilité aussi, parce qu'il faut accepter de ne pas
14:12 tout comprendre, il faut accepter de ne pas tout maîtriser, il faut accepter de ne pas
14:15 avoir la science infuse et d'écouter un petit peu ce que peuvent dire les experts.
14:19 Là, c'est un exercice intéressant qui a pris une énorme maturité au fil des années
14:23 très clairement.
14:25 Effectivement, le rôle d'influenceur, la mission, le devoir d'influencer, d'expliquer,
14:31 porté par les gens de la cyber, aujourd'hui, il n'était pas toujours connu, pas toujours
14:36 apprécié.
14:37 On a des super experts, mais ils n'ont pas trop envie de parler.
14:40 On s'aperçoit qu'on a eu un grand courant qui disait "tous les développeurs, tous les
14:45 élèves, on devrait leur expliquer la cyber".
14:47 Moi j'aurais tendance à dire "mais ceux qui font de la cyber, on devrait leur imposer
14:51 un module de communication".
14:52 Parce que faire passer un message, c'est un métier.
14:55 Et on ne le fait pas passer pareil en fonction de l'interlocuteur.
14:58 Donc ils doivent se mettre au niveau, ils doivent expliquer ce qui se passe.
15:02 Donc ce côté un peu, je vous explique ce qui est en train de se passer, de façon simple,
15:10 de façon on se met au niveau.
15:12 Et ça, pour un expert, c'est très compliqué.
15:16 Accepter de porter un message qui n'est pas techniquement exhaustif et juste, de faire
15:22 des à peu près, de faire des images, d'expliquer le niveau du risque sans être alarmiste,
15:27 réussir à porter un peu la situation pour gagner la confiance, pour qu'à la fin on
15:32 nous dise "ça va ou ça va pas ?" On n'est qu'à dire "non mais c'est bon, là on maîtrise
15:36 à peu près".
15:37 C'est tout un travail de communication.
15:38 Et donc la communication est un domaine de compétence qui doit être porté par la cyber.
15:46 Et donc ça veut dire, ce que disait Jérôme, c'est que finalement dans le domaine de la
15:50 cyber, on a aussi besoin de communicants pour réussir à bien parler des choses, pour
15:54 impliquer tout le monde, utiliser le "nous".
15:56 Ne pas être juste en contrôle à la fin, vous n'avez pas le droit.
16:00 C'est "nous devons faire attention".
16:01 Voilà.
16:02 Si je peux juste rebondir là-dessus, c'est hyper intéressant.
16:06 Quelque chose que j'ai beaucoup dit à Nancy et que je redis beaucoup à Doc Aposte, quand
16:10 il s'agit de s'adresser à des décideurs, à des ministres et tout ça, il leur dit
16:16 "expliquez votre machin pour un enfant de 6 ans".
16:19 C'est classique en com.
16:20 À chaque fois que je dis ça, je vois que ça crispe, ça choque.
16:25 C'est de l'irrespect et tout ça.
16:27 Un ministre, ce n'est pas un enfant de 6 ans.
16:28 Mais non, un ministre, c'est quelqu'un qui va avoir une minute à consacrer au sujet.
16:31 Donc en une minute, il faut lui porter le message.
16:34 Donc si on écrit quelque chose, il faut que ça fasse une page grand maximum.
16:37 Et en termes de vocabulaire, en termes d'explication, de pédagogie, il faut se mettre dans la situation
16:45 de dire "si j'avais un enfant de 6 ans, et c'est peut-être parfois plus facile, comment
16:48 est-ce que je ferais pour lui expliquer mon problème ?".
16:50 Et quand on pose la question comme ça, on se rend compte qu'en général, tout ce qu'on
16:53 a produit avant, ça ne va pas du tout.
16:54 C'est là aussi une forme d'humilité du côté de ceux qui doivent porter ce message
16:58 autour de la cyber.
16:59 Oui, donc dire que le RSCI est un influenceur, à mon avis, est très juste.
17:05 Je prends le sujet sous un autre angle.
17:07 La sécurisation d'une organisation est un effort pluridisciplinaire.
17:11 Le RSCI doit travailler avec les ressources humaines, le commerce, les développeurs,
17:16 les ingénieurs en infrastructure.
17:18 Et il peut s'appuyer sur trois formes de pouvoir, je dirais.
17:22 Le pouvoir hiérarchique, il a vraiment la possibilité de l'exercer.
17:26 Il pourra l'exercer dans son équipe, mais c'est limité.
17:29 Le pouvoir qui est lié à son expertise, à sa culture technique.
17:38 Celui-là, il peut l'exercer dans certains cas, mais il peut arriver au RSCI de devoir
17:44 travailler avec des experts qui sont plus pointus que lui.
