Bruno:
Créer une start-up quand on est développeur, ça semble presque naturel. Après tout, qui mieux qu'un dev pour imaginer et construire un produit innovant ? Mais entre coder et diriger une entreprise, il y a un monde. Car être CEO, c'est moins une question de stack technique qu'une question de vision, de recrutement et surtout d'impact. Mais alors, faut-il forcément être dev pour créer une boîte tech ? Peut-on continuer à coder en tant que CEO ? Ou doit-on accepter de lâcher le clavier ? Et surtout, comment rester légitime quand on doit arrêter de faire ce qui nous définissait au départ ? Pour répondre à ces questions de leadership, je ne reçois pas Steve Jobs, mais il s'y connaît en transition de carrière, Benjamin Mongeant.
Benjamin:
Hello.
Bruno:
Alors Benjamin, est-ce que tu pourrais te présenter pour les quelques personnes qui ne te connaîtraient peut-être pas ?
Benjamin:
Oui, bien sûr. Je suis Benjamin Netter, je suis le fondateur de Riot. Chez Riot, on a créé une plateforme qui protège les employés aux cyberattaques. On protège un peu plus d'un million d'employés face aux cyberattaques.
Bruno:
Ok mais donc toi à l'origine tu es un développeur.
Benjamin:
Ouais j'ai oublié de préciser ça je suis codeur, j'ai commencé à coder je pense autour de mes 10 ans et pour résumer ma carrière de développeur j'ai fait 10 ans de PHP, 10 ans de Node ok.
Bruno:
Qu'est-ce qui t'a amené du coup à créer cette, donc c'était pas ta première expérience entrepreneuriale, t'étais déjà CTO sur d'autres startups ça a été quoi le déclencheur pour toi déjà d'être entrepreneur.
Benjamin:
Moi je pense je suis un peu entrepreneur par accident et c'est pas inhabituel je pense donc j'ai été avant de commencer Riot, j'étais, CTO et cofondateur d'une plateforme de prêt en ligne qui s'appelle Oktober on faisait du prêt aux entreprises, on a prêté un peu plus d'un milliard d'euros aux entreprises européennes. Et chez Oktober on a créé avec mon équipe tech on a quand même créé de zéro c'était quand même les débuts de la fintech donc c'était une époque où il n'y avait pas Stripe et où globalement c'était plus compliqué, on a créé de zéro une plateforme qui gérait des centaines de millions d'euros de flux financiers par an, et donc on investissait énormément sur comment est-ce que je protège cette plateforme moi j'avais vachement peur qu'un hacker trouve une façon sophistiquée de détourner de l'argent en trouvant une faille dans Node ou dans mon Mongo et, en fait on investissait en BugBounty, en Pentesting vraiment state of the art de la sécu d'une plateforme Node, et ce qui s'est passé un jour c'est qu'un employé en 2019 a reçu un email qui ressemblait à un mail de Microsoft vraiment assez basique Ikidi qui rend son mot de passe et à partir de là il a reçu, l'intégralité de ces données ont été siphonnées et puis tout son carnet d'adresse a reçu un autre mail, puisqu'évidemment, le premier truc qu'ils font quand ils rentrent dans une boîte mail, c'est l'effet boule de neige. Ils attaquent tous les contacts. Et donc, assez rapidement, on a continué l'attaque, mais je me suis dit, c'est marrant, tiens, Marc, qui globalement est plutôt smart. Étude supérieure, il dirigeait une partie importante de la société, lui, il clique sur ses emails-là, peut-être qu'il y en a d'autres dans la boîte des marques. Je vais tester je vais répliquer cet email sur l'intégralité des boîtes mail on avait 110 personnes à l'époque dans 5 bureaux et donc je commence à me mettre dans un minimum viable product un produit minimal qui va justement être une plateforme où simplement, on envoie cet email qui ressemble à du Microsoft il y a une landing page qui ressemble à une page de login Microsoft, les employés vont se retrouver là-dessus ils vont rentrer leur mot de passe et c'est tout ça