Transcription de l'épisode : "Yohann Bauzil, Faire de la cybersécurité un allié business et produit"
Terry : Bonjour Yohann.
Yohann : Bonjour Terry.
Terry : Merci du coup de prendre du temps aujourd'hui pour échanger sur le podcast. Donc on va parler d'un sujet qui je trouve en tout cas dans mon milieu du product management n'est pas assez abordé qui est le sujet de la cybersécurité. Et donc en particulier comment prendre en compte un peu tous ces enjeux cyber quand on crée des produits digitaux. et comment les prendre en compte le plus tôt possible aussi pour éviter de se retrouver parfois un peu pris le couteau sous la gorge à devoir faire des choses quand on a plein plein d'autres priorités à gérer. Et donc avant de rentrer dans ce sujet, je te propose de te présenter, de nous dire un peu d'où tu viens et donc pourquoi ça sera pertinent d'échanger avec toi là-dessus.
Yohann : Ouais ok, avec plaisir. Donc Yohann Bauzil, 39 ans, plutôt toulousain pour le coup. Je travaille depuis une quinzaine d'années dans ce secteur-là, donc à la fois spatial et cyber, on va dire. Une dizaine d'années en tant que prestataire pour Airbus Defence & Space, sur des missions principalement qui consistaient à accompagner les équipes métiers sur les sites de lancement de satellites. et où on installait à leur profit du système d'information en fait, avec la sécurité qui va bien, pour qu'ils puissent travailler un peu comme s'ils étaient à Toulouse, mais sur le site de lancement, Kazakhstan, Guyane, Japon, Etats-Unis, etc. Donc j'ai fait ça une dizaine d'années, c'était extrêmement intéressant, je me serais même pu voir faire ça toute ma vie, et j'ai eu une opportunité, une très belle opportunité de devenir donc ce qu'on appelle CISO, Chief Information Security Officer, pour une filiale d'Airbus, qui s'appelle Airbus OneWeb Satellite, donc une filiale franco-américaine, qui était sur le même site et dont j'avais travaillé avec quelques personnes, et dont je les ai rejoints en 2017, un an après la création, lorsque l'activité a dû se structurer, on va dire.
Terry : Pour ceux qui n'auraient pas entendu parler de OneWeb, si tu peux juste rapidement.
Yohann : Dire ce qu'il faisait. OneWeb, c'est une société américaine, qui a fait faillite depuis, qui a été rachetée, etc., mais qui avait pour ambition, ou qui a pour ambition, de construire une constellation de satellites, on va dire 6 à un quelques, pour faire de l'internet par satellite. avec du très haut débit et avec des latences proches de la fibre. C'est le concurrent numéro 2 de Starlink qui aujourd'hui a pris une petite longueur d'avance sur ce secteur. Je suis responsable de la sécurité du système d'information pour Airbus OneWeb Satellite pendant 5 ans. Ensuite j'ai quitté Airbus OneWeb. 5 ans c'est un temps pour valider une expérience et c'était extrêmement intéressant. Je suis parti pendant un an dans une autre entreprise, et là récemment il y a un mois, puisque c'est tout jeune, j'ai quitté l'entreprise précédente pour rejoindre Lookup Space, qui est une startup aussi, j'aime bien le monde de la startup, qui a pour ambition de devenir à plus ou moins court terme leader mondial sur la détection de débris. Donc détection de débris dans l'espace, avec deux produits, un produit plutôt matériel puisque c'est la construction de radars qui vont détecter les débris et ensuite utiliser cette donnée qu'on fabrique, la détection, sur une plateforme qui permettra d'agréger différentes sources d'informations et ainsi comprendre les trajectoires des satellites, également des débris qui tournent autour de la Terre. et proposer par exemple des manœuvres aux opérateurs de satellite lorsqu'on calcule qu'il va y avoir une collision, proposer des manœuvres justement pour éviter ces collisions.
Terry : Ok, donc là-dessus, petite pause sur le sujet des débris pour que tout le monde comprenne bien. Quand on parle de débris dans l'espace et pourquoi on parle de manœuvres derrière, c'est que ce sont des déchets d'anciens satellites ou d'anciens objets qu'on ne peut plus contrôler, qui sont là dans l'espace. Mais donc il y a des risques ensuite de collision avec d'autres satellites qui eux sont en opération. et on a un gros sujet aujourd'hui au niveau mondial de débris spatiaux, de comment justement mieux les gérer.
Yohann : Tout à fait oui, c'est rigolo parce qu'il y a eu une mission il n'y a pas longtemps, j'ai lu ça, une mission qui justement devait supprimer des débris et qui a été annulée à cause de débris qui auraient pu causer une collision.
Terry : Donc voilà, on en arrive là. Assez intéressant, c'est vrai que c'est un sujet au jour le jour, on ne le voit pas parce que ce n'est pas au point de rendre de cacher le soleil mais il y a vraiment beaucoup de débris dans l'espace et donc c'est un vrai sujet qu'on va voir de plus en plus venir aussi dans les médias, plus mainstream je pense dans les futures années. Du coup par rapport à ton parcours, ce que je trouve hyper intéressant et pourquoi je voulais échanger avec toi c'est aussi le fait que t'es Grosse expérience dans un environnement industriel, grand groupe Airbus au départ, puis ensuite dans un environnement startup, parce que même OneWeb, comme tu le disais, c'était une startup, là tu rejoins encore une startup, donc un peu ces deux mondes, tu l'as vécu de l'intérieur et tu continues à y vivre de l'intérieur. et donc je trouve ça bien aussi de pouvoir faire des ponts entre les deux parce qu'il y a vraiment des liens je pense à faire et parfois on peut se dire que ces sujets de la cyber ou de la sécu c'est quelque chose qui va toucher que des boîtes qui sont beaucoup plus matures alors que dans des industries comme le spatial il y a beaucoup de startups et pour le coup la sécurité il faut la prendre en compte assez rapidement parce qu'il y a aussi des enjeux derrière géopolitique et géostratégique aussi qu'on peut pas nier quand on travaille dans ce secteur là Donc pour prendre un angle peut-être sur ton expérience actuelle, donc tu viens de rejoindre cette nouvelle startup qui gère donc Lookup pour gérer les débris spatiaux, donc tu disais qu'il y a une plateforme web, donc une plateforme SaaS qui va permettre un peu Pour comprendre un peu à qui on parle en termes d'usagers de cette plateforme, tu as les produits physiques, les produits digitaux, qui sont les clients futurs, les clients actuels, les utilisateurs du package qui est fourni par LookUp ?
Yohann : La start-up est jeune, elle a été créée il y a un an, les premiers employés sont arrivés il y a huit mois, donc on est vraiment sur un début d'activité, on n'est qu'une vingtaine pour l'instant. Les clients à venir, on parle d'agences forcément spatiales comme le CNES qui a ses besoins, forcément le ministère des armées qui possède des satellites en l'air, mais également possiblement des opérateurs, typiquement OneWeb qui a beaucoup de satellites à gérer, a besoin d'informations fiables, etc. et peut donc souscrire à des services Parce que quand on a un satellite c'est un million à peu près, un peu plus. Quand on en a 650 en l'air et qui font la constellation, le but c'est pas d'en perdre. Contrairement à Starlink, si vous suivez un peu l'activité, il en a perdu 200 il y a quelques jours. Mais bon, il en a beaucoup plus en l'air, donc le ratio est différent. Donc c'est ce type de client qu'on va avoir.
Terry : Ok, donc quand tu parles de savoir un peu ce qui se passe, est-ce que si je dis que vous fournissez un peu une sorte de météo de l'état du coup de l'espace pour les.