17:47 Donc, il reste le pouvoir d'influence qui est lié au fait de bâtir des relations de
17:51 confiance avec les autres, de passer le message qu'on est tous sur le même bateau et d'avancer
17:56 ensemble dans le but de la sécurisation.
17:58 Je terminerai sur un exemple que j'ai vécu des dizaines de fois l'an dernier.
18:05 Je suis régulièrement contacté par des DSI, des directeurs du système d'information,
18:10 ou des RSCI, des responsables de la sécurité, qui me demandent de préparer un exercice
18:15 de crise pour leur COMEX.
18:16 C'est-à-dire qu'eux ont fait preuve d'influence pour pouvoir convaincre leur COMEX de bloquer
18:21 quatre heures dans leur agenda, de manière à venir dans une salle, autour d'une table,
18:26 jouer une crise, jouer un scénario de crise.
18:29 Ces DSI qui me contactent sont parfaitement au courant de leur vulnérabilité.
18:33 Ils savent très bien comment la crise va se dérouler et comment ça va leur faire
18:37 mal.
18:38 En revanche, ils savent aussi que leurs dirigeants n'ont pas conscience de tout ça.
18:41 Et donc, c'est une preuve d'humilité de leur part.
18:43 Ils se retrouvent avec moi pendant quatre heures à jouer le rôle finalement de celui
18:47 qui a échoué, puisque si on joue un exercice de crise majeure, c'est que quelque part,
18:51 quelque chose ne s'est pas bien passé sur le système d'information dont ils ont
18:54 la responsabilité.
18:55 Mais ils font preuve d'humilité, ils acceptent de jouer ce rôle-là pour qu'en échange,
19:00 leur comexe soit mis en face de toutes les décisions incroyablement difficiles auxquelles
19:05 ils ne pensent pas qu'ils auront à prendre pendant une crise.
19:08 Et généralement, quand ça se passe bien, à la sortie de ce type d'exercice, la direction
19:13 générale a toute une liste de courses et de demandes concrètes à faire parce qu'ils
19:17 ont touché du doigt tout ce qui leur manquait, tous les problèmes de décision qu'ils
19:21 avaient, tout ce qu'ils n'avaient pas pu faire.
19:22 Et donc, ça pour moi, c'est vraiment preuve d'humilité de la part des DSI et des RSSI
19:27 de se dire « je vais montrer que je suis vulnérable, je vais afficher une vulnérabilité
19:30 en plus ils travaillent avec moi, ils travaillent avec un externe pour exhiber leur vulnérabilité
19:34 parce qu'on cherche à trouver le scénario qui va faire mal ou casser ou appuyer pour
19:38 que ça parle vraiment au comexe.
19:40 » Et ça, ils le font en toute transparence, en toute humilité et généralement, ça
19:44 paye.
19:45 Merci Jérôme.
19:46 Depuis quelques temps, que ce soit les services marketing ou la communication, tout part
19:53 de l'usage.
19:54 La com communique sur les usages de clients, le marketing développe des offres pour les
19:59 usages, des clients aussi.
20:01 Et on se rend compte que la cyber devient un truc, parce que je n'ai pas trouvé un
20:07 autre mot avec Benoît pour exprimer la chose, un truc justement pour développer les usages
20:14 au sein des entreprises.
20:15 Donc Benoît, j'aimerais justement que tu évoques ce truc.
20:18 Ce truc.
20:19 Je vais vous parler de mon truc.
20:20 Mon truc en plus.
20:22 Sur les usages en entreprise, mais aussi sur le développement de solutions, de produits
20:27 au sens large.
20:28 Pour introduire le sujet, est-ce que vous connaissez les Darwin Awards ? Non.
20:33 Vous allez voir sur Internet, il y en a quelques-uns qui connaissent.
20:37 Les Darwin Awards, c'est les morts les plus bêtes qui soient.
20:40 Les gens se sont tués de façon la plus idiote possible.
20:43 Vous verrez, même en Australie, il y a des endroits très dangereux, ils ont mis des
20:48 affiches en marquant « Darwin Awards Spot ». Si vous voulez vous tuer de façon bête,
20:52 c'est ça.
20:53 Et un exemple, il y en a un qui a dit « je prends ma voiture dans le désert du Nevada,
20:57 je mets une roquette dessus, enfin un réacteur de roquette, pour aller vachement vite dans
21:00 le désert ». Il a été vachement vite, c'est super, c'est une innovation.
21:05 Il a fait une voiture à réacteur.
21:06 Mais il s'est pris la falaise qui était au bout.
21:10 Il en est mort.
