DARE #2 - Mayeul Berger - Head of IT & Security @CybelAngel

Parfois, on rencontre des gens qui nous inspirent. Qui nous font croire qu’une autre approche est possible. Qui nous embarque dans leur énergie. 

“DARE.” est la série des optimistes. De ceux qui ont le courage et la créativité de sans cesse réinventer nos entreprises et quotidiens.

Plongez-vous dans l’univers, la stratégie et les méthodes de ceux qui font bouger les lignes.

Des personnalités fortes pour des interviews concrètes.

Pressé ? Les 3 insights concrets de cet article à mettre en pratique demain matin :

• Projetez-vous dans une attaque cyber comme un personnage dans une bande dessinée pour stimuler votre créativité et prévention

• Si vous sentez que vous arrivez au bout d’un cycle, ne dramatisez pas le changement. Le tout est de trouver le bon timing pour donner un coup de pied dans la fourmilière

• Il est crucial d’être à l’écoute de ses équipes mais il faut mettre des limites. Il y a un temps pour l’empathie, un autre pour l’exécution. C’est cette dernière qui leur permettra de reprendre confiance.

La discussion

Mayeul, merci de participer à cette interview de “DARE.” Je te propose de commencer par le début. Comment es-tu arrivé dans le monde de la Cyber ? 

A première vue, mon parcours ne devait absolument pas me mener où je suis. Mais en prenant de la hauteur, il y a tout de même une logique, un fil rouge entre mes rêves de gosse et mon travail aujourd'hui.

Ma culture familiale n’y est pas pour rien. On a plusieurs militaires dans la famille et j’ai toujours eu cet attrait pour les sujets en lien avec la défense et l’engagement. Je baignais indirectement dedans, que ce soit via le scoutisme ou encore par mes lectures : j’étais (et reste) un grand amateur de romans d’espionnage, par exemple. Je pensais adolescent à une carrière militaire.. 

Mais le temps est passé et à la fin du lycée j’ai dû me rendre à l’évidence : je ne me serais pas épanoui dans cet environnement et je n’aurais peut-être pas été très bon. Je m’en faisais une idée assez romanesque mais en me projetant dans le concret de la vie de militaire, j’ai compris que le cadre n’était pas le bon pour moi. 

Et de mémoire tu n’as pas fait les choses à moitié, t’as pris la tangente … ?

Effectivement, j’ai fini par m’orienter vers les sciences politiques et la littérature. J’ai rejoint L’institut Albert-le-Grand (Angers) pour une double licence Lettres et Sciences Politiques -  formation que j’ai adorée. C’était vraiment l’idée que je me faisais d’une éducation intellectuelle complète. On travaillait beaucoup et sur plein de sujets. Cela allait de l’économie de marché à la philosophie politique en passant par le théâtre. J’y ai trouvé beaucoup de fond intellectuel et une vraie formation au travail. C’était exigeant d’avoir à maîtriser des disciplines aussi éloignées, mais c’était surtout très formateur.

Être exposé à autant de disciplines m’a amené à me poser pas mal de questions en fin de cycle, mais je me suis finalement dirigé vers les relations internationales. Je trouvais ça passionnant et je me disais surtout qu’il y aurait des choses à faire. Quand je vois l’actualité, j’ai le sentiment de ne pas m’être trompé.

C’est par ce biais-là que je suis tombé dans la Cyber. C’était déjà bourgeonnant à l’époque et ça s’annonçait incontournable. J’ai commencé à me pencher sur le sujet via des dissertations, des travaux, durant mes années de Master etc. ce qui m’a permis de commencer à en cerner les enjeux.

J’ai commencé à travailler deux ans dans la veille et les relations publiques. Un jour, j’ai vu passer une annonce sur un poste en Cyber, j’ai postulé, et ça s’est bien passé. Je m’y suis tout de suite épanoui, et je me suis plus beaucoup reposé la question depuis. 

Qu’est-ce qui te prédisposait, toi étudiant en sciences-politiques et littérature, à être bon en sécurité cyber ? 