Yohann : Opérateurs de satellites, c'est... Oui oui, c'est l'idée en effet. Comprendre les trajectoires des débris, les anticiper, et après c'est des algorithmes qui vont calculer les probabilités, en fait on parle de probas, parce qu'un débris il ne se déplace pas de façon linéaire. Alors je ne suis pas du tout expert du sujet, ça fait que un mois que je rejoins, donc j'essaie de gagner en culture, mais voilà, un débris il ne se déplace pas de façon linéaire parce que la terre l'attire, il peut y avoir des vents solaires, etc. donc on va dire qu'il se déplace dans une fenêtre et on calcule la probabilité de collision de cette fenêtre avec l'objet qu'on souhaite suivre et protéger Ok.
Terry : Et donc ça c'est sur la partie purement algorithmique, purement digitale, il y avait une partie un peu matérielle aussi ?
Yohann : Oui, la construction de radars propriétaires qui seront placés un peu partout sur Terre et qui permettront d'enrichir la base de données des trajectoires avec des informations souveraines. C'est surtout ça le métier, c'est surtout ça le business model, c'est que dans l'absolu vous pouvez acheter aujourd'hui de l'information pour savoir les trajectoires des débris, etc. Ça, ça existe. Les américains le font très bien sans doute, etc. Mais ils peuvent aussi cacher certaines informations, en fait. Ils vont pas vous vendre ou vous donner les trajectoires de leurs satellites militaires ou leurs satellites d'observation, etc. Donc, si vous avez, vous, par contre, vous je dis la France, parce que le but c'est de travailler pour la France en quelque sorte, si vous avez vous vos propres radars vous pouvez détecter ce que vous avez à détecter et donc avoir des informations plus fiables et donc vendre un service plus fiable par conséquent.
Terry : Ok, hyper intéressant, d'où les enjeux aussi là-dessus de Soom R&D et jeux stratégiques qui se cachent derrière. Donc, par rapport à ta prise de poste dans cette nouvelle mission, comment toi tu t'attaques le problème ? Du coup, là tu es arrivé dans cette boîte, qu'est-ce que tu t'es posé comme question par rapport aux différentes missions qu'on t'a confiées autour de la cyber, autour de la sécu ? à gérer, comment t'as appris un peu ?
Yohann : Avec beaucoup d'humilité, parce qu'il y a beaucoup de choses à intégrer, de donner. L'idée c'était surtout de faire une cartographie en quelque sorte au début, où est-ce qu'on est, où est-ce qu'on va, être sûr d'avoir conscience de tout ce qui existe en termes de système d'information. autant en local que dans le cloud, etc. Et à partir de là, de réutiliser, c'est surtout là-dessus qu'on a convergé avec l'équipe que j'ai rencontrée pour les entretiens, c'est en gros essayer de réappliquer quelque chose qui a fonctionné avec modestie chez Abus OneWeb, recréer une direction de sécurité, essayer de rassembler sous ce pôle sécurité différents axes de la sécurité, on parle de cybersécurité, mais aussi de sécurité physique. Typiquement, si on construit des radars un peu partout sur Terre, il faut assurer une protection physique de ces radars pour être sûr qu'ils pourront faire leur travail correctement. On peut assez facilement aussi, c'est assez commun dans les startups, intégrer l'aspect conformité au RGPD ça se fait, de mutualiser sur des petites structures l'aspect un peu sécu, l'aspect conformité au RGPD l'idée c'est de créer une direction sécurité qui va rassembler différents pôles et après de pouvoir, au fil de l'eau, au fil du temps, staffer ces pôles en fonction des priorités qu'on identifie au niveau business, et des choses qui sortent. On peut prendre un exemple assez simple. On parle en ce moment de NIS 2, qui est une réglementation qui va sortir. Il existait NIS 1, il va y avoir NIS 2, qui va élargir, je dirais, les potentiels candidats qui devront la suivre.
Terry : Du coup, si tu peux rappeler ce que c'est que NIS 1, C'est une.
Yohann : Réglementation européenne qui impose certains standards au niveau de la sécurité des systèmes d'information sur certains types d'entreprises. Et typiquement, le spatial fait partie de ces types d'entreprises. Et si on considère que Look Up Space fait du spatial, on peut être inclus dans cette réglementation, tout simplement.
Terry : Et donc là, par exemple, la prise en compte de NIS2, ça fait partie.
Yohann : Aussi de... Ça sera dans la roadmap, voilà. Donc ça fait un mois, j'ai un mois de recul. Alors il y a quelques sujets, après on fait chef de projet, il y a des sujets de priorité importante, moyenne, basse, amélioration continue, moi je me suis fait mon tableau, j'ai listé 50 actions, j'ai estimé une charge, et après on va construire ça au fur et à mesure.
Terry : Yes, bon après effectivement là c'est vrai que sur cette expérience que je t'ai questionné sur celle-ci mais tu as tout le recul quand même des cinq ans chez point web et dix ans avant dans l'industrie qui te permettent d'avoir un regard éclairé aujourd'hui. Donc si on devait prendre le package global de ton expérience évidemment, toujours pareil pour parler donc cyber, peut-être sur l'angle plus digital puisque c'est moi un sujet sur lequel, dont le podcast est aussi on va dire le relais. Sur le sujet du digital, je vais te prendre une question ou venir un peu provoquer là dessus sur ce sujet. Mettons que je suis en train d'essayer de lancer un produit digital, une plateforme, pas spécialement dans le spatial, mais une plateforme digitale sur laquelle je suis en train de chercher un peu le marché, donc pré-product market fit. Et le premier sujet que j'ai, c'est trouver mes clients et ensuite répondre à leurs besoins le plus rapidement possible. Et parfois, déjà que je suis sous-staffé, je me mets dans une situation. Mais on va dire que je suis sous-staffé en équipe de développement, donc j'ai vraiment un coût réduit. Je passe par des fournisseurs niveau cloud qui ne sont pas spécialement, par exemple, sur du sol européen parce que mes clients ne le demandent pas nécessairement. Je suis, on va dire, sur une typologie de client assez large et qui ne demande pas d'être sur du cloud souverain. Et donc pour moi, les enjeux de sécurité, c'est la dernière chose à laquelle j'ai envie de penser. Mais en même temps, ça peut me retomber dessus.
Yohann : Je suis pas choqué par ce que t'as dit en fait, même si je fais de la sécu, moi je l'ai toujours dit aux gens avec qui je travaillais, c'est le business qui nourrit en fait les fonctions de support. La sécu peut être très très facilement considérée comme une fonction de support et pas du tout indispensable au business. Après, ça dépend ce que tu fais comme plateforme et quel est ton secteur d'activité. Si tu considères que ton client numéro 1 et 2, ce seront le CNES et le ministère des armées, la sécurité, on ne sait pas dire si c'est vraiment une fonction de support à la fin. C'est peut-être un besoin métier. Donc à partir de là, on met des moyens, on a des ambitions qui sont en corrélation avec ses clients et pas le droit d'avoir un échec, par exemple. Donc c'est plutôt dans ce sens-là qu'on peut adresser le sujet.
Terry : Ouais, hyper opportune donc c'est vrai que... Mais pour quand même fermer peut-être sur la partie plus produit grand public ou en tout cas qui ne s'adresse pas sur ces types de clients-là, je pense quand même que c'est pas... La sécurité reste un sujet qu'il faut quand même prendre en compte d'une manière ou d'une autre. Qu'est-ce que tu vois que tu pourrais donner comme tips, comme idées sur ces boîtes-là qui n'ont pas peut-être comme client, tu vois, directement des agences d'état ou vraiment des clients qui sont très à cheval sur ces enjeux-là, mais ces boîtes-là ont quand même besoin de prendre la sécurité en compte. Qu'est-ce que tu pourrais leur dire, un peu comme piste de réflexion ?
