Logo Galink

Solution

Partenaires

Ressources

A propos

Log in

Essayez gratuitement

Galink la solution de TPRM n°1

Essayez

‹ Return to blog

DARE #3 - Eric Kawka - RSSI GRC @Eramet

2 sept. 2025

Parfois, on rencontre des gens qui nous inspirent. Qui nous font croire qu’une autre approche est possible. Qui nous embarque dans leur énergie. 

“DARE.” est la série des optimistes. De ceux qui ont le courage et la créativité de sans cesse réinventer nos entreprises et quotidiens.

Plongez-vous dans l’univers, la stratégie et les méthodes de ceux qui font bouger les lignes.

Des personnalités fortes pour des interviews concrètes.

Pressé ? Les 3 insights concrets de cet article :

  • Le CISO de demain est un stratège, pas un hyper-technicien : sa force, c’est la vision d’ensemble et la capacité à fédérer les expertises.

  • Un programme cyber réussit par l’équipe et le pragmatisme : adapter la transformation au contexte et savoir composer avec les résistances.

  • L’IA et l’automatisation libèrent du temps de cerveau : après avoir solidifié les bases, miser sur des outils simples qui éliminent les tâches répétitives.


La discussion

Un moment décisif t’a-t-il orienté vers une carrière en cyber ?

Oui et non ! (Rires)

Je m’explique. Je ne suis pas du genre à planifier ma carrière sur 5 ou 10 ans. À aucun moment je ne me suis dit : “Tiens, je vais bosser dans la cyber” ou “Je vais y faire carrière”.

En revanche, il y a un principe auquel je suis resté fidèle : ne jamais arrêter d’apprendre. C’est le fil conducteur de mon parcours.

Je suis donc toujours en quête d’opportunités pour explorer de nouveaux sujets, me confronter à d’autres métiers. Et la cybersécurité, eh bien… elle s’est simplement trouvée sur mon chemin.

Intéressant ! Et comment ça s’est concrétisé ? 

Je suis technicien en informatique industrielle de formation. Et j’ai commencé… dans l’installation de logiciels bureautiques ! J’ai même mené des projets d’installation de logiciels comptables dans les mairies, pour te donner une idée. Rien à voir avec la cybersécurité ou ma formation initiale, mais c’était hyper formateur pour apprendre à gérer des projets et à développer un vrai sens du relationnel.

C’est après cette première expérience que j’ai rejoint le groupe Michelin pour faire du développement et de l’administration systèmes. Il faut se projeter : on est en 1997. À l’époque, on ne parlait même pas de “cyber” mais de “sécurité informatique”.

Et cette “sécurité informatique”, chez Michelin, c’était… un placard. Le repaire des anciens, des pointures en fin de carrière. Une petite équipe d’experts ultra-expérimentés, mais repliée sur elle-même, comme dans une forteresse.

Par chance, mon poste dans une filiale sensible m’a permis de commencer à interagir avec eux. Et j’ai ressenti une vraie envie de les rejoindre. Les RH ont tenté de m’en dissuader (rires). “À votre âge, avec votre parcours… on va vous trouver mieux.” Mais mon subconscient avait déjà pris la décision. C’était clair dans ma tête.

En rétrospective, aurais-tu mieux fait de les écouter ?

Je n’ai jamais pris de meilleure décision. (Rires)

Je sortais de 10 ans de technique pure, et j’avais envie de basculer sur quelque chose de plus stratégique. Un rôle qui me permettrait de garder un pied dans la technique, tout en gagnant en exposition sur la gouvernance.

Et je suis tombé dans une équipe d’experts incroyables, qui m’ont transmis tout leur savoir, accumulé au fil de leurs longues carrières. C’est eux qui m’ont tout appris en cryptographie, entre autres.

Avec le recul, je crois que c’était une forme d’évidence pour moi. J’ai toujours fonctionné à l’instinct, et cette transition me paraissait inévitable.

En parallèle, je voyais bien que les choses évoluaient. Michelin a une vraie culture de la protection de l’information, et je me retrouvais à un carrefour de nombreux sujets stratégiques. Plutôt que de rejoindre un service d’infra ou de dev parmi une armée de développeurs, j’ai pris un risque. Et je ne l’ai jamais regretté.

Quand est-ce que la “sécurité informatique” est sortie du placard pour devenir un sujet hype ?

Ça a mis du temps… et nécessité pas mal de réorganisations !

L’environnement a beaucoup bougé entre 2008 et 2012. On est passé de systèmes fermés “on-premise” à des architectures de plus en plus ouvertes, hétérogènes… donc exposées à de nouvelles menaces.

Et puis, on a commencé à voir les incidents dans la presse. Les conséquences devenaient concrètes, tangibles. L’exemple le plus marquant, c’est sûrement Stuxnet.