21:11 Il a fait une innovation sans tenir compte des risques de la sécurité, sans se poser
21:16 la question de dire qu'est-ce qui pourrait mal se passer.
21:19 De l'innovation, il est passé à le Darwin Award.
21:23 Aujourd'hui, la cyber, c'est un peu ça.
21:25 Ça revient sur ce que tu disais.
21:26 On n'est pas là, c'est une humilité de posture, on n'est pas des contrôleurs,
21:29 on n'est pas des gendarmes.
21:30 On est plutôt là à dire « qu'est-ce que vous voulez faire ? » en interne, comme
21:35 produit, comme solution.
21:36 Attendez, on va y réfléchir ensemble, on va trouver un moyen de le faire bien, dès
21:40 le début.
21:41 Donc la cyber, c'est un enabler, c'est un truc qui dit « ça sera un élément qualitatif
21:45 de ce qu'on est en train de faire ».
21:46 Et ça devient même réglementairement contraint par les nouvelles réglementations européennes
21:52 sur la mise sur le marché de produits numériques, qui contiennent du numérique.
21:55 En gros, on doit garantir le niveau de sécurité.
21:56 Donc les gens dans la cyber sont maintenant des acteurs clés de l'innovation.
22:02 Dès le début, il faut les mettre dedans pour pouvoir faire quelque chose de nouveau.
22:06 On n'est pas à la fin, on n'est pas seul, on fait partie de ceux qui apportent un critère
22:11 qualitatif.
22:12 Et aujourd'hui, quand vous achetez une voiture, beaucoup on regarde les tests euro, crash
22:16 on car, est-ce qu'il est à trois étoiles, est-ce qu'il y a des airbags ? C'est un
22:19 différenciant.
22:20 Ce qui est en train de se produire sur le numérique, c'est pareil, c'est un différenciant
22:23 avec des contraintes réglementaires.
22:25 Et donc la cyber, c'est comme un développeur, c'est un mec qui amène son expertise pour
22:29 faire un truc bien à la fin.
22:30 Ce que tu es en train de nous dire, c'est qu'il ne faut pas passer de l'innovation
22:34 à l'annulation comme le bonhomme avec sa fusée, c'est ça ?
22:38 Je vais voir s'il fonctionne.
22:41 Donc on a parlé précédemment de l'influenceur, tout le monde s'est un peu exprimé.
22:48 Guillaume a commencé à toucher du doigt de comment on parle justement à des gens
22:55 qui sont dans des comex.
22:56 Il a parlé de ministres sans les citer, de personnes assez haut placées justement, où
23:03 avant, alors depuis le Covid ça a changé, mais avant les budgets cyber étaient vraiment
23:07 les derniers budgets de l'entreprise.
23:10 Il y a une prise de conscience grâce au Covid et aux nombreuses attaques.
23:13 Et justement, comment arrive-t-on à convaincre un comex, comment arrive-t-on à convaincre
23:19 un ministre qu'il faut agir et qu'il faut démystifier ce sujet au plus haut de l'entreprise,
23:28 au-delà de la base ?
23:29 Je commencerai peut-être juste par une réponse qui n'en est pas une avant de laisser mes
23:32 camarades donner de vraies réponses intelligentes.
23:34 Pour mes clients, c'est ultra facile parce que moi je passe quand ils sont à l'arrêt
23:39 et qu'ils perdent des millions par jour à cause d'une attaque et je peux vous garantir
23:42 qu'après une attaque, le carnet de chèques est ouvert et des projets qui étaient prévus
23:46 sur trois ans sont faits dans les six mois.
23:48 Donc l'attaque, ça fait mal, mais ça débloque les budgets.
23:53 Maintenant, si on peut trouver autre chose, c'est mieux.
23:55 Guillaume, peut-être prouve autre chose.
23:58 Non, non, il faut être très opportuniste.
24:02 Pour les dinosaures, il y a dix ans, il fallait réussir à convaincre des décideurs de choses
24:13 qu'ils ne voyaient pas.
24:14 On ne parlait pas d'attaques.
24:16 Dans les médias, c'était encore très peu développé parce que c'était peu visible.
24:23 Il y avait déjà beaucoup d'attaques, mais plutôt de l'espionnage, des choses qu'on
24:26 gardait secrètes pour de bonnes raisons aussi.
24:28 C'était compliqué d'aller convaincre les décideurs du fait qu'il y a cette dimension
24:35 en plus et que ça va coûter de l'argent.
24:36 Et puis le ROI de tout ça, il est dur à mesurer.
24:41 Parce que le ROI, si on sait bien protéger, qu'on évite les attaques, évidemment on
24:46 y gagne.
24:47 A l'inverse, si on n'a pas fait le boulot, ça peut coûter extrêmement cher.