Yohann : Moi, de mon recul d'un mois chez LookUp, ce qui est très intéressant, c'est que je ne viens pas forcément du monde du cloud, etc. Quand tu travailles dans l'industrie, si on devait « sécuriser » la fabrication des satellites, Il y avait une grosse partie sécurité physique avec les bâtiments, mais aussi système d'information parce qu'on avait des partenaires qui nous aidaient, etc. Là, dans ce nouveau monde que je découvre, j'ai un collègue qui est extrêmement sensible à ces enjeux de sécurité. mais vraiment packagé dans l'univers plateforme, SaaS, etc. Et donc ça c'est un appui en fait très fort. Il vaut mieux investir, si demain je suis patron de startup, il vaut mieux investir dans un dev qui a cette culture CQ pour lui donner le sujet on va dire, parce qu'il va vraiment comprendre le besoin business derrière, et il faudra de toute façon des devs pour développer la plateforme quoi. plutôt que prendre un RSSI, on va dire, qui va peut-être avoir aussi une culture plutôt sécurité des réseaux, parce qu'il vient de là, etc. C'est plutôt mon parcours, on va dire. Quand moi j'allais sur des sites de lancement pour sécuriser les activités, oui, le but c'était de permettre à un site distant du 1000 km de discuter de façon sécurisée. On est très éloigné du cloud et de ce genre de monde, en fait. Donc voilà, c'est vraiment la culture qui fait que le profil va coller Ouais.
Terry : Donc un profil assez mouton, un peu à cinq pattes, qui va en tout cas avoir cette culture-là en plus de son cœur d'activité. Je pense que c'est la meilleure tactique. Assez intéressant et je partage assez ce conseil-là. RSS du coup, c'est responsable des Sécurités et des Systèmes d'Information.
Yohann : Exactement.
Terry : C'est un métier qu'on retrouve classiquement dans toute industrie, mais peut-être un peu moins dans ces boîtes.
Yohann : Oui, mais ce qui est normal, je veux dire, c'est normal.
Terry : Du coup, on va retourner vers l'angle, peut-être, boîte OK digital comme Lookup ou même comme OneWeb, mais qui a comme clients, des clients pour lesquels la sécurité, ce n'est pas une fonction support, c'est un critère nécessaire pour pouvoir travailler avec eux. Donc, sur cette typologie d'entreprise-là, Vous étiez donc par exemple chez OneWeb quand même en mode startup, c'est-à-dire que vous cherchiez aussi votre modèle économique, vous cherchiez, ou en tout cas la rentabilité, je te laisserai dire en tout cas quel était l'aspect startup de ce que vous faisiez. Mais en tout cas, je suis curieux, dans ce contexte-là, Aminima, si ce n'est pas sur la partie éco, c'est sur la partie taille d'équipe et un peu tout le monde qui fait beaucoup de choses différentes par rapport à des boîtes beaucoup plus grosses ou sur lesquelles il y a des verticales très spécialisées. Quels étaient un petit peu les réflexes que tu as pu voir, apprendre chez eux, mettre en œuvre, qu'aujourd'hui te paraissent pertinents à utiliser quand tu rejoins une nouvelle startup ?
Yohann : L'aspect Airbus OneWeb, c'est toujours compliqué parce qu'il y a quand même Airbus dans le nom. Il y avait derrière un parent assez puissant. C'est une startup concept pour moi. Ce qui était intéressant c'était, si je refais un peu l'historique, c'est que moi j'ai été embauché au sein de l'IT, au sein de l'informatique sous la responsabilité du directeur des systèmes d'information de l'entreprise. J'étais intégré dans l'IT et au bout d'un certain temps on s'est rendu compte qu'il y avait quand même un intérêt à faire sortir la sécurité de l'IT pour la rattacher à la direction générale pour qu'elle soit considérée au bon niveau. fait cette démarche que j'évoquais tout à l'heure de créer une direction avec différentes thématiques, la sécurité physique, la sécurité logique, la cyber, la data protection, le RGPD, ben voilà, ça n'a plus de sens si c'est rattaché à l'IT en fait. Donc on l'a fait sortir, donc ça c'est quelque chose qui a été considéré très rapidement par Lookup, ils ont... Je trouve que la Sécu fonctionne bien quand c'est pas le responsable Sécu ou le directeur de la Sécurité qui explique qu'il faut de la Sécu. Il faut que ça vienne de la Direction Générale. Si on n'a pas à convaincre ni son président ni son CEO, ça se fera tout seul, parce qu'il y a le sponsor qui va bien. Là, Lookup avait cette ambition et avait déjà cette considération. Donc on va dire que psychologiquement, j'arrive dans un bon esprit. Il n'y a pas déjà à convaincre qu'il va falloir faire de la sécu, parce que des fois on embauche un responsable sécurité, mais en plus il doit convaincre les gens qu'il faut faire de la sécu. Alors pareil, pour le coup Airbus OneWeb avait déjà cette culture, puisque beaucoup d'employés venaient du monde d'Airbus Defence & Space, qui est quand même très connoté militaire et défense. Donc voilà, il y avait quand même cette culture sous-jacente des utilisateurs ou des employés. Donc ça voilà, rattachement de la sécurité à la direction générale, et après, quand on va sur des secteurs d'activité de pointe comme ça, qui sont quand même très complexes, il faut beaucoup d'humilité et comprendre que Moi j'ai toujours une approche très humaine de la sécu dans le sens où je fais en sorte de bien m'entendre avec les responsables métiers. Si on fait le satellite, comprendre ce que font les gens qui fabriquent la plateforme, etc. Et avoir ce lien. humain, qui est très important, et être à leur disposition, en fait. Parce que si on crée un lien de confiance, après, c'est eux qui nous amènent des sujets, en fait. Tu vois, il ne faut pas aller à la chasse au sujet sécurité. Ça, c'est un secret. Enfin, c'est un secret, ce n'est pas un secret, mais voilà. Ça marche bien comme ça, parce qu'il faut créer ce lien de confiance. Je ne travaille pas de secret si je dis que trois quarts des gens voient la sécurité comme une contrainte. Alors que c'est plutôt une exigence qu'on souhaite pour l'entreprise. Et donc si on crée ce lien, que j'ai essayé de faire et je pense avoir réussi, au moins comme je l'espérais, les gens du business vous abreuvent avec des sujets. C'est eux qui viennent vous voir, Yohan, est-ce qu'on peut faire ça ? Qu'est-ce que tu en penses ? Et c'est là où on peut considérer qu'on a réussi sa mission, parce qu'on n'est pas là pour imposer la sécurité, on est là pour apporter une valeur avec la compétence qu'on a. Ouais, là-dessus.
Terry : Je trouve ça hyper intéressant parce que ça fait le parallèle avec un épisode qui est un peu plus vieux que j'avais fait avec Jean, donc Jean Le Brumant qui travaille dans une startup, enfin scale-up maintenant, brigade, qui fait un produit digital et il m'expliquait que pour lui, l'importance de l'équipe tech c'était que l'équipe vraiment de développement, c'était de ne pas être goulet d'étranglement, mais d'être enabler du business. Et donc, de vraiment être au service du business et que ça ne devienne pas ce que tu décris là, d'avoir la sécurité où on se dit, ils vont encore nous énerver, ils vont nous bloquer sur certains sujets. C'est quelque chose qu'on peut aussi retrouver côté développement, parfois dans des boîtes où les commerciaux vont dire, mais les devs vont nous dire, on ne peut pas faire ça. Alors que renverser en fait dans l'autre sens, c'est-à-dire en quoi je peux t'aider, Derrière, ça change complètement la façon de voir les choses, et effectivement, tu insuffles la culture de prendre en compte la sécurité de manière beaucoup plus naturelle, et ça tient beaucoup plus dans le temps aussi, parce que de toute façon, on sait très bien que la contrainte, même si ça peut marcher sur un app de temps très court, sur la durée...
Yohann : Et les utilisateurs sont souvent plus intelligents que le responsable sécu, c'est-à-dire ce qu'on appelle dans l'informatique le shadow IT, C'est un concept où les gens qui ont un besoin, si l'IT, l'investisseur informatique ne sait pas y répondre, ils sont assez grands pour y répondre souvent tout seul. Et souvent par des méthodes qui sont très dangereuses pour l'entreprise. Si je ne peux pas aller sur tel site, je peux y aller le soir avec mon PC perso, je mets sur une clé USB, je ramène tout ça, et voilà. Donc on arrive à des horreurs, très facilement. Il faudrait des stats, mais on peut très facilement arriver à des situations très compliquées. Et donc c'est totalement ce que tu disais.
