Aujourd’hui, certaines grandes écoles se félicitent d’intégrer un module cybersécurité dans leurs cursus de management. EM Lyon, HEC, l’ESCP, toutes ont compris que la sécurité numérique est désormais un sujet stratégique. Tant mieux.
Mais on ne va pas se mentir : on reste à la surface. On saupoudre un peu de “culture du risque”, on organise deux simulations de crise, et on pense qu’on a formé des cadres “cyber-aware”.
Ce n’est pas suffisant. Pas à la hauteur des enjeux.
La cybersécurité ne se résume pas à un cours optionnel
Former à la cybersécurité, ce n’est pas montrer quelques slides sur les ransomwares ou faire une étude de cas sur un faux piratage. Ce n’est pas non plus cocher une case dans une grille de conformité ISO.
Former à la cybersécurité, c’est changer le regard qu’on porte sur le monde numérique.
C’est former à voir les failles, dans les systèmes, dans les équipes, dans les comportements. C’est comprendre qu’un bug informatique peut déclencher une crise sociale, qu’un fichier Excel peut ruiner une réputation, qu’un mot de passe mal protégé peut faire tomber une entreprise.
Et surtout : c’est apprendre à penser en dehors des cadres.
Les hackers sont des artistes
Je le sais parce que j’en suis un. Parce que j’ai grandi dans cette culture où on apprend par soi-même, où on démonte les systèmes pour comprendre comment ils fonctionnent. Parce que j’ai côtoyé des hackers brillants, curieux, marginaux parfois, mais portés par une soif de connaissance qu’aucun cursus ne leur offrait.
Le hacker n’est pas un voleur. C’est un artisan du doute, un architecte de la faille. Quelqu’un qui cherche, teste, se trompe, recommence. Quelqu’un qui voit ce que les autres ne voient pas. Un esprit critique avant tout.
Et c’est exactement ce dont on a besoin dans les comités de direction.
Dirigeants de demain
Ils ne sont pas techniciens, mais des stratèges cyber.
On n’a pas besoin que tous les dirigeants soient des experts techniques. Mais ils doivent comprendre les mécaniques fondamentales du numérique : architecture, dépendances, exposition, chaîne de valeur. Il ne s’agit pas de savoir coder. Il s’agit de savoir poser les bonnes questions à son RSSI.
Il s’agit aussi de sortir de la naïveté technocratique : non, la cybersécurité ne se résume pas à “acheter une solution”. Non, le cloud n’est pas par défaut sécurisé. Non, la conformité RGPD ne protège pas des cyberattaques.
La cybersécurité, ce n’est pas un produit. C’est une culture.
Ma proposition : un vrai changement de paradigme
Si on veut des dirigeants compétents face au cyber-risque, il faut aller plus loin que les écoles de commerce le font aujourd’hui.
Voici ce que je propose :
Faire entrer des voix issues du terrain dans les amphis : chercheurs en vulnérabilité, experts indépendants, anciens hackers, lanceurs d’alerte. Ceux qu’on n’invite pas assez, parce qu’ils ne rentrent pas dans le moule corporate.
Créer un programme national de compagnonnage cyber, où les futurs décideurs passent du temps aux côtés de professionnels de la cybersécurité. Pas dans une salle de cours : sur le terrain, dans les SOC, les CSIRT, les cellules de crise.
Intégrer la pensée hacker dans les formations de management. Pas pour former des pirates, mais pour initier à la logique de contournement, à l’analyse de vulnérabilités, à la créativité numérique.
Croiser les disciplines : droit, sociologie, philosophie, design, cybersécurité. Parce que les attaques exploitent des failles humaines, sociales, politiques. Il faut une pensée systémique.
Penser la cybersécurité comme une pensée stratégique
Ce que je défends ici, ce n’est pas un gadget pédagogique. C’est une urgence stratégique.
Les crises numériques ne sont plus des exceptions : elles sont le bruit de fond du monde moderne. On ne peut plus confier la sécurité à une direction IT déconnectée des enjeux business. La cybersécurité est un sujet de gouvernance. Elle engage la responsabilité, l’image, les relations avec les clients, les partenaires, les États.
Il faut des dirigeants lucides, critiques, agiles, capables de comprendre l’invisible. Capables de naviguer dans l’incertitude sans attendre un audit pour réagir. Et capables de composer avec des experts, pas de les piloter à distance.
Il est temps de hacker les écoles
Former à la cybersécurité, ce n’est pas faire un cours. C’est réformer la manière dont on forme les élites. C’est casser les silos entre technique et stratégie. C’est valoriser les profils atypiques, les expériences non linéaires, les visions alternatives.
C’est dire aux jeunes générations qu’on peut comprendre le numérique autrement. Qu’on peut en faire un outil de souveraineté, de résilience, de liberté.
Et que pour cela, on a besoin de hacker l’enseignement lui-même.
Découvrez mes passages dans la presse et les médias
