“Science sans conscience n’est que ruine de l’âme.” Rabelais, XVIe siècle. Carl Hernandez l’utilise pour parler de cybersécurité. Et ça tombe juste. Une phrase du XVIe siècle pour décrire ce que les hackers font subir aux entreprises du XXIe. Carl Hernandez est le cofondateur de Hucency : un homme qui pense par images, qui construit par couches, et qui a compris avant beaucoup d’autres que la cybersécurité n’est pas une question de technologie. C’est une question d’éducation.
2017 : une salle pour trente, trois présents
Avant Hucency, il y a eu Avant de cliquer. Le nom est presque trop explicite, trop honnête pour le monde de la tech, où l’on préfère d’ordinaire les acronymes obscurs aux injonctions limpides. Mais c’est exactement ça, le projet. Trois associés (Carl Hernandez, Stéphane Tabia, Vivien Charlie) qui se retrouvent en 2017 avec une conviction simple et têtue : le maillon faible de la cybersécurité, ce n’est pas le pare-feu. C’est l’humain qui clique.
À l’époque, l’idée ne fait pas rêver grand monde. Dans les salons professionnels, quand les trois fondateurs tentent d’évangéliser les chefs d’entreprise, la réponse est quasi unanime. “On est équipé, on a un antivirus”. La conversation s’arrête là. Le sujet est clos avant d’avoir commencé.
Un soir, la CCI de Normandie leur prête une salle pour de la prévention. Trente places. Quinze inscrits. Trois présents. Carl Hernandez se souvient du silence, et de la remarque de l’agent de l’ANSSI qui partageait la scène avec lui ce soir-là : “Malheureusement, l’actualité va vous donner raison.” Une phrase dite à voix basse, presque pour soi. Pas de triomphe là-dedans. Juste la certitude froide que les attaques allaient venir, que les organisations n’étaient pas prêtes, et qu’il faudrait du temps et des drames pour que les mentalités bougent.
Ce mur, Carl Hernandez a appris à ne pas le prendre de front. On ne convainc pas les gens de ce qu’ils ne sont pas encore prêts à entendre. Il faut créer les conditions. Poser la première brique. Attendre que la suivante ait un sens.
“Si tu appliques sans comprendre, ça ne fonctionne pas, ou pas longtemps.”
La canette dans la porte de secours
Il a une image qu’il ressort souvent. Elle circulait à l’époque dans les réseaux de l’ANSSI. Une photo : une porte marquée “issue de secours”, équipée d’un système de fermeture automatique, maintenue grande ouverte par une canette de soda.
La porte était là. Le système était là. Mais personne n’avait compris pourquoi.
Carl Hernandez pourrait résumer toute sa carrière à cette image. Mettre un antivirus sur un ordinateur, c’est installer la porte. Former les utilisateurs à comprendre pourquoi on ne clique pas sur n’importe quoi, c’est enlever la canette.
Le problème des campagnes de faux phishing en 2017, c’est justement qu’elles n’apprenaient rien aux collaborateurs. Le responsable sécurité envoyait un email piégé, des employés cliquaient, et on les montrait du doigt. Aucune pédagogie. Beaucoup de frustration. Et au bout du compte, aucun apprentissage réel : juste une mauvaise conscience qui s’évapore en quelques jours, et la canette qui reprend sa place.
Avant de cliquer a résolu ce problème d’une façon qui semble évidente une fois qu’on l’entend, mais qui ne l’était pas du tout à l’époque. Quand quelqu’un clique sur un email piégé, on lui explique pourquoi il a cliqué. On lui montre les indices qu’il n’a pas vus. On lui envoie quelques jours plus tard un autre email, avec les mêmes caractéristiques ou presque. Pour voir s’il a compris. Pour ancrer. Pour construire, brique après brique, quelque chose qui ressemble à un réflexe.
Chaque utilisateur avance à son rythme. Certains comprennent en une seule simulation. D’autres ont besoin de plusieurs angles, plusieurs formats (un SMS, un QR code, une tentative de vishing) pour que la même notion finisse par s’ancrer. Il n’y a pas d’échec dans ce système. Il n’y a que des étapes.
“L’erreur n’est pas une faute. C’est une porte d’entrée.”
Ce que les rançons coûtent à ceux qui optimisent tout le reste
Avant la cybersécurité, Carl Hernandez a passé la moitié de sa carrière comme cost killer. Carrefour, IKEA, d’autres grands groupes. Des années à traquer les dépenses, négocier les contrats, rationaliser la logistique, déplacer les bonnes ressources au bon endroit.
Et puis, un jour, il a commencé à croiser des chiffres d’un autre genre. Des rançons à 300 000, 500 000, un million d’euros. Payées en une nuit, à cause d’un email. “Tu passes des années à réduire les coûts de chaque boutique. Et d’un seul coup, avec un email, le travail est perdu”. À quoi bon optimiser l’ensemble si une seule erreur humaine peut tout effacer ?
L’homme qui savait compter a compris que le risque cyber n’était pas un poste de dépense parmi d’autres. C’était la variable qui rendait les autres caduques.
La cybersécurité, telle qu’il la pratique, ne cherche pas à impressionner. Elle cherche à s’ancrer. Doucement, progressivement, couche après couche, jusqu’à ce que le réflexe soit là, solide, et qu’on ne sache plus très bien si c’est de la prudence ou simplement du bon sens.
Portrait sponsorisé. Vous souhaitez mettre en avant un collaborateur ? Écrivez-nous à jean-guillaume.canuet@solutions-numeriques.com
