J’ai quitté le monde de la cybersécurité
J’ai quitté le monde de la cybersécurité.
Pas parce que je n’y croyais plus.
Mais parce qu’il avait changé de nature.
J’ai créé ma première société de sécurité informatique, Digital Network, en 1999.
À l’époque, on ne parlait pas encore de « cybersécurité » mais de sécurité informatique, d’infosec, puis un peu plus tard, de sécurité de l’information.
Cette sécurité, elle se mesurait à une seule chose : la réalité.
Pas aux normes. Pas aux cases cochées dans un audit.
Mais à la capacité du système d’information et d’une équipe sécurité à tenir, résister, détecter, compartimenter et réagir.
Quand on faisait bien son boulot, soit il n’y avait ni intrusion ni fuite, soit c’était détecté rapidement, contenu et fixé.
Quand un incident arrivait, on analysait et on trouvait comment et pourquoi. On corrigeait. Tout était limpide.
Et surtout, c’était un terrain d’innovation permanente. On n’était ni enfermés dans des carcans, ni prisonniers d’un manuel ISO, pas plus que bloqués par des « bonnes pratiques » imposées par une administration.
On expérimentait, on itérait, on innovait. On inventait des méthodes, des outils, des protocoles.
Et parfois, oui, on se plantait. Mais on avançait. Chacun sur sa voie, parfois seul, parfois ensemble.
Aujourd’hui, ce monde s’est figé.
Il s’est structuré autour de l’apparence.
Des labels, des référentiels, des matrices de conformité et des certifications. Beaucoup de certifications…
Mais quid de l’efficacité de tout ça ? Parfois, souvent, nulle.
Le nombre de leaks massifs se multiplie, souvent à cause d’erreurs humaines triviales qui avaient pourtant disparu il y a longtemps.
Mais tant que la norme X.Y.Z est respectée, tout va bien.
Et à l’inverse, on peut avoir un système d’information solide, éprouvé, hermétique.
Mais s’il n’est pas « conforme », s’il ne coche pas toutes les cases de la norme, on sera pointé du doigt.
Je viens d’une époque où la sécurité était un art appliqué. Pas une checklist.
Et surtout pas un dogme.
Le jour où les référentiels ont commencé à dicter non pas ce qu’il fallait atteindre, mais comment on devait y arriver, j’ai compris que cet univers n’était plus le mien.
Dans la sécurité comme ailleurs, les dogmes tuent l’innovation.
Et moi, je refuse de travailler dans une cage.
Alors oui, je continue de m’y intéresser. Par intérêt, par passion, par habitude, par instinct.
Mais à ma manière.
Bon week-end!
—
Christophe Casalegno
Vous pouvez me suivre sur : Telegram | Facebook | LinkedIn | X | YouTube | Twitch
Hello DD47, je te rejoins sur plusieurs points, en particulier sur le fait que le problème vient souvent de l’usage qu’on fait des normes, plus que des normes elles-mêmes. D’ailleurs, je ne l’ai pas publié ici encore, mais j’ai fait un post complémentaire sur les réseaux à ce sujet :
———————————-
« J’ai quitté le monde de la cybersécurité » : quelques précisions !Non, je n’ai aucun regret que ce métier ne soit plus de l’artisanat, et qu’il se soit industrialisé. C’est même une très bonne chose, je pense même y avoir œuvré.
Quant aux normes, méthodes et procédures, elles ne sont pas le problème.
Ce sont d’excellents outils. J’en ai utilisé, j’en ai conçu, et j’en ai fait appliquer pendant près de deux décennies.
Le problème, c’est quand ces outils prennent la place de ce qu’ils sont censés servir : c’est-à-dire lorsque la procédure devient l’objectif, au lieu de rester un moyen pour l’atteindre.
Les procédures et les cadres sont utiles quand ils aident à faire mieux, plus vite, plus sûr.
Mais, ils deviennent toxiques lorsqu’ils remplacent le discernement, rigidifient, et finissent par empêcher de penser.
Les procédures ont du sens quand elles sont simples et nuancées, utilisées comme des outils, avec une vraie lecture du contexte.
Quand la procédure ou la certification devient le but en soi, quand on cherche à être « conforme » plutôt qu’efficace, alors on perd ce qui faisait l’essence même du métier : comprendre, décider, adapter.
—————————————–Mais sur un point, je serai un peu moins optimiste : tu dis que les référentiels ne dictent pas le comment faire, seulement le quoi faire. Dans les textes, oui. Mais dans la réalité opérationnelle, dans l’interprétation qu’en font les auditeurs ou les responsables conformité, on voit très vite apparaître une standardisation du comment, au point que tout ce qui sort un peu du cadre devient suspect, voire non conforme.
Le problème, ce n’est pas uniquement l’intention du référentiel. C’est le fait qu’il produit mécaniquement des effets de rigidification dans la chaîne de décision. Surtout dans des organisations où la conformité est vue comme une fin.
Et comme tu le dis très justement : quand la certification devient une condition d’accès au business, elle prend le dessus sur la sécurité réelle.
À partir de là, le « quoi faire » est souvent relégué au second plan, et l’art appliqué de la sécurité devient un exercice de gestion documentaire.
Bref, oui, vaste sujet, et il me semble qu’au final, on est d’accord sur le fond : ce n’est pas la présence d’un cadre le problème, c’est quand il remplace la pensée.
Hello Christophe,
Merci pour cet échange constructif.
Tu as raison quand tu parles de l’interprétation que peuvent faire les auditeurs ou les responsables conformité, des textes. Le problème selon moi, c’est que la plupart de ces personnes ne connaissent que la cyber organisationnelle et n’ont jamais baigné dans la technique. Elles s’accrochent à des croyances limitantes qu’elles acquièrent sans pratique.
Pour moi qui vient du monde de l’infrastructure système et réseau et qui ai basculé dans la cyber organisationnelle, dans les audits et accompagnements de conformité, j’encourage bien au contraire a l’innovation pour répondre à une exigence ou une mesure, et sans aucun jugement limitant ou rigide. Lors de mes audits, j’attends simplement une démonstration de part de l’audité, et qu’importe le comment et de quelle manière.
Encore merci et très bonne soirée
Bonjour Christophe,
Le problème, ce n’est pas les normes ou les procédures, mais ce qui en est fait.
Les référentiels normatifs ne dictent pas le « comment faire » mais le « quoi faire ». Et pour répondre au « quoi faire », les entreprises sont libres de répondre et d’adopter les outils, politiques, procédures et outillage logiciel en fonction de leur contexte avec le bon sens au service du business.
Aujourd’hui malheureusement, certaines entreprises visent plus la médaille que l’efficacité et l’amélioration continue que demande les référentiels. C’est un peu ce qui pousse au durcissement et sanctions.
La certification étant pour elles, un prérequis pour leur business, les risques ne sont pas pris correctement en compte et la cyber n’est plus un art appliqué. Elle repose principalement sur un corpus documentaire souvent inutile et sans pragmatisme.
Bref… Un vaste sujet.
3 Commentaires