On a pris conscience que pour qu’une entreprise fonctionne, il fallait protéger son système d’information. La sécurité n’était plus une affaire d’informaticiens en chambre. Il fallait aller sur le terrain, travailler main dans la main avec les métiers, comprendre leurs enjeux pour sécuriser l’ensemble de la chaîne. Et ça, c’est ce qui a rendu le métier à la fois transverse, technique, stratégique… et passionnant.

Un autre moment clé, à mes yeux : la montée en puissance des équipes de réponse à incident. Parce qu’on a fini par admettre qu’aucune gouvernance, aussi solide soit-elle, ne suffira jamais à 100%. Il fallait donc être capable de réagir.

Aujourd’hui, ces équipes sont considérées comme critiques pour les opérations et le business. Le virage était si profond… qu’on a carrément inventé un nouveau mot : la Cybersécurité.

Très clair ! On voit bien l’évolution. D’ailleurs, comment vois-tu le rôle de CISO se transformer dans les années à venir ? 

Je pense qu’on a devant nous des années passionnantes. La cybersécurité reste un secteur en pleine croissance. Les systèmes sont de plus en plus présents dans nos vies, la technologie évolue à toute vitesse, et le contexte géopolitique ajoute une couche stratégique supplémentaire.

Tout ça va forcément impacter le rôle et les compétences du CISO.

Aura-t-on besoin de “couteaux suisses”, à l’aise sur tous les sujets cyber ? Ou de managers qui s’appuient essentiellement sur une politique de sécurité ? Je n’ai pas de certitude, mais j’ai un avis …

Le CISO de demain, ce n’est pas un hyper-technicien. Les technologies évoluent trop vite. Aucune personne, même brillante, ne peut être experte dans tous les domaines qu’il faut couvrir.

Faire de la veille, plonger dans les sujets : bien sûr, c’est indispensable. Mais vouloir tout maîtriser, c’est prendre le risque de passer à côté de l’essentiel.

Entendu ! On aurait donc plus à faire à des CISOs avec une vision macro qui savent bien piloter les projets. A ce sujet, quels facteurs font le succès ou la déroute d’un programme cyber selon toi ?

Plus qu’une vision “macro”, je dirais : une vision d’ensemble. C’est elle qui permet de construire une stratégie solide.

Le premier facteur de succès, selon moi, c’est l’équipe. Savoir s’entourer des bonnes personnes. Celles qui ont le métier, la technique, ou simplement le bon état d’esprit.

Ensuite, il faut du pragmatisme. Chaque entreprise a son ADN, son rythme, ses contraintes. Et ce contexte évolue en permanence. Il faut donc faire appel au bon sens.

Par exemple, si tu lances un programme et que la majorité des parties prenantes s’y opposent, c’est qu’il y a un problème. Bien sûr, il y aura toujours une minorité réfractaire. C’est normal, voire sain. Mais si la résistance est généralisée, alors il faut se remettre en question :

  • Qu’ai-je manqué ?

  • Quels signaux n’ai-je pas vus ?

  • Est-ce le bon moment pour lancer cette transformation ?

  • Mon organisation est-elle prête ?

C’est frustrant, parce que tu sais parfois exactement où tu veux aller. Mais il faut composer. C’est comme en randonnée : tu connais le sommet et la vue splendide qui t’attend au lever du soleil. Mais parfois, le seul chemin possible pour ton groupe, c’est le col entre deux sommets. Et c’est déjà très bien.

Belle image ! Et dernière question avant de passer sur les sujets plus “humains” : une solution ou une technologie dans laquelle tu investirais 1 million d’euros demain ? 

Je commencerais par solidifier les bases. Zéro Trust, XDR, SOC, gestion des vulnérabilités … Tant que tu n’as pas un socle robuste, tu passeras ton temps à éteindre des incendies.

Ensuite, côté innovation, je crois beaucoup aux outils qui libèrent du temps de cerveau. L’automatisation et l’IA ont clairement leur place, surtout pour les tâches répétitives qui n’ont plus de sens aujourd’hui. On ne devrait plus avoir à parcourir des rapports SOC II en faisant des “Ctrl + F” pour trouver des mots-clés, par exemple…

Dans cette logique, je pense que vous prenez la bonne direction avec Galink, en accélérant les audits fournisseurs grâce à des modèles de langage. Je mentionnerais aussi Mokn et leur système de “phishback” qui identifie les credentials compromis et activement exploités. Le concept est d’une simplicité déconcertante… et donc génial.

J’ai un vrai faible pour ces idées qui semblent évidentes. Ce sont souvent les plus adoptées et celles qui prennent rapidement des parts de marché.

100% aligné. Venons-en donc à l’humain. Quels sont les traits de caractère qui t’ont le plus servis dans ta carrière ? 