24:50 Mais ça ne rentre pas dans les tableaux Excel, c'est très compliqué.
24:53 Et puis fondamentalement, j'ai expérience il y a longtemps avec des directeurs de programme
24:57 plutôt côté militaire.
24:59 Il faut bien comprendre, et là ce n'est pas de l'humilité, c'est de l'empathie,
25:03 c'est comprendre les problèmes du gars en face.
25:05 Un directeur de programme, c'est quoi ses craintes ? C'est les coûts, une dérive
25:13 des coûts.
25:14 Donc, vous parlez de cyber, vous arrivez en disant, il va falloir payer pour, ça va
25:19 coûter quand même.
25:20 Des délais, on veut que le programme arrive à l'heure, si il faut commencer à recasser
25:26 l'architecture, à rajouter des morceaux, ça va forcément prendre du temps.
25:28 Et puis les performances, donc coûts, délais, performances.
25:32 Si vous allez vous balader du côté de la DGA, ce n'est pas très loin d'ici, dans
25:35 les couloirs on ne vous parle que de coûts, délais et de performances, c'est normal,
25:37 c'est de la direction de programme.
25:38 Et les performances, la cyber, il faut bien le vendre.
25:43 Mais en général, nativement, ça n'améliore pas la performance, c'est par nature.
25:48 En tout cas, pas directement, c'est évident.
25:50 Il faut faire en sorte que ça ne la dégrade pas, mais c'est très compliqué.
25:53 Donc voilà, la situation est très complexe.
25:56 Aujourd'hui, comme je disais, ça a changé parce que le cyber, on en parle en permanence.
26:01 Les grands patrons, ils se parlent entre eux et tout ça, ils connaissent tous, quand ils
26:06 ne se sont pas eux-mêmes fait attaquer, ils connaissent tous quelqu'un d'assez proche
26:09 qui s'est fait attaquer.
26:10 Donc, on est dans une situation qui est beaucoup plus favorable pour apporter le message.
26:14 Et l'enjeu maintenant, c'est de réussir à faire remonter cette matière très technique,
26:19 très complexe, au niveau des lieux de décision, des comex, des conseils d'administration,
26:26 un endroit où finalement on gère du risque.
26:28 Un décideur, c'est quoi son métier ? C'est de gérer des risques.
26:31 C'est son seul métier même, fondamentalement.
26:33 Et donc c'est assez paradoxal parce que d'un côté, leur métier au quotidien, c'est
26:38 de gérer des risques, et de l'autre, on a un risque qui est atypique, qui est encore
26:41 méconnu, qui est dur à appréhender parce qu'il y a encore trop de technique dans son
26:45 approche.
26:46 Et donc tout l'enjeu, c'est de réussir à remballer ça et à le présenter avec
26:53 le bon langage.
26:54 Et le bon langage, c'est quoi ? C'est avec des indicateurs, c'est avec… voilà,
26:57 il faut rentrer dans le vocabulaire, dans la manière de parler.
27:02 Et en même temps, et ça c'est très important parce que j'ai vu ces évolutions dans beaucoup
27:08 de comex, il faut réussir à faire ce travail-là en gardant un lien très fort avec la réalité.
27:14 J'ai vu des comex aller trop vite, trop loin, et finalement arriver à des trucs avec
27:21 des KPI, des trucs comme ça.
27:22 Je découvre ça maintenant que je suis dans le privé.
27:24 Et puis avec des discours complètement absurdes, du genre « bon alors l'an dernier on était
27:30 à 4,6, cette année on est à 4,7, on peut se féliciter collectivement ». Mais 4,6,
27:35 4,7 de quoi ?
27:37 Vous avez vu l'Ukraine ? Vous avez vu les dernières attaques ?
27:39 C'est où dans la décimale qui a changé ?
27:42 Donc tout l'enjeu c'est de rentrer dans le mode de travail qui est celui des décideurs,
27:49 et en même temps que tout ça ne se déconnecte pas de la vraie vie, parce que la cybersécurité
27:54 malheureusement c'est de la vraie vie aussi, surtout quand ça tourne mal.
27:57 C'est la vraie vie.
27:58 Alors une précision sur un facteur qui est important aussi dans ce cadre-là des comex,
28:02 on a des gens dans les comex qui sont très bien câblés, qui comprennent bien et vite,
28:06 c'est pas pour rien qu'ils sont aux comex.
28:08 En revanche jusqu'à présent on a qui dans le comex ? On a quel profil ? On a des gens
28:11 qui ont fait carrière dans la finance, dans la vente, dans le marketing, dans la production.
28:16 On a personne qui a fait carrière dans le cyber et qui est arrivé au comex.
