Je n'arrive plus à écouter les podcasts de CISO
Hier j'en ai lancé un, je l'ai coupé au bout de huit minutes. Je connaissais déjà tout. Et le pire, c'est que je sais exactement pourquoi c'est comme ça, parce que je suis souvent de l'autre côté du micro, étant moi aussi CISO.

Hier j'en ai lancé un, je l'ai coupé au bout de huit minutes. Je connaissais déjà tout. Et le pire, c'est que je sais exactement pourquoi c'est comme ça, parce que je suis souvent de l'autre côté du micro.
Je n'arrive plus à les écouter. Hier, un podcast de CISO m'est passé sous les yeux, j'ai lancé, et au bout de quelques minutes j'ai coupé. Pas parce que la personne était mauvaise, je n'en sais rien d'ailleurs. Parce que je connaissais déjà chaque réponse avant qu'elle arrive. La sécurité qui accompagne le business sans le freiner, l'intégration au plus tôt, le secure by default, l'IA qui assiste sans remplacer avec l'humain quelque part dans la boucle, et l'inévitable point d'inflexion où nous serions tous. Dix-huit ans que je fais ce métier, et j'entends ce texte mot pour mot depuis dix-huit ans.
Le truc, c'est que je sais d'où ça vient. Je suis de l'autre côté du micro plus souvent qu'à mon tour, on me booke sur ces formats. Et il y a toujours, avant d'enregistrer, ce moment où on vous envoie les questions à l'avance et où on vous glisse que ce sera léger, pédagogique, qu'il faut rester accessible. En clair, ne dites rien qui puisse gêner le sponsor dont le logo s'affichera à la fin. Personne n'est bête dans cette histoire. Tout le monde a peur, et tout le monde a de bonnes raisons d'avoir peur.
Parce que le jour où un CISO dit une chose précise et vraie, une faille qu'il a choisi de laisser ouverte faute de moyens, un budget qu'on lui a refusé, une boîte qu'il a quittée parce qu'on lui demandait de signer ce qu'il ne voulait pas signer, il donne des munitions. À un avocat, à un conseil d'administration, à un futur recruteur qui tapera son nom dans Google. La phrase creuse, au moins, ne se retourne jamais contre lui. Je comprends le calcul, et je le trouve désespérant.
Moi je donne des munitions à chaque fois, et je le fais exprès. Il m'arrive de répondre à côté de la question facile, de dire devant une salle que tel référentiel que tout le monde encense ne sert à rien dans le contexte dont on parle, de raconter une décision que je n'assume qu'à moitié. Et à chaque fois c'est la même mécanique, la salle qui refroidit, le modérateur qui enchaîne un peu trop vite, et trois jours plus tard le commentaire qui m'explique que je suis trop négatif, pas assez constructif. Je ne suis pas réinvité partout, et je m'en passe.
Seulement, autant être honnête sur ce que ça me coûte. Je suis CISO, donc je porte ce risque comme les autres, le siège, le conseil, le courrier d'avocat qui finit parfois par arriver. Mais je ne suis pas que ça. Je forme, j'audite, j'écris, je conseille ailleurs. Quand je dis une chose qui dérange, je ne mise pas tout sur une seule case, et c'est cette dispersion qui m'achète une part de ma liberté de ton, pas un quelconque courage. Le CISO dont c'est l'unique poste, l'unique employeur, l'unique revenu, lui, engage bien plus sur une seule phrase. Je ne vais pas faire comme si nous étions logés à la même enseigne.
Parce que le vrai problème n'est pas individuel. Ce n'est pas une histoire de courageux d'un côté et de lâches de l'autre. Les gens les mieux placés pour dire des choses utiles, ceux qui sont dans le siège, en pleine décision, avec tout le contexte, sont précisément ceux à qui l'écosystème a appris à se taire. Le juridique, le marketing, le sponsor, la marque employeur, la prudence de carrière, tout cela filtre la parole jusqu'à ce qu'elle n'apprenne plus rien à personne. Au bout, il n'y a pas une bande de médiocres bavards face à une élite silencieuse. Il y a une discipline entière qui a rendu coûteux le fait de parler vrai, et qui s'étonne ensuite que ses conférences endorment tout le monde.
Alors non, je ne ferai jamais un bon invité de podcast. Pas par bravoure, je viens d'expliquer que ma liberté de ton tient surtout à ce que je ne mise pas tout sur un seul siège. Simplement, je n'ai aucune formule rassurante à caser avant le générique, et je me plante trop souvent en public pour faire illusion. L'épisode d'hier, je l'ai coupé au bout de huit minutes. C'est sans doute la chose la plus honnête que j'aie faite de la journée.
Questions fréquentes
Pourquoi l'auteur n'arrive-t-il plus à écouter les podcasts de CISO ?
Parce qu'il connaît déjà chaque réponse avant qu'elle arrive : la sécurité qui accompagne le business, le secure by default, l'IA qui assiste sans remplacer. Après dix-huit ans de métier, il entend ce même texte mot pour mot.
Pourquoi le discours des CISO est-il aussi lisse ?
Avant d'enregistrer, on envoie les questions à l'avance et on demande de rester léger et accessible, c'est-à-dire de ne rien dire qui puisse gêner le sponsor. Tout le monde a peur, et tout le monde a de bonnes raisons d'avoir peur.
Que risque un CISO qui parle franchement ?
Une parole précise et vraie peut se retourner contre lui auprès d'un avocat, d'un conseil d'administration ou d'un recruteur. La phrase creuse, elle, ne se retourne jamais contre celui qui la prononce.
Le problème vient-il d'un manque de courage individuel ?
Non. L'auteur estime que ce n'est pas une histoire de courageux et de lâches, mais une discipline entière qui a rendu coûteux le fait de parler vrai, puis s'étonne que ses conférences endorment tout le monde.
Pourquoi l'auteur s'autorise-t-il un ton plus libre ?
Parce qu'il ne dépend pas d'un seul siège : il forme, audite, écrit et conseille ailleurs. Cette dispersion lui achète une part de liberté de ton, ce qu'il distingue clairement du courage.

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
