Je suis né en 1988.
J’ai eu mon premier ordinateur à l’âge de 11 ans. À l’époque, je ne parlais ni de cybersécurité, ni de systèmes d’information, ni de gouvernance. Je jouais.

Comme beaucoup de jeunes de ma génération, mes premiers terrains d’exploration numériques ont été les jeux vidéo. Des jeux en ligne, compétitifs, parfois brutaux, toujours exigeants. Counter-Strike, Warcraft, Diablo. Des univers différents, mais un point commun : la performance ne venait pas uniquement du talent, mais de la compréhension des mécanismes sous-jacents.

Très vite, jouer ne m’a plus suffi.

Je voulais comprendre pourquoi certaines choses fonctionnaient, pourquoi d’autres échouaient, pourquoi certains joueurs semblaient toujours avoir un coup d’avance. Cette curiosité m’a naturellement conduit à explorer ce qui se passait “sous le capot”. Scripts, macros, bots rudimentaires. Non pas par volonté de tricher pour tricher, mais par goût du défi intellectuel.

Contourner un système anti-triche n’était pas, dans mon esprit d’adolescent, une transgression morale. C’était une énigme. Un système avait été conçu pour empêcher quelque chose ; je voulais comprendre comment il fonctionnait, où étaient ses limites, et jusqu’où il résistait. Avec le recul, je réalise que c’était là mon premier contact avec la logique cyber, bien avant que le mot ne fasse partie de mon vocabulaire.

Ce que ces expériences m’ont appris dépasse largement le cadre du jeu. Elles m’ont appris que tout système, aussi robuste soit-il en apparence, repose sur des hypothèses. Et que ces hypothèses, lorsqu’elles sont mal comprises ou mal protégées, deviennent des points de fragilité. Elles m’ont aussi appris que la sécurité absolue n’existe pas, seulement des équilibres temporaires entre contrôle, performance et contournement.

Il y avait également une dimension presque artisanale dans ces explorations. Rien d’industriel, rien d’automatisé à grande échelle. On testait, on échouait, on recommençait. On apprenait par itération. Cette approche empirique, je la retrouve aujourd’hui dans des contextes bien plus sérieux, qu’il s’agisse de sécurité, de résilience ou de modernisation des systèmes d’information.

Avec le temps, ces pratiques ont évidemment laissé place à autre chose. Les études, le monde professionnel, la responsabilité. Ce qui était un jeu est devenu une discipline. Ce qui était un défi personnel est devenu une question de confiance, de gouvernance et d’impact collectif. Mais le moteur est resté le même : comprendre les systèmes pour mieux les maîtriser.

Lorsque je regarde mon parcours aujourd’hui, je ne vois pas une rupture entre ces premières explorations et mes responsabilités actuelles de DSI et de RSSI. Je vois une continuité. Une curiosité technique devenue rigueur professionnelle. Un goût pour le contournement devenu une obsession pour l’anticipation. Une fascination pour les failles devenue une responsabilité vis-à-vis des organisations et des personnes qui leur font confiance.

Ce regard explique sans doute pourquoi je me méfie des discours simplistes sur la cybersécurité. Ceux qui promettent des solutions définitives, des outils miracles ou des protections absolues. Mon expérience m’a appris très tôt qu’un système n’est jamais figé. Il évolue, il est observé, testé, parfois contourné. La vraie question n’est pas de savoir si un système peut être attaqué, mais s’il est compris, gouverné et capable de réagir.

Écrire cet article n’est pas un exercice nostalgique. C’est une manière d’assumer que nos trajectoires professionnelles ne naissent jamais ex nihilo. Elles sont faites de détours, de curiosités parfois maladroites, d’expérimentations qui, sur le moment, semblaient anodines. Avec le recul, elles prennent un sens.

Si je partage ce regard aujourd’hui, c’est parce que je suis convaincu que la cybersécurité ne se résume pas à des normes ou à des outils. Elle commence souvent par une question simple, presque enfantine : comment ça marche ?
Et surtout : que se passe-t-il si quelqu’un essaie de faire autrement que ce qui était prévu ?