28:20 Donc c'est encore un sujet nouveau pour eux.
28:24 A terme ça devrait changer, on l'espère en tout cas, mais pour l'instant effectivement
28:27 c'est surtout que personne au comex n'a fait carrière dans la cyber.
28:30 Je voudrais réagir avec une petite blague pour commencer, c'est que de toute façon
28:34 la cyber ça ne sert à rien.
28:37 C'est comme les détecteurs de fumée chez vous, ça sert à rien.
28:42 Ça ne vous fait pas de la musique, ça ne vous fait pas de la lumière au quotidien,
28:45 ça ne vous apporte aucune fonctionnalité.
28:46 La cyber c'est pareil, ça n'apporte aucune fonctionnalité au quotidien et pourtant
28:50 c'est indispensable.
28:51 On le sait tous sur les détecteurs de fumée.
28:54 Bon, et encore l'humain est très joueur avec le risque, c'est un autre problème.
28:56 Ensuite, je te disais Guillaume, on parle au comex, on va avoir des KPI jusqu'il n'y
29:03 a pas très longtemps, finalement on avait un truc qui s'appelait la conformité, qui
29:06 était hyper rassurant.
29:07 On avait une grande PSSI portée par l'état avec 200 mesures, on disait on en a appliqué
29:14 195, donc on est hyper fort, on est conforme, pas conforme.
29:18 On vient de dire, ça ne marche plus, parce que cette mesure ne traite que ce qu'on a
29:24 identifié, les menaces et les mesures techniques à mettre en place, et donc c'est une mesure
29:29 technique à un instant donné par rapport à un monde connu.
29:32 Et donc cette mesure très rassurante, parfois trop rassurante pour certains comex, peut
29:37 être très dangereuse, parce que ça ne prend pas compte des nouvelles menaces.
29:41 Et là on a un gros travail en ce moment, on n'a pas encore trouvé la réponse.
29:44 C'est de passer d'une mesure de conformité technique, j'ai bien mis en place toutes
29:50 les mesures que j'ai identifiées, à une mesure de conformité capacitaire.
29:55 Suis-je prêt ? Suis-je suffisamment entraîné ? Et ça c'est hyper dur à mesurer.
30:00 Finalement aujourd'hui la seule chose qu'on sait réellement tester, mesurer, c'est en
30:06 faisant des exercices.
30:07 C'est en se disant, ok, on pense qu'on est à peu près bon, on teste, on s'entraîne,
30:12 on imagine que c'est rentré, qu'est-ce qu'on fait, et c'est comme ça qu'on se
30:15 teste.
30:16 Et donc finalement la mesure, le capillail de robustesse, c'est comme quand on teste
30:21 la robustesse d'un objet, c'est qu'on tape dessus.
30:22 Donc on s'auto-tape dessus pour voir si on est robuste, et on arrête d'avoir ce qu'on
30:27 est bon partout.
30:28 Pour l'information, à mon sens, la toute dernière étape de cette pratique-là, c'est
30:35 ce que fait Netflix.
30:36 Netflix ont un système qu'ils ont appelé les Chaos Monkey, les singes du chaos, qui
30:42 sont des scripts qu'ils lancent et qui tuent des choses aléatoirement dans le système
30:46 d'information, en production, régulièrement, pour voir comment ils se débrouillent.
30:50 Et quand on arrive à faire ça et continuer la production, c'est qu'on a atteint un
30:53 niveau de maturité particulièrement élevé.
30:56 Et c'est quand même un signe, soit de stupidité, soit d'humilité, de se dire je suis suffisamment
31:02 humble pour me dire je vais jeter des choses, ça va casser, mais c'est pas grave, on va
31:05 se remonter, on va remonter, on va repartir.
31:07 Est-ce que quelqu'un d'entre vous connaît la notion d'antifragilité ? C'est tout à
31:13 fait ça je pense, l'amélioration à travers l'exposition à des facteurs de stress.
31:17 Juste un petit complément sur le comex, je pense qu'il faut éviter de passer pour quelqu'un
31:22 d'intégriste jusqu'au boutiste et montrer qu'on est là pour aider l'organisation à
31:26 trouver le bon équilibre entre un défaut de sécurité, si on se fait hacker, bien sûr
31:31 c'est pas bon, mais même un excès de sécurité où les gens ne peuvent plus travailler.
31:35 Mon ancien PDG avait tendance à dire non mais de toute façon l'avion le plus sûr
31:41 c'est celui qui vole pas.
31:43 Et nous on a besoin de voler.
