DARE #1 - Matej Zachar - CISO @Kontent.ai

Parfois, on rencontre des personnes qui nous inspirent. Qui nous font croire qu’une autre approche est possible. Qui nous dynamisent par leur passion.

“DARE.” est une série sur les optimistes. Sur ceux qui ont le courage et la créativité de réinventer constamment nos entreprises et notre quotidien.

Plongez dans l’univers, la stratégie et les méthodes de ceux qui changent la donne.

Matej Zachar est un CISO passionné, animé par la volonté de placer la cybersécurité au cœur du business.

Son parcours est guidé par une très grande curiosité et le goût l’apprentissage. Il base son leadership sur l’exemplarité et la pédagogie.

Optimiste lucide, il voit la sécurité non comme un frein mais comme un moteur stratégique de croissance.

Intro

Y a-t-il eu un moment décisif qui t’a orienté vers une carrière dans la cybersécurité ?

Pas vraiment. Je suis tombé dessus par hasard au cours de mes études. À l'époque, la cryptographie et la sécurité étaient des cours spécialisés optionnels. Cela me semblait à la fois un peu sombre et cool. D’ailleurs, j’étais l’un des premiers à suivre ce programme. Et tu vois; 17 ans plus tard, j’y suis toujours plongé jusqu’au cou. J’imagine que c'était écrit. 

Quel est le fil conducteur ou l'objectif latent qui a guidé ta carrière ? (Qualité de l'équipe, vision du produit, impact, etc.)

Je ressens cette vocation de rendre la sécurité cyber mieux reconnue et comprise. Je veux mettre le sujet au cœur de l’entreprise. Qu’il y trouve réellement sa place. 

Je le dois à une lourde hérédité. (Rires) Je viens d'une famille d'enseignants. J'ai grandi avec des personnes qui aimaient partager leurs connaissances et susciter la curiosité chez les gens. 

Et de fait, c'est un aspect très important du métier de CISO. La technique est évidemment le socle de base mais cette dimension de sensibilisation est essentielle. Pour ma part, j’ai la chance de vraiment aimer ces deux aspects de mon métier.

Qu'est-ce qui t’a particulièrement attiré dans ton entreprise et ton poste actuels ?

Déjà, le potentiel de croissance. Mais j’ai aussi été sensible au fait que la sécurité soit au cœur de notre proposition de valeur. 

En fin de compte, ce n'est pas la taille de l'entreprise qui compte, mais le niveau de sécurité attendu par vos clients. Par exemple, vous pouvez être une fintech de 20 personnes et avoir 3 personnes à plein temps sur la sécurité. Parce que si votre produit n’inspire pas confiance, vous n’aurez pas un seul client. La sécurité est tout simplement une brique à part entière de la stratégie produit. 

En revanche, si vous travaillez dans la fabrication de biens, le fait d'avoir un programme de cybersécurité solide ne va pas faire décoller vos ventes. Cela ne fait pas partie intégrante du produit.

A la fin des fins, j’aime voir la sécurité comme un moteur pour le business. D’ailleurs, on travaille très proches des sales pour s’assurer de contribuer à la clôture des deals. Ce n’est pas une case qu’on coche par conformisme.

L'humain

A 34 ans, tu as déjà été responsable de la cybersécurité de trois entreprises. Tu la gères désormais pour Kontent.ai et ses 150 employés. Quels traits de caractère t’ont permis d'en arriver là ? Quel serait ton « super-pouvoir » ? (c'est-à-dire ce que tu fais plus rapidement et plus facilement que les autres)

Je risque de te décevoir avec une réponse très analogue pour quelqu'un qui travaille dans le domaine du numérique : la lecture. (Rires)

J'ai toujours lu, depuis mon enfance jusqu'à aujourd'hui, et ce sur tous les sujets possibles et imaginables. Apprendre à connaître le monde n’est pas un effort pour moi, c’est une nécessité. Je le fais tous les jours, principalement à travers des livres ou des podcasts.

C'est un bon levier pour débusquer des petites bribes de sagesse auxquelles je n'aurais pas accès autrement.

J'aime penser que cela m'apporte un peu plus de nuance lorsqu'il s'agit de comprendre les cultures et les gens, mais aussi lorsqu’il s’agit de prendre des décisions importantes.

Ton travail implique beaucoup de responsabilités, et donc de stress, j'imagine. Comment gères-tu cela ? D'où tires-tu ta résilience ?

Je dirais que je suis péniblement optimiste. (Rires)

C'est peut-être une question de génération, mais j'accepte assez facielemnt le changement. De fait, nous n'avons plus le choix de nos jours. Mais c'est comme si nous nous y étions habitués. 