Ce n’était pas une évidence. Je partais de loin, j’avais tout à apprendre, notamment sur le plan technique. Mais j’ai une bonne capacité à m’immerger dans les sujets qui m’intéressent donc j’ai appris assez vite. Mes collègues de l’époque ont été très accueillants et encourageants, ce qui m’a permis de grandir. 

J’ai par ailleurs été aidé par quelques traits de caractère qui me permettaient d’être assez efficace dans ce travail.

Lesquels ? 

On me prête une certaine imagination. Pour la petite histoire, le seul domaine pour lequel j’ai failli tout plaquer était celui de la BD - je voulais être illustrateur. (Rires) J’adorais dessiner et raconter des histoires. Je le fais depuis toujours. C’est, à mon sens, un véritable atout en tant qu’analyste d’abord, puis  Head of IT & Security aujourd’hui. Je pense avoir le bon dosage d’imagination, qui me permet de facilement me projeter dans une menace et les chaussures d’un attaquant.

Cela aide à prévenir mais également à identifier rapidement les failles. Sur les volumes de données que nous sommes amenés à traiter, en plus de l’analyse méthodique, il y a quelque chose qui relève du flair pour localiser la brèche, la faille, le risque. En devenant analyste, je parvenais assez bien à me mettre à la place d'un attaquant et à imaginer "tout ce que je pourrais faire de mal" avec les éléments détectés par nos systèmes (fuite de donnée, vulnérabilité, etc). Cela me sert évidemment aussi aujourd'hui dans la gestion des risques, cette fois-ci pour le compte de mon entreprise et non plus de nos clients.

Donc cela correspondait à ta personnalité et à tes talents. Autre chose t’attirait dans cet univers ? 

Je dirais l’aspect concret et l’impact du travail, même des tâches quotidiennes. En tant que responsable sécurité, on passe nos journées à essayer de démanteler ce qui pourrait mettre à mal une entreprise. Celle-ci peut être énorme ou minuscule. Même si ce n’est pas toujours un enjeu national - comme cela pourrait être pour un OIV ou OSE par exemple -  il y a toujours en jeu des enjeux de sécurité opérationnelle, juridiques, humains (emplois), etc - et souvent des enjeux financiers très importants aussi.

En travaillant en cybersécurité, quel que soit mon poste, j'ai le réel sentiment de servir concrètement à quelque chose (et à quelqu'un). C'est véritablement gratifiant.. 

Tu parles de tâches gratifiantes. Quelles sont les tâches ingrates de ta semaine ? 

Je raisonne plutôt en termes de phases que de tâches. 

J’aime voir la vie comme une alternance de chapitres. Or il y a deux grands types de chapitres énergivores pour moi.

Le premier est celui de “l’ennui”. Cela se produit en général lorsque le quotidien est phagocyté par les affaires courantes. Quand il y a moins d’innovation et qu'on a le sentiment de n’apprendre plus grand-chose (ça arrive naturellement à un moment donné dans une carrière). Dans mon cas, mon système d’alarme s’enclenche lorsque j’ai le sentiment d’avoir la même journée qu’il y a 3-4 mois. S’ensuit généralement toute une phase de remise en question, de regard sur soi-même, un bilan des actions et des compétences, et de préparation de l’après. 

Et le second ?

Le second type de phase "ingrate" vient avec le syndrome de l'imposteur; syndrome qui peut tirer vers le haut et faire progresser si on le gère bien, mais qui peut aussi être destructeur. Il y a toujours un moment dans une carrière, ou même dans une année, où le travail qu'on fait nous paraît au-delà de nos forces, ou bien qu'on ne mérite pas la confiance que les clients ou les collègues nous accordent. 

Il faut savoir poser un regard juste et une exigence équilibrée sur soi-même, pour ne pas se reposer sur ses lauriers bien sûr, mais aussi pour savoir avancer dans des moments de doutes. En fin de compte, en étant bien entouré, ces doutes sont aussi des aiguillons pour avancer et progresser. A chaque fois que j’arrivais à ce stade d’inquiétude, j’ai su lever le nez du guidon et des opportunités se sont débloquées. 