31:44 Donc avant, j'aimerais bien vous passer le micro justement pour quelques questions,
31:52 mais avant cette clôture de cette table ronde qui est vraiment passionnante sur cette terminologie,
31:59 vous avez compris justement qu'au-delà de la cyberhumilité, c'est vraiment ce recul
32:06 qu'il fallait prendre et justement en un mot, au-delà justement de la cyberhumilité,
32:13 qu'est-ce que vous diriez ?
32:14 Moi j'aurais choisi le mot coordination, pas communication mais coordination parce que
32:20 l'entreprise c'est des humains, c'est des faisceaux d'efforts individuels qui
32:24 vont dans le sens du profit en commun en tout cas pour l'entreprise et ses actionnaires.
32:28 Et la coordination c'est comment on arrive à faire travailler beaucoup d'individualités
32:32 ensemble et ça veut dire qu'on est forcément humble parce qu'on prend en compte les faiblesses
32:37 et les forces de l'autre et on essaye d'en tirer le meilleur collectivement.
32:41 Merci.
32:42 Guillaume ?
32:43 Moi ce serait normalisation, un peu à regret d'ailleurs mais normalisation pas au sens
32:51 des standards, les normes ISO et tout ça mais normalisation du risque cyber.
32:55 Aujourd'hui il est traité de manière très ad hoc quand il est traité mais de plus en
32:58 plus il est traité.
32:59 Ça ne peut être qu'une étape vers un moment où finalement ce risque sera intégré
33:03 avec tous les autres risques et mon rêve c'est qu'on soit capable de prendre des
33:07 décisions équilibrées, pas 100% en faveur de ce que dit le RSSI d'ailleurs, personne
33:12 n'est écouté à 100% normalement, mais que ce soit pris au juste niveau et que dans
33:16 les équations complexes de nos décideurs, publics ou privés, le cyber soit pris au
33:20 juste niveau.
33:21 Et pour ça il faut le normaliser, je parlais du langage tout à l'heure mais il faut
33:24 rentrer dans les mécaniques et à l'inverse c'est traité de manière complètement ad
33:28 hoc.
33:29 Et on voit d'ailleurs il y a plein de boîtes où il y a encore une direction de la sécurité,
33:31 une direction de la sûreté, une direction des risques et puis il y a un machin à côté
33:34 qui traite le cyber et puis souvent ils ne s'entendent pas parce que sinon c'est trop
33:37 simple.
33:38 Donc ça ça ne peut être qu'une étape intermédiaire.
33:41 Il faut normaliser ce risque cyber.
33:43 Benoît ?
33:44 Je dirais entreprise étendue.
33:50 Non mais c'est deux mots là.
33:52 Entreprise étendue.
33:53 Non, on parle beaucoup de la maîtrise de notre risque sur ce qu'on connaît.
33:58 Mais tous autant qu'on est, petites entreprises, grands groupes, on dépend des autres.
34:03 Si un fournisseur qui nous fournit le boulon de douze qui est critique pour ma chaîne
34:07 de production ne fonctionne plus, alors je ne peux plus produire.
34:11 Donc la maîtrise de mon risque cyber, ce n'est pas juste maîtriser ce que je connais
34:15 opérationnellement.
34:16 C'est connaître mon écosystème étendu et c'est là où la standardisation, la normalisation
34:21 de ce risque cyber doit être porté par tous et compris par tous.
34:27 Donc le mot est maîtrise.
34:28 Julien ?
34:30 Pour moi, le mot de la cybermilité, c'est équilibre.
34:35 Pour les raisons que j'évoquais tout à l'heure.
34:38 Merci.
34:39 Nous avons le temps de prendre deux, trois questions.
34:44 Oui, bonjour.
34:48 Donc on comprend à travers vos interventions que c'est le domaine de la cyber, disons
34:55 plutôt technique qui est abordé.
34:56 Qu'en est-il de l'informationnel ?
34:58 Autrement dit, est-ce que c'est aussi l'URS ici qui doit porter la réponse aux attaques
35:04 informationnelles ?
35:05 Comment cette dimension-là est intégrée ou doit être intégrée ?
35:08 Donc il faut faire référence notamment à Tim George et toutes les opérations de déstabilisation
35:15 qui peuvent être menées.
35:16 C'est un autre niveau de maturité, ça va venir.
35:20 Un des points d'entrée, mais je pense que Guillaume aura plus d'éléments puisqu'il
35:26 a dû voir ça plus souvent, mais à mon échelle, un des points d'entrée que je préconise
35:29 quand la maturité est faible, c'est dans la petite boucle de décision rapide qui permet
35:35 de savoir si un incident va partir en crise ou pas, qui permet de discuter entre quelques
35:40 membres du Comex et des membres techniques, d'ajouter la communication.