Dans un sens, ce n’est donc pas vraiment une pratique, comme le yoga ou la méditation. C'est plutôt un état d'esprit. C’est cette décision que je prends chaque matin de m'engager à trouver un bon équilibre entre vie professionnelle et vie privée. De ne jamais faire de compromis sur le temps en famille. Je m'assure de consacrer du temps à mes amis et de faire des choses que j'aime vraiment.

Je cours aussi régulièrement, mais ce n'est qu'une activité parmi d'autres. 

Comment décrirais-tu ton style de leadership et comment a-t-il évolué au fil des ans ?

J’attache beaucoup d’importance au fait de mener par l’exemple. Cela peut sembler générique, mais dans les faits j'essaie toujours d'être le premier à m'impliquer. Le premier à prendre la parole. Le premier à lever la main. Celui qui partage en permanence des contenus qui, selon moi, pourraient intéresser l'équipe. Au bout d'un certain temps, cela commence à s'ancrer en vous, mais aussi à imprégner l'équipe.

Aimer autant être dans l’action veut aussi dire que je dois parfois faire attention à ne pas me surinvestir auprès des équipes. Mais s'il s'agit de questions importantes, j'essaie toujours de contribuer concrètement, d’une manière ou d’une autre. 

Si je te demande de me parler de ton meilleur/pire moment en tant que manager, une anecdote te vient-elle à l'esprit ? Quelles leçons en as-tu tirées ?

Rien ne m’émeut plus que de voir mon équipe s'approprier quelque chose. Quand tout le monde se sent responsable et qu’on rentre tous dans une même dynamique.

Un exemple concret pourrait être celui du lancement de nos premières fonctionnalités d’IA. On a vite vu que nos clients et prospects couvaient un ressenti négatif, intangible mais bien réel, à l'égard de l'IA. Ils craignaient pour leurs données, que ça limite la créativité de leurs employés, etc. 

C'est alors que mon équipe a pris l'initiative de mettre en place un schéma  directeur responsable pour l'IA. Cela semble évident aujourd’hui mais c’était relativement novateur en 2023. 

Tellement novateur, de fait, que nous avons même été nominés pour le prix de la meilleure équipe de sécurité de l'année au Royaume-Uni. Bon, nous n'avons pas gagné (rires), mais quand je regarde l'énergie et le dynamisme dont a fait preuve l'équipe, j'ai l'impression qu’au final, on a quand même un peu gagné. 

As-tu des mentors ou des modèles ? Si oui, pourquoi eux ?

Pas vraiment. Attention, je crois fermement l'importance dese remettre en question et d'apprendre auprès de personnes plus expérimentées. Mais je ne crois pas qu'il faille avoir un seul mentor dont on copie et colle la trajectoire. Il y a trop de variables en jeu pour se limiter à quelques individus. En règle générale, j'aime m'inspirer d’un maximum de monde.

De fait, plus on s'éloigne du domaine de la cybersécurité, mieux c'est ! Je discute souvent avec un ami médecin, et nous parlons souvent des parallèles que nous voyons dans nos domaines respectifs. Au final, les deux consistent essentiellement à travailler avec des gens. C’est souvent plus enrichissant qu’une conversation avec un expert informaticien.

Je parle ici sur le plan professionnel, mais cela vaut également sur le plan personnel. Notre époque est marquée par la polarisation des opinions. Les algorithmes de recommandation créent des barrières entre les différents segments de notre population. Je considère que nous avons tous désormais la responsabilité d’activement aller se frotter à l’autre extrémité du spectre pour remettre en question notre façon de penser. 

C'est crucial pour nous en tant que société, mais aussi en tant qu'êtres humains. C'est un bootcamp d’empathie. 

Par exemple, je discutais l'autre jour avec d'autres CISO. j’ai découvert que 80 % d’entre eux s'inquiètent du fait que les systèmes d'IA soient entraînés à partir des données de l'entreprise. Avec tous les efforts déployés sur le sujet par les fournisseurs d'IA, j’étais assez surpris. Mais c'est très bien ! Nous avons besoin de ressentir ces chocs pour continuer à nous mettre dans les chaussures d’autrui.

La stratégie

Selon toi, quels sont les principaux défis auxquels nous serons confrontés au cours des cinq prochaines années ?

L'IA agentique est en train de changer notre façon de travailler. Elle a fait irruption dans nos flux d’information il y a un an, mais l’impact sur nos stratégies organisationnelles est déjà profond, en cours, et ce à tous les niveaux. Cela rendra le monde plus complexe à protéger d'une certaine manière, car nous ferons face à une intelligence que nous maîtriserons toujours un peu moins.

