Fred Raynal, CEO @ Quarkslab : Le rôle de RSSI me semble stratégique au sein des Organisations et Entreprises.
novembre 2024 par Valentin Jangwa, Global Security Mag
Dans un contexte de réflexions sur la Cybersécurité et les RSSI, Fred Raynal, CEO de Quarkslab, Fondateur de MISC, le Magazine de la Cybersécurité offensive et défensive, et de l’évènement SSTIC, a accordé un entretien à Global Security Mag.
Global Security Mag : Bonjour Fred, Global Security Mag est ravi d’avoir ce temps avec vous. Pouvez-vous s’il vous plaît, nous expliquer comment vous est venue l’idée de créer à la fois un magazine papier (MISC) et un évènement Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC) ?
Fred Raynal : Merci à vous. Alors comment m’est venue l’idée ? En toute honnêteté l’idée n’est pas complètement de moi. Pendant ma thèse j’ai commencé à écrire des articles dans Linux Magazine, autour des problématiques réseau, puis j’ai écrit une série d’articles sur les exploitations de failles informatiques, donc tout ce qui est recherche de vulnérabilités, etc. Cela n’existait pas à l’époque, cette série d’articles a bien fonctionné, et cela a donné l’idée aux Éditions Diamond de faire un hors-série dédié à la sécurité (à l’époque on ne parlait pas de Cybersécurité). J’ai pensé que c’était une très bonne idée, et j’imaginais de nombreux thèmes d ’articles que je voulais mettre ensemble. Nous avons réalisé ce hors-série et il a tellement bien fonctionné, qu’il a dû faire 50% de ventes de plus que les hors-séries habituels et il est resté numéro un des ventes des hors-séries pendant longtemps (un record). L’éditeur s’est dit que si le hors-série fonctionnait aussi bien, c’est qu’il y avait peut-être un besoin à combler avec un magazine plus régulier. Il me l’a proposé. J’étais déjà en train de rédiger ma thèse, ce qui demandait beaucoup de temps. Comme l’idée m’a plu, nous nous sommes mis d’accord pour commencer après ma thèse. Nous avons mis en place un magazine bimestriel, et une des particularités, c’est que dans MISC, ce sont des experts qui écrivent pour des experts, raison pour laquelle cela fonctionne toujours bien à ce jour.
Selon moi, un des secrets cette réussite, c’est que dans MISC, il s’agit de personnes qui ont envie de partager leurs connaissances et de donner des choses qui soient utilisables par d ’autres.
Nous avons ensuite amélioré l’organisation du magazine, avec des rubriques encore plus lisibles, et aussi la prise en compte des évolutions de la Sécurité Informatique vers la Sécurité de l’Information, vers le Cyber. Nous nous sommes aussi adaptés, en mettant de temps en temps, des articles qui étaient toujours pour des experts, mais qui n’étaient pas techniques (des articles organisationnels, des articles juridiques, des articles sur la guerre de l’information). Mais le cœur de la cible restait quand-même la technique, et je faisais attention à ce que le magazine reste technique, en ne mettant pas plus d’un seul article non technique dans le magazine à chaque sortie. Cela représentait une espèce d’ouverture vers autre chose, car il faut avouer qu’à l’époque (2002), beaucoup de personnes ne comprenaient pas vraiment l’impact que la Sécurité Informatique pouvait avoir, alors que nous étions convaincus qu’avec le développement d’Internet, des ordinateurs, etc., c’était un domaine assez fondamental. Alors, afin de soutenir le magazine, nous avons décidé de créer une Conférence. Cependant, nous avons maintenu les deux organes complètement indépendants. Le seul point commun, c’était que j’étais Rédacteur en chef de l’un et Président de l’autre, et puis quelques personnes qui m’aidaient dans MISC participaient aussi à l’organisation de l’évènement, en fait on s’aidait tous mutuellement. Et quand on a eu cette idée de faire la Conférence, on s’est demandé qui est-ce qu’on allait nommer Président, et là ils se sont tous tournés vers moi et m’ont dit « tu es déjà rédacteur en chef de MISC, donc tu as un rôle public, donc ça va être toi ». Je n’ai pas vraiment eu le choix en fait. Je ne regrette absolument pas. Ça se défendait. Nous étions plutôt des gens qui aimaient rester dans l’ombre en général. Mais là, il y avait un vrai argument. J’avais déjà « une vie publique ». C’est ainsi que nous avons créé SSTIC (Symposium sur la Sécurité des Technologies de l’Information et des Communications), et cela a très bien fonctionné. Avec SSTIC, il y avait la même volonté de partager des connaissances en français parce qu’il n’y avait que des conférences en anglais sur ce sujet, et c’était le même constat pour les articles. Une autre ambition, c’était que dans mon groupe d’ami.e.s, à l’époque, il y avait des gens qui étaient comme moi du monde académique, d’autres qui travaillaient pour des Services de l’État, d’autres encore qui étaient dans le privé, et ces trois univers-là ne discutaient absolument pas sur ces questions de la Sécurité des Technologies de l’Information et des Communications, alors que les problématiques étaient communes. Nous avons donc décidé qu’il fallait que cette conférence puisse aussi rassembler ces différents publics, d’où le côté francophone et le côté rassemblement. Maintenant, il y a des évolutions avec quelques conférences en anglais de temps en temps, mais la nécessité du français reste l’ADN du magazine et de la conférence. Voilà donc en ce qui concerne les origines et les motivations derrière ces deux éléments.