35:43 Parce que c'est la communication qui va identifier des choses latentes sur Twitter,
35:47 sur les réseaux sociaux, des conversations, dont elle va sentir que ça peut partir en
35:51 crise et qui va immédiatement en parler sur cette boucle qui est une boucle qui va intégrer
35:56 aussi le RSSI ou les directeurs de la Sûreté.
35:58 Oui, c'est un sujet qui est super complexe, avec des niveaux de maturité différents
36:05 et où la dissymétrie entre l'attaquant et le défenseur est à mon avis par nature
36:10 essentielle.
36:11 L'attaquant, il va avoir intérêt à mélanger les deux très souvent.
36:15 Donc celui qui veut faire de l'influence, il peut utiliser l'attaque informatique.
36:18 Et à l'inverse, on sait très bien que par l'attaque informationnelle, on peut favoriser
36:22 de l'attaque cyber.
36:23 Je pense que c'est ça que vous appuyez par cybertechnique.
36:26 Le choix qu'on a fait, je vais mettre plutôt à un niveau étatique en France, c'est pour
36:32 les défenseurs, les attaquants, vous leur demanderez, ils ne vous répondront pas, c'est
36:38 de complètement séparer ceux qui protègent les systèmes d'information.
36:42 C'est pour ça qu'on parle encore de système d'information, même si c'est un peu désoé.
36:45 Mais ça veut bien dire quelque chose.
36:46 En gros, il y a ceux qui protègent les contenants et qui ne vont pas être tentés d'aller
36:51 regarder ce qu'il y a dedans, ce qu'il y a dans ces systèmes d'information.
36:54 Je prends un exemple un peu trivial.
36:56 Dans votre entreprise, il y a un antivirus et tout ça.
36:59 L'antivirus, il va lire tous les mails.
37:00 Enfin, il les lit avec des guillemets.
37:02 Il va chercher s'il y a des virus dedans.
37:04 Il ne va pas chercher à comprendre.
37:06 Il ne va pas espionner les salariés et tout ça.
37:08 Ou alors c'est une dérive qui est absolument inacceptable.
37:10 De l'autre côté, il y a ceux qui doivent détecter les tentatives d'attaques informationnelles.
37:15 Et alors là, la grosse difficulté, et c'est pour ça que dans des démocraties, c'est
37:19 gênant, on est toujours mal à l'aise, c'est qu'il faut aller sur du contenu et sur l'interprétation
37:24 de contenu, de choses comme ça.
37:25 Et sur des gens.
37:26 Et c'est de l'humain.
37:27 Donc c'est beaucoup plus complexe.
37:29 Et on sait très bien que, c'est le terme qu'on emploie habituellement, on ne va pas
37:34 faire un ministère de la vérité.
37:36 Un ministère qui dirait ce qui est vrai, ce qui n'est pas vrai.
37:40 Mais beaucoup en rêvent quelque part, parce que ça les choque de voir ces attaques informationnelles.
37:45 Et donc il faut accepter d'avoir des gens qui protègent les contenants, et puis des
37:49 gens qui s'intéressent à certains contenus, pas tous.
37:52 Ce qui a été fait en France avec un truc qui s'appelle Viginium, qui est la petite
37:55 sœur de Nancy.
37:56 Le rôle de Viginium, il est très cadré.
37:58 C'est de détecter des tentatives d'attaques informationnelles exogènes.
38:05 C'est un terme très conseil d'État.
38:08 Exogène, ça veut dire qu'il ne faut surtout pas s'intéresser à ce qui se passe en France.
38:12 Parce que si on commence à vérifier qui dit des conneries ou pas en France, on n'est
38:17 pas sur la bonne voie en termes de démocratie.
38:18 Et Dieu sait qu'il y en aura, et il y en aura toujours.
38:20 Et qu'il y a la tentation de chercher à les détecter.
38:23 Donc voilà, c'est vraiment deux sujets différents qui à un moment doivent se retrouver en
38:27 termes de prise de décision, par contre, très clairement.
38:29 Mais par contre, les mécanismes de gestion de crise que connaît bien Jérôme sont essentiellement
38:36 les mêmes, à mon avis.
38:37 Les différentes fonctions, les mécanismes pour décider, la dynamique qu'il peut y
38:41 avoir autour.
38:42 Du moment que la technique est capable d'apporter les bons inputs, ça fonctionne essentiellement
38:46 pareil.
38:47 Mais il faut les séparer ces inputs techniques.
38:48 La seule différence que je mettrais, c'est qu'autant sur une attaque, une crise d'origine
38:52 informatique, cyber, ce n'est pas du tout une bonne idée de faire le dos rond.
38:55 Évidemment, il faut agir rapidement et de manière décisive.
