Quand je raconte mon parcours à mes stagiaires, je vois souvent des regards un peu perplexes.
RSSI dans une administration d'État.
RSSI dans un opérateur télécom.
Consultant en intégration de systèmes sécurisés.
Formateur en communication et en protection de l'enfance.
Un jour, une stagiaire a posé la vraie question :
« Mais c'est quoi le rapport ? »
La réponse est simple.
Chaque rôle voit des choses que les autres ne voient pas.
Chaque rôle réduit un angle mort que les autres ignorent.
Et quand on a occupé les quatre, on finit par voir les systèmes différemment.
Pas en silos.
Mais comme un ensemble.
Voici ce que chaque rôle m'a vraiment appris.
Pas le CV. La réalité de terrain.
L'intégrateur chez CS/Thales : apprendre à voir les systèmes
Je pensais que la sécurité était un problème technique. J'ai découvert que c'était d'abord un problème de conception.
J'ai commencé dans le conseil et l'intégration. Chez CS/Thales, on conçoit des plateformes sécurisées pour des clients exigeants — défense, industrie critique, gouvernement. La sécurité n'est pas un sujet abstrait : elle se matérialise dans des architectures réelles, des choix techniques qui ont des conséquences concrètes.
Ce que j'ai appris : la sécurité se construit, elle ne se plaque pas. Un système conçu sans sécurité dès le départ coûte dix fois plus cher à sécuriser après. Ce principe — le Security by Design — je l'ai vécu avant de le lire dans les normes.
L'autre apprentissage de cette période : la relation client. L'intégrateur doit traduire des exigences de sécurité en langage technique pour les équipes de réalisation, et en langage métier pour les décideurs. Ce double registre, je l'utilise encore dans chaque formation.
Le RSSI au Ministère des Finances : apprendre les contraintes du secteur public
Je pensais que la sécurité était un problème de solutions. J'ai découvert que c'était un problème de contexte — et que le contexte change absolument tout.
J'ai commencé ma carrière de RSSI à la DGDDI — la Direction Générale des Douanes et Droits Indirects. Un monde encore différent.
Le secteur public a ses propres contraintes : référentiels ANSSI, LPM, RGS, processus d'homologation, tutelles multiples. La sécurité se fait dans un cadre réglementaire très structuré, avec des cycles de décision plus longs et des contraintes budgétaires spécifiques. Mais aussi avec une exigence de service public qui donne un sens particulier au travail.
Ce que j'ai appris : le contexte change tout. Les mêmes mesures de sécurité ne se déploient pas de la même façon dans un opérateur privé et dans une administration. Les contraintes réglementaires, la culture organisationnelle, le rapport au risque — tout est différent. Cette leçon d'adaptation, je l'applique systématiquement : avant de proposer une formation, je comprends le contexte.
Le RSSI chez SFR : apprendre à opérer à l'échelle
Je pensais que la sécurité était un problème d'outils. J'ai découvert que c'était un problème d'organisation, de priorités, et de confiance.
Treize ans. C'est le temps que j'ai passé chez SFR à piloter des projets sécurité sur un opérateur télécom de plusieurs milliers de collaborateurs. Un monde radicalement différent du conseil.
En tant que RSSI dans un grand groupe, vous ne faites pas la sécurité — vous la faites faire. Vous convainquez, vous arbitrez, vous expliquez. Vous gérez des budgets, des priorités contradictoires, des parties prenantes qui ont chacune leur agenda. La technique est une condition nécessaire mais pas suffisante.
Ce que j'ai appris : la sécurité est d'abord un problème humain et organisationnel. Les failles techniques se corrigent avec des patches. Les failles humaines se corrigent avec de la formation, de la communication, de la culture. C'est pour ça que j'ai commencé à former les équipes internes — RH, marketing, support client — à la cybersécurité. 300 apprenants sur 5 ans, et un taux de clics sur les phishings divisé par trois. Les chiffres les plus satisfaisants de ma carrière.
SFR m'a aussi appris la gestion de crise. Un incident cyber sur un opérateur télécom, c'est un incident qui touche des millions d'utilisateurs. La pression est différente. Les décisions doivent être prises vite, avec une information incomplète, avec des enjeux de communication interne et externe simultanés. Cette expérience est impossible à simuler — et elle change la façon dont j'aborde le sujet en formation.
Le formateur : apprendre à transmettre sans simplifier
Je pensais que la sécurité était un problème de connaissances. J'ai découvert que c'était un problème de compréhension — et que la compréhension ne se transmet pas, elle se construit.
La formation, je l'ai d'abord faite en interne — chez SFR, à l'École des Douanes. Puis j'ai développé une activité indépendante. Et j'ai découvert que former, c'est un métier à part entière.
La tentation du formateur technique est de tout expliquer. De montrer qu'on sait. De couvrir tous les cas. C'est une erreur. La vraie compétence pédagogique, c'est de choisir ce qu'on ne dit pas. De trouver l'angle qui rend un concept accessible sans le trahir. De créer les conditions pour que l'apprenant construise lui-même sa compréhension.
Mes 20 ans de terrain me servent ici différemment que je ne le pensais. Pas pour impressionner — pour ancrer. Chaque concept abstrait que j'enseigne est relié à une situation réelle que j'ai vécue. Les apprenants le sentent. Et ça change tout à la mémorisation.
Ce que la vue à 360° change
Quand j'enseigne la gouvernance SSI à un RSSI, je peux lui parler du point de vue du consultant qui a conçu le système qu'il opère. Quand j'enseigne la gestion de crise, je peux lui parler du point de vue de quelqu'un qui en a vécu plusieurs. Quand j'enseigne ISO 27001, je peux lui parler des pièges que j'ai vus dans des déploiements réels.
Cette capacité à changer de point de vue — à voir la sécurité depuis le terrain, depuis le management, depuis la réglementation, depuis la pédagogie — c'est ce que je cherche à transmettre. Pas des normes. Pas des frameworks. Une façon de penser la sécurité dans sa complexité réelle.
Avec le recul, je me rends compte que dans chacun de ces rôles, je ne faisais pas exactement le même métier. Mais j'étudiais le même problème — sous des angles différents.
Pourquoi je fais ce métier aujourd'hui
Avec le temps, j'ai compris que mon métier n'était ni RSSI, ni consultant, ni formateur.
Aujourd'hui, je pense que la sécurité est un problème de compréhension des systèmes dans leur ensemble.
Mon métier, aujourd'hui, c'est d'aider les organisations à comprendre les systèmes dans lesquels elles évoluent — systèmes informatiques, systèmes organisationnels, systèmes humains — et à reprendre du pouvoir d'agir à l'intérieur de ces systèmes.
Parce que la plupart des problèmes que je rencontre ne sont pas des problèmes techniques.
Ce sont des problèmes de compréhension, de communication, de décision, de responsabilité.
Des problèmes humains, dans des systèmes devenus trop complexes pour être compris par une seule personne, un seul métier, un seul service.
Nous avons construit des systèmes très performants.
Mais parfois, plus personne ne les comprend vraiment dans leur ensemble.
C'est là que j'interviens.
Je forme, je conseille, je construis des outils.
Pas pour ajouter de la complexité.
Mais pour aider les humains à reprendre la main sur les systèmes qu'ils ont eux-mêmes créés.