Je pense que j’ai une bonne capacité à rebondir. Comme tout le monde, je traverse des périodes de doute. J’ai aussi ces soirées où je vais me coucher avec le cerveau en vrac, persuadé qu’il n’y a pas de solution.

Mais j’ai la chance d’avoir un mental qui repart vite. Je peux bloquer sur un sujet, mais je ne lâche jamais rien. Je finis toujours par trouver un angle d’attaque, une voie de sortie. C’est sans doute ce qui m’aide le plus au quotidien.

Et puis, je crois que j’ai un enthousiasme communicatif. J’aime ce que je fais, et je pense que ça se sent. Ça m’aide à faire passer mes idées, à convaincre. J’ai une vraie confiance dans mes convictions, ce qui me permet souvent d’embarquer les autres dans ma dynamique.

Ce côté fédérateur peut se retourner contre toi si tu te trompes… mais jusqu’ici, ça m’a plutôt porté.

Comment gères-tu les pépins quand ils se présentent ? 

Nos amis gabonais ont une philosophie que j’aime bien : “L’éléphant, ça se mange à la petite cuillère”. 

Autrement dit : on découpe le problème en morceaux. C’est exactement ce que j’essaie de faire avec mes gros sujets.

Quand tu transformes une montagne en une série de petits cailloux, ça devient plus simple de mobiliser les gens autour de toi. Tu avances pas à pas. Et, en général, tu finis par recruter d’autres petites cuillères pour t’aider à manger l’éléphant.

J’imagine que c’est crucial pour embarquer les gens sur tes sujets, effectivement. D’ailleurs, comment décrirais-tu ton style de leadership ? 

J’essaie d’apporter deux choses essentielles : la transparence et le sens.

La transparence, parce que je prends le temps d’expliquer les sujets, les contextes, les contraintes… parfois même mes propres galères. Pas pour me plaindre, bien sûr, mais pour offrir une autre perspective à mes équipes, les faire réfléchir, les faire grandir.

Et puis le sens, parce que c’est la base de l’engagement. Je reste très attentif à l’humain. Je ne suis pas spécialement adepte du mélange pro/perso, mais je reconnais que certaines situations créent une charge mentale impossible à ignorer. Dans ces cas-là, en parler suffit souvent à soulager, alors j’essaie d’être présent, d’ouvrir un espace d’écoute.

As-tu des mentors ou des rôles modèles ? 

Comme je le disais en début d’entretien, j’attache énormément d’importance à l’équipe, à ce que je vais apprendre avec elle. C’est un principe profondément ancré chez moi.

Mais non, je n’ai pas de “mentor” au sens traditionnel du terme.

Je préfère m’inspirer de chaque professionnel que je croise, de chaque situation que je vis.

Eric, nous approchons de la fin de l’entretien. J’ai mes deux dernières questions traditionnelles pour toi. La première : quelle est ta plus grande fierté professionnelle à ce jour ? Ou inversement, l’échec qui t’a le plus appris ?

C’est le même projet qui répond aux deux questions.

À l’époque où j’étais chez Michelin, le groupe avait lancé un programme d’intrapreneuriat. Tous les salariés pouvaient proposer une idée, la pitcher devant un jury, et si retenue, la faire émerger.

J’avais alors une idée assez aboutie autour d’un projet d’éco-conduite, basé sur un écosystème d’objets connectés pour réduire les émissions carbone des conducteurs. J’ai passé la première phase de sélection, mais mon projet a été recalé ensuite.

Cela dit, j’avais échangé avec les porteurs d’un autre projet, MyGoodTrip et le courant était super bien passé. Ils m’ont proposé de les rejoindre. On s’est investis à fond : soirs, week-ends, tout y est passé. Et finalement, le projet a été sélectionné.

C’était du concret : le groupe nous a sortis de nos postes respectifs pour lancer le business.

Tout était prêt. L’équipe était soudée, motivée. Mais à la toute dernière minute, juste avant le lancement, le Comité Exécutif a mis fin à l’initiative. Sans explication. Très probablement parce que notre offre entrait en concurrence avec un autre projet en développement dans une autre entité.

Ça reste une immense fierté, car on était allés très loin. Et un échec très formateur, car il m’a appris à rebondir, à accepter que certaines décisions ne dépendent pas de toi, même quand tu fais tout bien.

J’imagine la frustration. Et pour finir : un conseil que tu donnerais à ton “Toi” d’il y a 10 ans ? 

Ça peut paraître contradictoire, mais je dirais deux choses :

  • Apprends à modérer tes ardeurs et à mieux écouter.

  • Écoute-toi plus. Fais confiance à ton instinct.

C’est cet équilibre entre fougue et lucidité qui t’emmène loin.

DARE #2 - Mayeul Berger - Head of IT & Security @CybelAngel>