38:58 Sur des attaques d'influence, parfois, il peut être une bonne stratégie pendant un
39:04 moment d'encaisser, de faire le dos rond pour éviter les fameux effets strézennes,
39:07 pour éviter de donner de la visibilité à une attaque qui n'en a pas encore, voilà,
39:11 de rester en surveillance.
39:12 Maintenant, sur des attaques étatiques, on reste parfois en surveillance aussi pendant
39:16 longtemps, donc ça peut se rejoindre.
39:18 Oui, parce que la déconstruction, en fait, c'est la seule vraie réponse, c'est de la
39:23 déconstruction du discours.
39:24 Et comme tu dis, les effets strézennes, c'est exactement ça.
39:27 En voulant expliquer pourquoi c'est faux, c'est vraiment le risque d'emplicher tout.
39:31 Ça, c'est une vraie problématique.
39:33 On peut encore prendre une deuxième question.
39:36 Bonjour, Yann Magnan, merci à vous, ingénieur advisor du Cybercercle.
39:44 J'ai une question à vous poser et j'aimerais vous entendre sur ce qui pourrait attirer
39:49 les jeunes hommes et femmes ingénieurs, experts à rejoindre cette filière cyber.
39:55 On connaît le manque de pénurie.
39:57 Qu'est-ce qui les ferait rejoindre ? Donner du sens et une qualité de vie.
40:02 Le côté apprentissage continue, il y a toujours des choses à apprendre, ça ne s'arrête
40:09 jamais.
40:10 C'est enrichissant.
40:11 Je suis très d'accord avec le sens, sur la qualité de vie, ça peut se discuter, mais
40:16 bon, ça c'est une question de mesure.
40:17 Un des intérêts du cyber, c'est que c'est une verticale qui permet de toucher en fonction
40:24 des intérêts et intérêts qui peuvent évoluer au fil de la vie d'ailleurs.
40:27 Toucher à de la technique, toucher à de l'opérationnel, toucher à de la stratégie,
40:30 tout y passe.
40:31 Cette verticale est passionnante et comme c'est un domaine qui est encore jeune, il
40:37 y a moyen en quelques années de toucher à plein de choses.
40:41 Pour ceux qui aiment toucher à tout et qui ont un goût pour la matière à la base,
40:45 je pense que c'est hyper intéressant.
40:46 Je vais juste préciser ma qualité de vie.
40:49 Aujourd'hui, les CV qu'on reçoit, c'est 1) je suis immobile dans toute la France sauf
40:54 en Ile-de-France.
40:55 Deuxième question, c'est y a-t-il du télétravail ? Et troisième question, c'est quoi le salaire ?
41:01 C'est plus la première question, c'est plus le salaire.
41:04 C'est 1) je ne veux pas être dans les endroits que je n'aime pas, je veux être près de
41:07 ma famille, je veux bien.
41:08 2) je veux pouvoir travailler un peu chez moi.
41:10 Et ça, c'est des vrais enjeux cyber.
41:12 Aujourd'hui, on doit recruter des administrateurs, les mecs qui ont tous les droits.
41:17 De plus en plus, ils disent "mais vous ne me filez pas de télétravail, je ne viens
41:21 pas".
41:22 Donc on est à risque opérationnel parce qu'on a du mal à recruter des administrateurs
41:27 parce qu'on les force à rester au bureau en Ile-de-France toute la journée.
41:29 Et c'est là où, cyber, DSI, on doit trouver un modèle qui répond à ce courant actuel.
41:36 Moi, je ne pense pas que c'est un effet de mode.
41:38 Je pense que 2-3 jours de télétravail par semaine, tout le monde va vouloir le garder.
41:42 Et donc comment concrètement la cyber apporte les solutions nécessaires au bon niveau pour
41:48 répondre à cet enjeu de société ?
41:50 J'ajouterais un dernier point.
41:52 Ce que je disais en introduction, le cyber c'est un affrontement.
41:54 Donc on est défenseur, parfois attaquant, mais on est quand même plutôt défenseur.
41:58 C'est un affrontement, c'est de la stratégie, c'est de la tactique, c'est vivant.
42:02 On est face à des humains qui réfléchissent aussi, qui prennent des positions.
42:07 On essaye d'être plus malin qu'eux.
42:09 Ça, c'est super stimulant aussi.
42:11 Écoutez, je vous remercie à la fois aux intervenants d'avoir joué le jeu sur cette
42:19 notion et puis à vous d'avoir été avec nous.
42:22 Et puis à très vite dans les autres conférences.
42:24 Merci beaucoup.
42:25 Merci.
42:26 Merci Gael.
42:27 Merci.
42:28 Merci.
42:29 Merci.
42:30 Merci.
42:31 Merci.