La clé dans ces phases de doute est de parvenir à identifier le bon moment pour mettre le coup de pied dans la fourmilière. D’expérience, rester ouvert et ne pas dramatiser le changement porté généralement ses fruits.

J’imagine que cette capacité à mettre de la distance avec les sujets à dû t’aider sur le plan managérial. Une anecdote à raconter à ce sujet d’ailleurs ? 

Sans rentrer dans une anecdote spécifique, j’ai eu quelques expériences très enrichissantes au cours des dernières années.

A deux reprises, j’ai accueilli dans mon équipe des subordonnés en situation de fragilité assez avancée. Des personnes brillantes qui faisaient face à des difficultés personnelles et professionnelles. On m’avait averti de la situation mais je croyais en leur potentiel donc j’ai décidé d’avancer avec eux.

Cela ne s’est pas fait du jour au lendemain mais le fait d’établir un cadre clair, pas mal d’échanges et laisser beaucoup de liberté d’action a bien fonctionné. Petit à petit, ils ont repris confiance jusqu’à retrouver un grand esprit d’initiative. Ils ont pu reprendre leur place dans l’entreprise et s’épanouir avec l’équipe. 

Il faut accepter que cela prenne du temps. C’est passé par beaucoup d’écoute, et quelques bières au comptoir. Il a même parfois fallu mettre des limites. Non par manque d’empathie mais c’est parfois rendre service que maintenir les équilibres autonomie/contrôle, et confidence/management. Certains moments se prêtent à se confier et d’autres à l’exécution. C’est en surmontant ces défis qu’on se reforge une estime de soi.

Ça a dû être des moments humains assez riches. Si on prend de la hauteur et qu’on regarde à l’échelle de l’entreprise, comment fais-tu pour embarquer toute l’entreprise avec toi dans tes projets ?

Je n’aurai rien de très précis à te raconter sur ce point. J’ai la chance de travailler dans une entreprise où toute l’équipe est appliquée et de bonne volonté sur les questions cyber; normal, c’est notre métier à tous. Cela vaut pour mes sujets (sécurité, IT, cyber) mais aussi pour tous les départements de manière générale. Je fais donc rarement face à des blocages, que ce soit par désintérêt ou par mauvaise volonté. 

Très clair. Et comment vois-tu évoluer le rôle de CISO / Directeur cybersécurité dans les années à venir ?

La sécurité de l'information est en évolution constante et rapide, pronostiquer l'avenir de ces professions est donc très incertain. 

Dans l'ensemble, je pense que les défis de court et moyen termes sont la place du CISO, qui tend à endosser un rôle de plus en plus stratégique au sein des directions et à collaborer plus étroitement avec les autres métiers/équipes/divisions. La gestion des risques évolue de manière plus holistique, là où les précédentes décennies cloisonnaient davantage les différents problèmes. La complexité réglementaire va croissant.

Et bien sûr, en cyber comme ailleurs, gérer la révolution technologique de l'intelligence artificielle sous toutes ses formes demeure un des plus grands défis, ou en tous cas un des plus transversaux. 

Au-delà de la transformation générale des modes de travail, commun à tous les business, un élément que j'imagine crucial est l'asymétrie entre le développement des IA "défensives", qui jusqu'à présent ont plutôt eu tendance à améliorer l'existant, et celui des IA "offensives", lesquelles semblent davantage orientées à explorer l'inconnu et rendre le cybercrime plus accessible. 

Quels conseils te donnerais-tu à toi-même il y a 10 ans ? Interdiction de parler de Bitcoin.

Cela rejoint ce que je disais à l’instant mais j’investirais plus de temps dans ma progression technique, la connaissance et la maîtrise des systèmes fondamentaux et l’exploration des technologies innovantes. Je vois tous les jours comment cette maîtrise nourrit l’inventivité au sein de notre métier.

Il y a toute une mouvance promouvant la nomination de CISOs sans bagage informatique. C’est sain dans une certaine mesure, si cela pousse le rôle stratégique et business de ce métier ; mais il est important de ne pas laisser de dichotomie s’installer entre la vision portée par le management et la technicité du terrain.

Pour tout le reste, si c’était à refaire, je continuerais d’écouter les conseils de ma femme.