Terry : Et donc là-dessus, premier point que je retiens un peu de retour d'expérience que tu partages, c'est vraiment de faire en sorte que les gens sachent que tu sois là pour eux et que ça soit pas dans l'autre sens, qu'ils puissent venir te voir et que derrière tu leur apportes des solutions à leurs problèmes et des véritables solutions, que tu sois pas... que tu ne les renvoies pas avec plein d'autres problèmes à résoudre, mais plutôt que tu les débloques. Par rapport à ça, une question qui me vient en tête, j'avais participé à un événement autour de la cyber où une personne faisait un retour d'expérience sur, je crois que c'était un ransomware que l'hôpital de Paris, je ne sais plus lequel, avait eu il y a quelques années, je crois que c'était en pleine pandémie, ça avait été vraiment une catastrophe. Et donc ils avaient dû déplacer des patients dans d'autres hôpitaux, Ces sujets-là, ces sujets un peu de gestion de crise et de plan, du coup, je trouve pas le mot, mais de plan de remise en état de fonctionnement, est-ce que c'est des sujets qui sont aussi traités par des départements comme le tien ou ça va...
Yohann : Alors oui, il le faut, il faut avoir un avis sur la question. Je mettrais ça dans la case chance, mais c'est vrai qu'on n'a pas eu de crise majeure chez Airbus OneWeb. Je l'ai dit tout à l'heure, les gens, les utilisateurs étaient quand même formatés et venaient d'une culture Airbus Defence & Space, où l'utilisateur n'est pas Dieu sur Terre en fait, il doit se contraindre à respecter des règles, etc. c'est accepté, et donc quand on réapplique ces mêmes règles dans une société commerciale, 100% commerciale, on a forcément un niveau de sécurité qui est plus élevé, entre guillemets, qu'une société où tout est open bar. Donc voilà, ça, ça nous a, je pense, aidé à ne pas avoir d'incidents majeurs. pendant les cinq ans où j'étais là. Quelques petits trucs, mais vraiment... J'ai des connaissances qui m'ont invité à des exercices de gestion de crise. Il n'y a rien de mieux pour s'entraîner, voir si on est sensible à la pression, parce que c'est vachement bien scénarisé, etc. Et c'est un très bon entrainement. J'ai eu la chance d'en faire trois, et ça vous met vraiment dans l'esprit, on va dire. donc ça j'aurai forcément à l'intégrer dans ma charge future Je ne sais pas si ça va être apprécié ce que je viens de dire, mais une fois qu'on est dans la crise, j'ai envie de dire que c'est presque trop tard. Ça veut dire qu'il y a quelques briques, peut-être élémentaires, qui ont été loupées, on va dire, dans le design, dans la sensibilisation, même si je n'y crois pas des masses, on en reparlera. Il faut le considérer, mais moi j'ai tendance à dire qu'il ne faut pas que la crise arrive. Surtout sur les startups. Après quand on parle d'Airbus, d'Alès, etc. C'est tellement gros qu'on est obligé d'avoir de la crise. Mais sur des petites structures, il ne faut pas que la crise arrive.
Terry : Ok, c'est une bonne manière de voir les choses et du coup tu prépares pour pas que la crise arrive et puis si elle arrive, là c'est un peu plus géré tel au cas par cas. Intéressant. Sur le sujet sensibilisation comme tu viens de dire, je suis curieux d'avoir ton approche là-dessus.
Yohann : Non, parce que je le garde pour la question.
Terry : Ah d'accord sur la fin. C'est vrai j'ai la question phare un peu. Pas de soucis. Du coup pour revenir un peu dans les sujets, toujours autour des retours d'expérience, des choses que tu as pu voir, apprendre. dans l'environnement OneWeb, même avant dans l'industrie. Ce que je retiens par rapport à ce que tu viens de dire jusqu'à présent, c'est quand même que tu as pu capitaliser sur des équipes qui avaient une culture très forte au niveau de ces enjeux-là. Donc peut-être que des problématiques, par exemple, comme passer par une station blanche si jamais il y a un usage de clé USB qui est nécessaire, c'est-à-dire brancher ça sur un PC au cas où la clé soit soit piratée ou autre, ou aller des ransomware dedans, des malware, ça soit nettoyé. pas ouvrir les mets avec des pièces jointes, pas utiliser son PC à la maison sur un réseau non sécurisé, tout ça en fait c'est des problématiques qui pour toi étaient même pas à gérer parce que les gens le savaient déjà.
Yohann : Alors oui et non, mais tes trois exemples sont très bons. Typiquement, donc 2018, je fais une conférence où on a un retour d'expérience d'une grande société qui explique qu'ils ont installé justement des stations blanches d'une société française un peu partout dans l'entreprise et que ça fonctionne super bien. Donc en fait les utilisateurs sont moteurs pour y aller. Ni une ni deux, j'en parle à mon chef, et en gros il me dit très bonne idée, la semaine d'après on passe la commande, on les reçoit, et on les a placés en fait à la machine à café, tu vois juste à côté. Et ce qui fait que les gens, bon au début ils savent pas trop, est-ce que ça va m'effacer ma clé, ça va tout détruire, etc. Mais petit à petit tu te rends compte que les gens, on le voit il y avait les stats, Mais voilà, ils prennent un café, on était dans un environnement où on ne pouvait pas interdire les clés formellement, on va dire. Après ça peut se gérer, on va dire, mais on ne pouvait pas les interdire pour des cas d'usage métier. Donc les gens, de façon assez autonome, allaient checker leurs clés, en gros tu la branches, ça passe plusieurs antivirus, bien sûr qu'il faut mettre à jour, et elle est considérée comme propre. Et tu peux les obliger, entre guillemets, en installant dessus des certificats, ce qui fait que si tu mets ta clé sur ton PC et qu'elle n'est pas passée avant par la station, elle n'est pas reconnue. Ça c'est quelque chose qui existe. Donc ça, c'est quelque chose qui n'a pas du tout perturbé les utilisateurs et ils ont joué le jeu avec plaisir. Utiliser son PC perso, c'est ton troisième exemple, je pense que les gens ont conscience, tu vois, dès que t'es dans des environnements un peu melee, défense, etc. Pour moi, les gens ont un PC portable pro, ils s'amusent pas à jouer, à mettre des trucs sur leur PC perso, enfin y'a pas de sens en plus, souvent leur PC pro est meilleur que leur PC perso, donc je vois... enfin c'est pas... Je dis pas que ça n'existe pas, mais pour moi c'est pas en haut de ma liste de priorités. Et le second c'était les mails, oui. Alors ça par contre, les mails, les phishing, les pièces jointes, c'est le grand jeu des RSSI, t'as beau faire plein de sensibilisation, si tu sais trouver l'axe qui va bien, tu sais que les gens vont cliquer, les gens vont ouvrir la pièce jointe, Parce que tu leur écris au bon moment, à la bonne heure, en parlant du bon sujet qui va bien, et un être humain reste un être humain. C'est pour ça qu'on en rediscutera après, mais voilà. Même si tu fais de la sensibilisation, je pense que la faille ça reste malheureusement l'être humain.
Terry : Ouais donc là-dessus il n'y a pas vraiment de martingale ou de réponse.