Sinon, il est difficile de ne pas penser aux tensions géopolitiques et à l'incertitude ambiante. En tant que professionnels de la sécurité, nous nous devons d’être prêts si les choses tournent mal. Nous avons la responsabilité de réfléchir à ces questions.

Enfin, sur un plan plus humain, je vois également un défi dans la manière dont les gens interagissent les uns avec les autres. Tout commence par quelques droits de douane et mesures protectionnistes ici et là, et avant même de s'en rendre compte, des murs se dressent entre les sociétés et les pays. Il sera intéressant de voir comment les prochaines années nous amèneront. 

Tu as guidé tes entreprises dans l'obtention d'une grande variété de certifications (ISO 27001, 27017, SOC 2, RGPD, etc.). Comment fais-tu pour impliquer et mobiliser toute une entreprise ? As-tu des astuces pour sensibiliser les gens et les faire participer à la solution ?

Il faut évidemment développer un certain sens du relationnel. Il faut être capable de transmettre simplement l'urgence et la technicité du sujet traité. Mais c’est un peu un secret de polichinelle. 

Si tu me demandes une astuce, une approche que je trouve assez efficace consiste à faire de la cybersécurité un argument de vente crucial à la vente. Par exemple, nous étions en discussion avec un client qui ne voulait pas acheter notre produit tant que nous n'étions pas certifiés ISO 27001.

On parlait d’un deal conséquent, donc toute l’entreprise s’est mise en marche. 6 mois plus tard, on avait obtenu la certification. 

Donc le business peut être un levier très efficace pour insuffler un sentiment d’urgence.

Tu as travaillé en Irlande, en Suisse, en République tchèque, etc. Qu'as-tu appris de ces expériences ? 

Je dirais : « Le monde est moins mondialisé qu’il ne semble.» (Rires)

Pas besoin d’aller très pour le constater d’ailleurs. Prends le train quelques heures et tu verras que les gens te perçoivent différemment, utilisent des mots différents pour parler des mêmes choses, ou ont une relation différente au travail, etc. 

Je suis un grand partisan du voyage parce que je pense qu’il nous rend meilleur. Et travailler avec d’autres cultures nous rend plus complet. 

Il y a toujours quelque chose à en tirer, que ce soit la nature, la cuisine, la culture, les œuvres d'art locales, etc.

Une technologie a-t-elle changé ta vie ?

Je dirais mon ordinateur personnel. Cela remonte un peu, mais cela restera toujours un objet spécial pour moi. La première fois que tu l’allumes et que tu commences à construire votre petit univers. Dans mon cas, cela a évidemment été le début d'une fascination fondatrice. 

Rétrospective et prospective

Quel conseil donnerais-tu à ton « toi » d'il y a 10 ans, ou à un jeune professionnel qui débute aujourd'hui, dans le domaine de la technologie ou autre ?

À mon moi plus jeune ? Achète des bitcoins. (Rires) Ça va bien se passer.

Plus sérieusement, les jeunes professionnels ont la vie dure aujourd'hui, avec une forte concurrence pour les postes juniors et les stages. J'encourage tous ceux qui débutent dans le domaine à adopter l'IA, à ne pas avoir peur du travail à la tâche (bug bounties, freelance) et à continuer à apprendre.

Dans un contexte où certains considèrent que la technologie prend le dessus sur nos vies, te considères-tu optimiste pour l'avenir ? Si oui, pourquoi ?

Je pense qu'il faut être optimiste.

Il est vrai que la technologie amène son lot de menaces imminentes. Dans une certaine mesure, l'IA est déjà plus intelligente que nous. Je pense à sa capacité à traiter des grandes quantités de données par exemple. Et elle ne va cesser de gagner en intelligence. La question deviendra plutôt de savoir si nous arriverons à la garder sous contrôle ? 

En tout cas, personnellement, je ne pense pas que l'utilisation de l'IA nous rendra stupides. Mais elle pourrait nous rendre moins sages si nous la laissons faire. Si nous lui confions toute notre réflexion.

Toutes ces questions rendront la réglementation d'autant plus stratégique et importante dans les années à venir. Nous assistons déjà à un tournant philosophique pour l'humanité. Quelle liberté et quelle innovation pouvons-nous autoriser, et à quel prix ? La clé sera de trouver le bon équilibre ET le périmètre juste pour cette régulation. L'Europe doit prendre une décision judicieuse si elle ne veut pas être laissée pour compte.