Je ne suis absolument plus impliqué aujourd’hui dans la direction ni du Magazine MISC, ni de l’évènement SSTIC, même si je peux, à la demande, apporter une aide ponctuelle par exemple en rédigeant un article ou en participant. Je pars du principe que quand on passe le relais à quelqu’un, on le passe vraiment. J’ai « formé » mon successeur à MISC en tant que Rédacteur en Chef. Cela a été Cédric Foll et maintenant, c’est Guillaume Valadon qui auparavant, a travaillé pendant trois ans avec moi chez Quarkslab. Il a travaillé avec Cédric pour bien comprendre comment cela fonctionnait, il a un parfait état d’esprit pour cela. Il y a donc une continuité et en même temps, chacun a ajouté sa « touche personnelle » et c’est bien ainsi. Cependant, je serai toujours là en soutien si nécessaire et si je suis sollicité, même si ma dernière participation au SSTIC date d’avant le COVID. En effet, je dois consacrer du temps à Quarkslab, et m’occuper de ma petite fille aussi. Eh oui, je ne suis plus célibataire sans enfant.
Global Security Mag : Quels conseils pourriez-vous donner à une personne qui voudrait tenter la même aventure, à la fois publier un magazine périodique et organiser un évènement de Cybersécurité ?
Fred Raynal : J’ai deux conseils qui me viennent immédiatement à l’esprit, le premier, que j’appellerais le focus et le deuxième, que je l’appellerais la diversification. J’aime bien prendre des concepts opposés.
Je vais commencer par la diversification, je pense qu’aujourd’hui, avoir un média en Presse papier n’est pas suffisant, et qu’il est nécessaire d’avoir un support complémentaire à côté.
Il serait justement intéressant d’analyser cela avec quelques projets que j’ai en tête par rapport à MISC. Ils ont réussi à s’associer à beaucoup d’évènements, et MISC est distribué régulièrement dans ces évènements qui sont dans le cœur de cible, c’est-à-dire spécialisés et orientés technique, etc.
Il y aussi eu une transformation numérique. C’est-à-dire que le magazine est toujours disponible en papier, mais il y a également des abonnements pour le format numérique. Et ce qui est génial, c’est que quand on souscrit à l’abonnement numérique, on a accès à la base de données de tous les articles depuis le premier numéro. Évidemment, il y en a qui sont obsolètes, mais il y a une base de connaissances qui est incroyable. Et aujourd’hui, dans la Presse grand public, d’ailleurs, on essaye de faire la même chose, en offrant différents canaux avec des archives, un historique, éventuellement de la vidéo, ou des podcasts. Il est effectivement devenu nécessaire d’avoir une diversification dans le format de l’offre. Donc ça, c’est pour la forme, et elle doit être diversifiée. En revanche, je pense que le fond, lui doit être focus. Cela est hyper difficile à réaliser, et je le vois en business chez Quarkslab. Nous avons tendance à penser que plus on « ratisse large », plus on a de chances de réussir. En fait, c’est l’inverse. Paradoxalement, il faut être hyper « laser », hyper précis. Et ça, quand on a lancé MISC (Multi-System & Internet Security Cookbook), on ne l’avait pas du tout calculé. Quand on a lancé SSTIC, non plus. C’est un heureux concours de circonstances. C’est-à-dire que nous avons vraiment créé un magazine, je le disais en amont, écrit par des experts pour des experts, mais nous ne l’avons pas calculé, et nous l’avons fait juste ainsi en tant qu’experts. Et il se trouve que cela a résonné auprès de suffisamment de gens pour pouvoir encore continuer à exister à ce jour. Mais je le vois chez Quarkslab, il y a des offres que nous lançons en voulant toucher 15 000 cibles, et cela ne fonctionne pas, contrairement à quand nous sommes hyper précis. Donc selon moi, la clé est dans ces deux éléments, avoir un positionnement qui est très précis, et savoir exactement à qui on veut parler et pourquoi. Pour MISC et SSTIC, nous voulions parler aux expert.e.s en leur permettant de devenir encore plus expert.e.s. Il y avait aussi des gens qui n’étaient pas encore expert.e.s et qui voulaient le devenir. C’était vraiment cela la philosophie de SSTIC et de MISC.
Global Security Mag : Quels seraient vos messages clés pour nos lectrices et lecteurs qui sont en général des RSSI, des DSI, des CISOs, des Responsables de la Sécurité de l’Information etc., par rapport à leurs sources d’information et de veille ?
Fred Raynal : Il me semble que le ou la RSSI, doit être une personne curieuse et pas nécessairement être expert.e dans tous les domaines. Le ou la RSSI doit organiser sa veille, avec des sources diversifiées. En ce qui me concerne, je regarde encore de temps en temps X_Twitter, et beaucoup LinkedIn. Je regarde aussi MISC. Donc je ne recherche pas les mêmes infos aux mêmes endroits et je regarde d’autres choses. J’aime bien Harvard Business Review par exemple. J’ai une liste diversifiée de sources. J’écoute des podcasts, par exemple sur la Physique nucléaire. Plusieurs canaux d’acquisition de connaissances, sont nécessaires. Je ne suis pas attaché à un canal, mais à la valeur qui m’est apportée sans accorder une importance particulière au fait que cela soit du numérique ou du papier. Pour moi, Les gens lisent là où ils trouvent de la valeur.
L’autre message, c’est d’inciter les RSSI à se former régulièrement, à la fois pour des compétences techniques, des compétences de leadership ou managériales, et des compétences de business ou budgétaires pour encore mieux interagir avec le COMEX (Comité Exécutif) de leurs Organisations ou Entreprises.
Le rôle de RSSI (Responsable de la Sécurité des Systèmes d’Information) me semble stratégique au sein des Organisations et Entreprises.