Yohann : Moi pour moi il faut aider l'utilisateur, il faut l'aider avec des solutions techniques un peu sensibilisées mais quand on s'intéresse à toi, si une entreprise ou plutôt un pays, une puissance étrangère s'intéresse à ton entreprise et que tu es ciblé, normalement l'attaquant il va gagner parce qu'il mettra des moyens, parce que voilà. Donc si c'est vraiment une attaque ciblée, bien faite, etc. Il faut aussi aider, on ne peut pas se tourner et pointer l'utilisateur du doigt en lui disant, ah t'as cliqué, t'as ouvert la pièce jointe, est-ce qu'il devait la recevoir cette pièce jointe déjà ? Est-ce que c'est normal qu'il y ait eu dans sa boîte mail ? Donc il faut aussi savoir se remettre en question et blâmer l'utilisateur je n'ai jamais vu que ça servait vraiment à quelque chose. Il faut plutôt essayer de faire preuve d'empathie, de pédagogie, etc. S'il le fait 40 fois d'affilée en une semaine, il le fait exprès, mais souvent les gens se font avoir et après il y a un petit électrochoc. Alors ça ne peut durer que 15 jours ou un mois, mais globalement les gens, une fois qu'ils se sont fait avoir, font attention. Après, il ne faut pas que le jour où ils se font avoir, c'est le jour où tu ramasses un ransomware et tu tues toute l'entreprise.
Terry : Après ça c'est aussi de la gestion des risques du coup en fonction de ce qu'on est prêt à prendre ou pas. Ce que tu viens d'évoquer par rapport à des attaques potentiellement ciblées par des puissances étrangères et autres, ça m'amène sur un autre sujet, je sais pas si ça t'intéresse en tout cas moi, d'en parler un petit peu, si tu te sens à l'aise là-dessus, c'est le sujet un peu de la souveraineté des données. et de l'aspect effectivement où mes données se trouvent. Alors pourquoi je te parle de ça ? Dans le contexte du podcast, du produit, de construire des produits digitaux, parce que moi dans mon environnement dans lequel j'évolue, je vois beaucoup beaucoup de produits du coup purement SaaS, donc des plateformes totalement dans le cloud, mais le cloud ça reste derrière des machines physiques qui la plupart du temps se retrouvent dans beaucoup, très souvent sur des serveurs américains parce qu'ils sont quand même à la pointe de ces services-là. Et du fait de la qualité des services que ces plateformes apportent, au niveau développement d'une startup, on ne se pose pas la question de ma donnée aller là-bas, parce qu'on est plutôt dans le fait de se dire que ça ne me coûte pas cher, ça me permet d'aller vendre rapidement et de créer des produits, donc j'utilise le service. Et une conviction que j'ai assez personnelle là-dessus, c'est qu'on va avoir un retour en arrière dans les prochaines années, parce qu'on commence à avoir une prise de conscience sur qu'est-ce que ça veut dire que de mettre des données dans le cloud, qu'est-ce que ça représente d'un point de vue économique et géopolitique, Et du coup, on commence à voir l'Europe qui fait passer, la RGPD faisait partie d'une première étape, une première marche sur cet édifice aussi de faire une prise de conscience au niveau du continent européen de qu'est-ce que c'est que la donnée. Mais du coup, ma question, le sujet que je me pose autour de ça, c'est entre la vélocité, la rapidité, l'agilité dont tu as besoin quand tu crées des startups, des produits digitaux, tu as besoin vraiment d'aller très vite, Ces services-là, ça souvent sur des serveurs américains, t'apportent ce dont tu as besoin rapidement. Si tu devais tout recréer ou tout hoster on-prem sur ta machine et tout gérer, tu serais déjà mort avant d'avoir commencé. C'est quoi un peu toi ta vision là-dessus ? Comment tu vois les choses évoluer ? Quelles sont un peu tes réflexions sur ça ?
Yohann : Moi je n'ai pas du tout de culture cloud, pour moi c'est le diable bien habillé. Donc c'est vrai que c'est quelque chose qui, philosophiquement et par conviction, me rebute. Mais en effet, on répond à un besoin, un métier. Donc on ne peut pas faire style, ça n'existe pas en fait. Donc c'est vrai que je ne viens pas de ce monde-là parce que dans mes précédentes expériences, on a parlé un peu du monde de la défense, etc. Tu fais attention d'être éloigné en fait, tu fais du on-prem comme tu disais. Et voilà, c'est vrai que j'ai plutôt baigné dans cette culture, et j'ai lu, alors je fais beaucoup de veille du moins, j'aime bien lire des articles, voir les courants de pensée je dirais, ça fait un peu philosophe mais c'est pas ça. Et il y a beaucoup de gens qui font des retours arrière sur le cloud, qui se remettent à acheter des serveurs, à les héberger eux-mêmes, il y avait un discours d'un CTO qui expliquait qu'il avait regardé la facture, et c'est extrêmement bien pour démarrer très vite, et c'est normal que ce soit plus cher, mais si ça devient du long terme et que tu gardes ton truc pendant 10 ans, en gros tu as payé 4 fois ton archi. et une archi au top. Donc voilà, je pense que c'est bien pour démarrer, quel que soit le produit, ou du moins si t'as pas de contraintes ou d'exigences, et après il faut savoir se remettre en question et pas jouer à la facilité en fait. Si tu sais que ton produit va fonctionner et que t'en as pour 10 ans, ben voilà, je pense que là le ratio économique il s'étudie en fait. Et c'est ce que tu viens de dire tu vois. C'est pas sur l'aspect souveraineté. Forcément quand tu fais de la sécu, etc, si tu es baigne dans le monde militaire ou de la défense, t'es sensible à ces sujets. Donc oui, c'est compliqué de conseiller à quelqu'un de ne pas faire attention à ça. Après, encore une fois, si tu crées une plateforme de vente de je sais pas quoi, en même temps il y a le RGPD à respecter mais est-ce que tu as besoin d'être sur un hébergement français que malheureusement tu vas payer trois fois le prix d'un hébergement, il faut que ton business soit viable aussi, donc on en revient au début à la sécurité il faut savoir si c'est un corps besoin, un besoin important de l'entreprise ou est-ce que c'est une fonction support. Et à partir de là, tu choisis ton cloud.
Terry : Ok, hyper intéressant. Donc pour toi la sécu c'est pas nécessairement toujours quelque chose qu'il faut le prendre en compte mais à la juste échelle par rapport à l'activité...
Yohann : C'est compliqué quand t'es responsable sécurité de dire il faut pas le prendre en compte tu vois. J'ai baigné au cœur du métier, au cœur des gens qui fabriquaient les satellites, etc. Tu comprends très très vite qu'imposer des choses, ça devient très vite contre-productif, et donc tu dois comprendre comment ils fonctionnent. Et quand il y a besoin de sécurité et que tu imposes quelque chose et que tu le fais à la juste mesure, c'est compris et c'est appliqué. Si tuues toutes tes mesures à sécurité, à empêcher les gens de travailler, etc., ça devient contre-productif et c'est presque là où on prend le plus de risques en fait.
Terry : Ok, très clair, très clair. Par rapport du coup à ces sujets de prise en compte de l'ACQ, ça me fait penser aussi sur l'aspect peut-être un peu plus geek, un peu plus tech. On a beaucoup parlé jusqu'à présent du facteur humain qui reste quand même le facteur numéro 1 de faille, enfin je sais pas si c'est le facteur numéro 1, mais c'est un gros facteur de faille quand on veut réussir à rentrer dans des systèmes d'une manière ou d'une autre, le facteur humain. toi tu as un avis sur un peu les sujets du coup de toujours pousser au plus loin les technologies pour éviter justement derrière de se faire hacker et un peu tu vois sur les niveaux on parlait des stations blanches avec les systèmes d'antivirus qu'il y a dessus mais sur les niveaux derrière de protection purement logicielle qu'on peut trouver et du coup mettre en place en se disant bah là je me suis fait une forteresse autour de moi j'ai aucun risque versus l'investissement en fait ma question derrière tout ça c'est dans quelle mesure en tant qu'une boîte, en tant que boîte digitale, ça vaut la peine que j'investisse beaucoup, beaucoup d'argent dans des boîtes logicielles, dans des frameworks logiciels qui vont me permettre de me barricader versus plutôt travailler sur l'humain qu'il y a derrière et du coup sur l'acclimatation, la culturation à la sécu par l'humain plutôt que d'aller dépenser des centaines de milliers d'euros sur du logiciel pour me barricader.
Yohann : Je comprends la question. Ma réponse va être nulle puisqu'elle est simple, c'est qu'il faut les deux. Et en fait, il faut le faire dans l'ordre, je pense. Typiquement, si on prend plutôt mon métier. Encore une fois, je sens que ton expertise est un peu périphérique par rapport à ma culture et ma connaissance. Mais on a ce qu'on appelle des SOC, des Security Operations Center, qui vont superviser des systèmes d'information, qui vont te remonter des événements, etc. Un SOC ça a un certain coût. Mais à un moment, ça devient presque obligatoire pour avoir une visibilité. En fait, ce dont tu as besoin en responsable sécurité, c'est de la visibilité, c'est comprendre ce qui se passe, comprendre ce qu'il doit protéger, etc. Et le SOC, à un moment, quand tu atteins une certaine taille critique, un certain nombre de systèmes d'information, devient obligatoire en fait, parce que c'est ce qui t'apporte ta visibilité. Mais, à contrario, ça demande des gens pour le suivre, le gérer, faire de la rémédiation s'il y avait des choses qui sont identifiées, etc. Tu peux mettre des centaines de milliers d'euros dans un SOC si t'as une restriction en termes de politique RH et que tu peux pas embaucher des gens pour piloter ce SOC. en interne, parce que tout ne peut pas être fait par un prestataire. En gros, ça ne marche pas. Tu auras beau avoir investi dans des outils logiciels, si tu n'as pas l'humain derrière qui va comprendre ce qui se passe, le suivre, c'est mort. Il faut cette équation. Moi, j'aurais plutôt tendance à avoir des gens, au sens RH, ou prestataire, on n'est pas obligé d'avoir des employés, je comprends les deux modèles. Et après, une fois qu'on a créé une équipe, une fois qu'on a compris, en fonction d'une analyse de risque, etc., où on doit se concentrer et entre guillemets, dépenser du temps homme, à partir de là, une fois que c'est clair, que la cartographie est claire, Là on va pouvoir rajouter des briques logicielles qui vont en effet nous aider parce que ce que fait la puissance de calcul ou les corrélations que sont capables de faire les outils qui sont dans un socle sont totalement impossibles par un être humain. Mais a contrario, si tu n'as pas l'être humain pour récupérer la donnée, l'information ou le renseignement généré, ça ne sert à rien.
Terry : Très très clair et c'est vrai que moi ça me plaît de prendre d'abord l'angle humain et ensuite d'ajouter la partie tech donc je trouve que c'est assez intéressant comme mais effectivement l'un ne va pas sans l'autre aussi puisque au bout d'un moment tu te retrouves face à tes limitations physiologiques d'être humain par rapport à une machine donc il y a quand même les deux à con. ça me fait penser à une autre question, je ne sais pas si tu as un avis sur le sujet, mais c'est d'actualité, donc les intelligences artificielles génératives et donc ce qu'on peut faire avec tout et n'importe quoi j'ai envie de dire, est-ce que tu vois, je ne me suis jamais posé la question sous le prisme, à part là à l'instant, sous le prisme de la cyber, est-ce que toi tu vois des sujets qui risquent d'arriver du fait de la démocratisation.
Yohann : De ces outils ? Oui, il y a des aides aujourd'hui extrêmement puissantes, ce qu'on appelle des NDR, Network Detection and Response. Ce sont des outils, des sondes en fait, qui vont capter tout ce qui se passe sur un réseau. aux bons endroits de ton réseau, entre des points, entre différentes zones, vers ta sortie internet, etc. Et en fait ces outils, ce n'est pas que bankable, ce n'est pas que du commerce, ce sont des outils qui sont extrêmement puissants, basés sur de l'intelligence artificielle, et qui vont te recréer des comportements qui vont analyser, qui vont corréler énormément d'informations, et qui peuvent détecter des choses, on en revient à ça, à la visibilité, à la détection. qui vont détecter des choses que toi, pauvre être humain, tu es strictement incapable de faire. Mais il faut se dire que si le gars qui défend a l'aide de l'intelligence artificielle, le gars qui attaque a aussi l'aide de l'intelligence artificielle de son côté. Donc c'est un jeu du chat et de la souris où tout le monde monte au même niveau. Mais disons que je pense que si on est sur un secteur un peu sensible en termes de business, considérer des outils qui ont 10 ans, des SOC avec juste des SIEM, des collecteurs de logs, d'informations sans intelligence artificielle par dessus, on joue pas du tout avec les mêmes armes face à des attaques. C'est comme si tu vas te battre avec ta baïonnette alors qu'en face ils ont un tank.
Terry : Merci, ça répond partiellement à la question parce que la question je l'avais un peu en tête aussi autour vraiment particulièrement des intelligences artificielles génératives type chat GPT, BARD et autres. Est-ce qu'il y a un angle là dessus que tu vois venir ou sans plus par rapport justement à peut-être des attaques plus de type social engineering ou.
Yohann : Ce genre de choses ? J'ai peut-être pas creusé le sujet à fond, je sais que j'ai vu que tu pouvais générer des malwares en donnant du code, tu vois, où ils détectent des vulnes dans du code que tu lui donnes, chat GPT, en fonction de ses connaissances, tout ça, enfin c'est extrêmement puissant quoi. Mais je pense qu'il y a des gens qui sont bien meilleurs que moi sur la thématique qui ont étudié, j'ai peut-être pas le domaine où je serais le plus à l'aise quoi.
Terry : Ok, très clair. Très clair, en tout cas le parallèle effectivement d'utiliser les outils justement, les outils actuels pour pouvoir contrecarrer aussi les attaquants qui eux vont utiliser ces outils là, ça je pense que c'est aussi, c'est un parallèle pour le coup qu'on pourrait se dire tu vois avec un regard plus justement boîte digitale type start-up, regarder le monde de l'industrie ou de la cyber comme étant un peu des gros mammouths qui ont du mal à avancer mais en fait en réalité Pour rester à jour, il faut aussi aller hyper vite parce que toutes les technos qu'on va retrouver côté client, tu les retrouves aussi derrière sur toute la partie système d'information en fait. Et donc c'est aussi un monde qui évolue très vite entre justement, tu donnes des exemples des SIEM d'il y a peut-être dix ans versus ce que tu vas pouvoir faire aujourd'hui avec des briques IA qui sont intégrées. Ce n'est pas comparable. Par rapport à ça et du coup pour ceux qui sont plus dans le métier peut-être quels seraient les aussi pareil sur toujours avec ton expérience entre les modes que l'on voit et du coup versus les vraies tendances de fond quels seraient un peu les conseils ou ou le recul que t'as sur quand est-ce qu'il faut prendre le train parce que là c'est une nouvelle façon de faire les choses versus bon là c'est juste la hype ça sert à rien de s'affoler on va rester sur la techno que l'on avait il y a cinq ans parce que bon pour le moment on n'a pas encore fait de breakthrough.
Yohann : Ouais, ouais, c'est une question... C'est compliqué. Enfin... Ouais, j'ai pas de conviction sur le sujet, tu vois, c'est toujours pareil. Faut faire preuve de beaucoup d'humilité, dire... Ça, ça va être obligatoire dans 5 ans. Enfin, moi, je sais pas faire. Mais typiquement, tu... Voilà. Quand t'es dans nos métiers, je pense qu'il y a un aspect important, c'est faire de la veille, comprendre ce qui existe autour, quelles sont les nouvelles briques, etc. Attendre qu'elles soient peut-être un peu matures. et peut-être faire ce qu'on appelle des POC, des Proof of Concept, tu testes une solution. Typiquement, nous, c'est ce qu'on avait fait sur un outil de détection de vulnérabilité. Alors tu vois, c'est pas du tout nouveau. Mais voilà, tu te doutes que dans ton environnement, tu as besoin de cette brique. Aujourd'hui, c'était fait un peu de façon artisanale. Tu veux un peu l'industrialiser, le rendre plus performant, etc. Tu vas faire ce test d'une solution. Moi je marche beaucoup au réseau aussi, c'est à ça que sert le réseau, si ton copain qui est aussi RSSI dans une autre boîte a testé une solution, il en est très content, etc. Ben voilà, pourquoi pas la tester toi-même, et tu vois très vite si ça apporte une plus-value qu'il faut arriver à jauger, c'est toujours ça qui est difficile en fait. Encore une fois, on en revient, ajouter des briques logicielles c'est pas compliqué. Suite payée, tu l'installes et tu l'as. Mais qu'est-ce que t'en fais après ? Donc faire des POC, c'est bien. Je pense que ça peut te permettre, c'est là où on en revient à l'expérience, tous les POC qu'on a fait pendant 5 ans chez Arbus OneWeb, je sais très bien les briques que je vais mettre en place dans les 2 ans qui arrivent chez LookUp en fait. Parce que je sais que ça devient.
Terry : Un indissement, Et puis ça te permet du coup aussi de voir entre l'image peut-être parfois de certains produits qui est vendu par le marketing versus la maturité réelle du produit et la prise en main qu'il y a derrière de le tester. Donc je partage totalement et c'est vrai que c'est une approche qu'on peut retrouver dans tout le secteur du digital en fait. Pas uniquement le cyber, je veux dire n'importe les nouvelles techno qui arrivent, effectivement les intégrer sous forme de preuves de concept et ensuite voir si effectivement on fait la bascule pour aller plus loin avec ou pas. totalement aligné là-dessus. J'ai une question plus pareil qui me creuse la tête, ça serait de savoir, toi, parmi toute ton expérience jusqu'à présent, que ce soit dans le cadre pro ou peut-être des activités aussi annexes, c'est vrai qu'on n'a pas parlé que tu étais aussi réserviste dans ton intro, je t'ai peut-être un peu coupé trop court sur ça. Mais si tu devais garder, je suis curieux d'avoir un gros échec que tu aurais eu, si tu n'en as pas eu, en tout cas un gros apprentissage qui te suit toujours, un, deux ou trois même, mais qui t'a vraiment marqué, et qu'est-ce que tu en retires aujourd'hui, sans trahir aucun secret ou autre, mais de partager un petit peu là-dessus quelque chose qui maintenant te suit, et tu te dis ça, je le referai.
Yohann : Ouais, alors c'est plus psychologique, mais j'avais fait un post là-dessus, qui avait été repris, mais mon ancien chef me disait souvent que j'avais un savoir-faire, mais que je le faisais pas savoir. Et donc il me disait que j'étais un peu discret, mais ce qui est propre à la nature de chacun. Et quand tu fais de la sécu, que ce soit volontaire ou involontaire, il y a une part de discrétion. En plus c'est un soldat de l'ombre, il faut que l'entreprise soit protégée, et le job il est fait. Et donc il me disait ça souvent. Et un jour, je fais un entretien avec un de mes présidents pour l'embauche de mes adjoints, parce qu'ils arrivaient à leur fin de CDD, etc. Il fallait les embaucher en CD, il n'y avait pas de débat. Donc j'explique pendant une heure ce qu'on fait, des gens décapillaient. j'explique ce qu'ils font, la roadmap qu'on avait prévue, etc. Pendant une bonne grosse demi-heure, je pense, et la sanction tombe, mon président me dit « Ok, donc si ton adjoint numéro 1 il fait ce sujet et ton adjoint numéro 2 il fait ce sujet, qu'est-ce que tu fais chez nous en fait ? » Et je vous avoue, je ne l'ai pas vu venir. Mon chef ne l'a pas vu venir non plus. Mon ancien chef ne l'avait pas vu venir non plus. Donc on s'est tous regardés. Et voilà. Et donc je n'ai même pas su quoi répondre, je crois, sur le moment. Et la réunion s'est finie un peu comme ça. Et donc j'en garde le souvenir ou la certitude qu'il faut quand même dire ce qu'on fait, expliquer, être visible. On peut être visible et rester humble, c'est pas forcément incompatible. Mais être trop discret, typiquement sur des métiers qui par design le demandent, ça va vous desservir. Et voilà, bon, il y avait un contexte à toute cette histoire, il était arrivé depuis pas très longtemps, etc. Mais le fait est que, bon peut-être qu'il avait mal mangé à midi aussi, tu vois, mais le fait est que c'est un souvenir assez aigre que je garde.
Terry : Hyper intéressant et je trouve ça très cool comme retour d'expérience qu'effectivement on peut parfois se dire sans tomber comme tu le dis dans la caricature de tout le temps se mettre en avant etc mais on peut se dire que parler de soi c'est un peu être un but de sa personne ou autre mais à l'inverse en fait ne pas le faire bah c'est en fait ne pas communiquer sur ce qu'on fait et derrière comment veux-tu que les gens sachent en fait ce que tu fais parce qu'ils sont pas dans ta tête, ils ont aussi leurs activités et bon après c'est le but aussi de ce podcast de mettre en avant les personnes avec lesquelles j'échange, de les rencontrer et je partage du coup totalement cet aspect de effectivement dire ce qu'on fait sans en faire des caisses mais vraiment pour expliquer aux autres et ça permet aussi d'évangéliser ses métiers, sa pratique et de partager aussi plus facilement derrière des échanges de fond sur des sujets pour pas passer les trois quarts des échanges à expliquer en fait quel est notre métier parce que les gens sont déjà au courant quoi donc je m'attendais pas à ça honnêtement mais non mais top top top avant d'aller vers les questions de fin d'épisode dont celle du coup que j'attends depuis un petit moment Est-ce qu'il y aurait un point que tu aimerais accentuer, un sujet dont on n'a pas parlé, un point en particulier sur lequel tu voudrais axer ?
Yohann : T'en as parlé vite fait, mais c'est vrai que je peux faire un petit focus sur la réserve, la réserve militaire, surtout parce que dans le domaine cyber, on va dire, je trouve que c'est quelque chose d'extrêmement intéressant et complémentaire, parce que ça apporte une autre perspective de nos métiers, on va dire, dans un monde un peu différent. Moi je suis réserviste depuis 5 ans, et pourtant j'ai l'impression que je comprends, même si je vais essayer de l'apprendre, j'ai l'impression que je ne comprendrai jamais vraiment le monde militaire, en fait. C'est un monde tellement à part, qu'il y a des codes, etc. En fait, je pense qu'il faut y rentrer jeune, à 16-18 ans, et se former. Tu vois, c'est vraiment une institution, il y a des règles. Et donc, quand on fait de la cyber, on ne sait pas demain où on travaillera. Les gros besoins de cyber, ils sont très facilement liés à la défense, etc. Et donc c'est vrai que demain on se retrouve dans un environnement un peu MIDI, sur Airbus Defense Space un très bon exemple, il va y avoir des satellites militaires et tout. Et donc avoir cette culture complémentaire qu'on ne peut pas apprendre sans y être dedans. Moi ça m'a beaucoup apporté dans mon expérience si on peut dire ça. C'est une activité que je fais avec grand plaisir, qui recoupe des thématiques qu'on a abordées avant, comme la souveraineté. Il faut forcément être un peu patriote quand tu fais de la réserve, c'est un sens. C'est quelque chose d'extrêmement intéressant, j'encourage les gens à se renseigner s'ils ont eu l'idée. Il y a beaucoup de mes semblables, j'appelle ça. des jeunes qui ont 25, 35 ans, 40 ans parfois, qui ont toujours eu l'idée de se dire pourquoi pas faire de la réserve. Avant la réserve c'était très connoté, enfin connoté du moins, c'était très sentinelle, les gens avaient des famas et tout, ça c'était la réserve, il existe toujours mais qu'on connaissait de façon commune, et aujourd'hui on peut faire de la réserve en cyber défense, ce qu'on appelle le commandement de la cyber défense, le com cyber, a besoin de réservistes qui sont experts dans leur domaine, dans le public, dans le privé on va dire, dans le privé plutôt, et qui vont s'engager, donner des jours, consacrer du temps on va dire à cette activité.
Terry : Et du coup, les personnes qui seraient intéressées, elles peuvent te contacter aussi pour avoir ton regard là-dessus, ou t'es déjà trop sollicité ?
Yohann : C'était ma mission avant, sur l'Occitanie on va dire, de renseigner etc. Je continue de le faire avec grand plaisir, mais je ne suis plus au commandant de la cyber défense pour le coup. Donc si je répondrai avec plaisir ou je redirigerai, mais voilà.
Terry : Ok, top, très clair. Merci pour ce partage, du coup pour aller vers mes deux questions type de fin d'épisode, donc la première c'est est-ce que t'as une conviction forte, et je pense que t'en as une sur la sensibilisation du coup.
Yohann : Ouais, je vais un peu spoiler mais c'est vrai que... Est-ce que j'ai une conviction forte qui va à l'encontre de mes pères ?
Terry : De tes pères, c'est ça.
Yohann : Moi, je crois très peu à la sensibilisation de l'utilisateur. On en a discuté, c'est que... Enfin, du moins, j'y crois peu si ça a un coût. Parce que je pense que le ROI, le retour sur investissement, est extrêmement faible. Si ça coûte rien, ça coûte juste du temps, ça a un coût, mais c'est du temps homme, c'est pas un budget qu'on va allouer à ça. Pourquoi pas ? Mais tu veux mettre des sous dans des plateformes de sensi où les users en plus, ils n'ont pas envie de le faire en fait. Factuellement c'est ça. Même si tu es responsable CQ, tu es aussi utilisateur de ton propre système d'information en fait. Et quand on te demande une formation obligatoire, il faut le dire comme c'est, ça te fait chier en fait. Donc investir des sous là-dedans pour faire des exercices où les gars sont concentrés pendant les 20 minutes où ils vont le faire, tu peux être sûr que dans deux jours, quand on est vendredi soir à 17h et qu'ils reçoivent un mail de phishing, ils cliquent dessus en fait. Parce qu'ils sont pas du tout dans l'esprit de l'exercice, tout ça. Alors je dis pas que s'ils le font pas 50 fois par an, au bout d'un moment ils vont devenir experts, mais personne n'a ce budget, personne n'a cette ambition, et si le gars il est là pour construire des satellites, il est pas censé passer 50 heures par an à faire des tests anti-phishing, tu vois. Donc voilà, c'est pour ça que je disais tout à l'heure, il faut aider l'utilisateur avec des outils, on parlait d'outils, aujourd'hui tout le monde... il y a énormément de systèmes anti-phishing, etc. qui sont très bons, et je pense qu'aujourd'hui, ne pas avoir ces briques dans ton système d'information, c'est assumer le fait que ton utilisateur se retrouve seul face à la menace, et souvent il va perdre.
Terry : Ouais là-dessus, alors intéressant, je partage quand même globalement ce que tu viens de dire, même si moi je pense que je suis un peu une anomalie parce que pour le coup même si ça va m'énerver, je suis tellement curieux qu'à la fin je vais m'en souvenir quand même du truc, même si effectivement je vais peut-être pas l'assimiler de la même manière parce qu'on m'a forcé à le faire, je vais quand même, mais globalement je suis d'accord que quand on force les gens à faire ce genre de formation c'est pas hyper productif, Mais ce que je complèterais aussi, enfin mon opinion là-dessus, c'est que d'un point de vue dirigeant ou responsable de pousser ses formations, c'est qu'aussi tu te dis, c'est bon j'ai fait mon job, je lui ai poussé la formation, c'était ça ma tâche, maintenant s'ils font pas le job sécu, enfin si pardon, ils prennent pas en compte les bonnes, ils prennent pas les bonnes mesures nécessaires, c'est pas de ma faute, moi je leur ai donné la formation. Et je pense qu'il y a aussi cet aspect peut-être qui rassure les dirigeants, enfin qui est du coup pas bien, mais qui déresponsabilise versus ce que tu dis, c'est-à-dire mettre en place des outils et ensuite laisser aux utilisateurs la capacité de prendre les bonnes décisions mais avec le bon environnement autour pour le faire.
Yohann : Alors c'est facile ce que je vais dire, mais moi j'ai jamais vraiment été dans l'optique... J'ai fait ma tâche et je me suis dégagé de ma responsabilité. J'ai jamais fait une sans-si avec cet esprit. Si je l'ai fait, c'est que je considère qu'elle apporte une plus-value et qu'elle va servir, quitte à la faire qu'à une seule personne. Mais tu peux pas dire... Si t'aimes pas ton entreprise, tu peux dire ça. J'ai fait ma tâche, démerdez-vous les gars.
Terry : Ouais, je vois ce que tu veux dire. Mais c'est intéressant parce que toi t'es contre les sensibles et pour le coup t'as fait partie.
Yohann : Je suis pas contre, je ne conçois pas d'y investir le peu de budget souvent que tu as dans une entreprise. Et là, comme on parlait tout à l'heure de gens qui... le commerce versus le... il faut l'avoir, etc. Ben voilà, je sais que j'ai beaucoup de gens avec qui je discute de ces sujets dans beaucoup de postes, et qui savent mes positions sur ça, et on se chambre avec beaucoup de sympathie. Mais voilà, c'est... Après, une conviction, ce n'est pas une vérité.
Terry : Tout à fait, oui. C'est intéressant. Merci pour ce partage. Du coup, pour aller vers la fin de ma question de fin, c'est celle sur les ressources, les recos, les choses qui, toi, te nourrissent intellectuellement pour ton boulot derrière.
Yohann : Ouais, moi je fais beaucoup de veilles un peu informelles sur LinkedIn principalement, parce que j'ai besoin de comprendre un peu ce qui m'entoure en fait, tu vois. Donc lire beaucoup d'articles, comprendre un peu, enfin comprendre, même pas comprendre en fait, assimiler, enfin même pas du tout assimiler, capter des sujets, essayer de voir quel est le paysage un peu global en fait, c'est ça. Et en fait j'ai compris très vite dans nos métiers, j'avais fait un article aussi dessus, c'est que c'est impossible, enfin pour moi c'est impossible d'être expert dans ce qu'on fait en fait, dans la sécurité, la cybersécurité, etc. Et donc moi j'ai essayé d'appliquer une tactique, bon, c'est le temps qui me dira si j'avais raison, mais c'est d'être à peu près moyen partout, tu vois ? Moyen nul. Parce que je trouve qu'il y a tellement de choses qui sont tellement compliquées que c'est impossible d'être bon, selon moi surtout, quand t'es directeur de la sécurité dans une start-up où tu dois tout adresser, il faut faire des choix, etc. Donc je pense qu'il vaut mieux avoir un petit avis sur tout qu'être très bon sur deux ou trois domaines et laisser tout le reste. C'est assez facile à dire, mais c'est pas dans la culture, je trouve, des gens de se dire, ben voilà, je vais me contenter d'être à peu près moyen partout. Tu vois, on n'est pas éduqué comme ça, etc. On est éduqué pour être les meilleurs et tout, mais ça marche pas.
Terry : Ouais, donc des profils plus généralistes pour pouvoir ensuite aller peut-être parfois se spécialiser s'il y a un moment, un besoin, voilà, mais hyper intéressant. Et sur LinkedIn, du coup, je ne sais pas après si tu as des profils spécifiques que je pourrais mettre dans les notes de l'épisode ou toi tu t'es fait un peu déjà ton feed de manière organique.
Yohann : Il y a Laurent qui est extrêmement intéressant, qui poste beaucoup d'outils, souvent gratuits, donc c'est une mine d'informations en fait. C'est vraiment important parce qu'il trouve des outils partout et il a créé une vraie communauté avec cette démarche et le public, si on peut appeler ça, est extrêmement réceptif. C'est quelqu'un d'extrêmement intéressant qui plaira à tous tes auditeurs.
Terry : Top. Merci beaucoup pour ton temps, Yohann.
Yohann : C'est moi.