se termine là l'expérience et de l'autre côté moi je vais pouvoir suivre justement quel est le pourcentage des employés qui se font avoir et ça c'était vraiment la version 0 de Riot, et donc je me levais 2h plus tôt le matin avant de commencer ma vie de CTO je codais. Comme c'était un side project je voulais tester une nouvelle techno c'est le cas des side projects et j'avais vu Firebase que je trouvais, fascinante parce que c'était le premier truc j'ai l'impression que il y avait une sorte de real time c'est à dire tu l'as ouvert sur deux navigateurs différents tu rajoutes quelque chose dans la base c'est automatiquement affiché de l'autre côté dans l'autre navigateur c'était incroyable donc j'avais commencé Riot comme ça, et c'était trop bien comme side project et je lance la première attaque, c'était en octobre à peu près 2019 et il y a 20% des employés qui se sont fait avoir et la première personne qui s'est fait avoir c'était la CFO de la boîte, et donc c'était là genre ah ok intéressant et donc j'en parle autour de moi ou à des amis CTO ils me disent ah c'est cool attends j'ai envie de tester et donc je me dis bah peut-être qu'il y a un truc et donc je vais candidater à Way Combinator donc un incubateur californien. Assez sélectif c'est deux fois plus sélectif que Stanford et à ma grande surprise j'ai été pris et donc je dis à mes associés ben sorry mais voilà je vais vivre le rêve américain je vais bosser sur Riot full time à partir de maintenant je quitte October.
Bruno:
Ce qui montre cette histoire avec ce fameux marque qui s'est fait avoir, ce qui montre encore une fois que la plus grande faille en fait elle est entre le clavier et la chaise comme on dit souvent.
Benjamin:
En tout cas nous c'est vraiment à ça qu'on croit chez Riot, c'est que en plus de ça, moi, ce que je trouvais chez October, c'est qu'on n'avait pas de bon outil pour justement protéger les employés. Et c'est aussi pour ça qu'ils sont complètement de mis de côté. Et ce que je trouve fascinant, maintenant que je suis dans la cyber depuis 5 ans, c'est que les hackers, c'est des gens très pragmatiques. Et parce qu'il n'y a pas d'outils, c'est là où les hackers vont en profiter. Et si les entreprises un peu plus grosses, elles, s'équipent, ben eux, ils sont assez malins, ils vont aller attaquer plutôt les plus petites. Et donc, c'est marrant parce que c'est hyper résilient comme domaine parce que les hackers ont cette capacité d'adaptation de si on commence à équiper les employés, ils vont peut-être retrouver autre chose.
Bruno:
Ils trouvent toujours une autre porte.
Benjamin:
En tant qu'entreprise, c'est hyper intéressant parce que simplement tu dois prédire c'est quoi leur prochaine étape. Et comment est-ce qu'on va protéger la prochaine étape.
Bruno:
Du coup, sur October, tu avais quand même une équipe qui était déjà bien installée, tu avais créé un beau produit, il y avait un truc qui te tournait bien. Qu'est-ce qui a fait que tu t'es dit je vais tenter cette aventure je vais arrêter October et je vais tenter une nouvelle aventure, très honnêtement ça.
Benjamin:
Faisait 5 ans et demi j'avais fait 5 ans et demi de près aux entreprises je pense que je suis une nature très curieuse et le près aux entreprises c'était hyper intéressant et je pense que j'en ai fait un bon tour au bout de 5 ans et demi et j'avais aussi envie de voir quelque chose d'autre.
Bruno:
Et comment est venue l'idée parce que jusque là tu étais CTO est-ce qu'il y a un moment où tu t'es dit je vais chercher un CEO pour monter ça en tant que CTO ou d'emblée tu t'es dit c'est mon projet, c'est mon truc, je le fais ?
Benjamin:
En tant que tel, moi, je ne savais pas où ça allait me mener. Donc, si tu veux, je n'ai pas vraiment réfléchi comme ça. Je me suis plus dit, vas-y. Ensuite, la vérité, c'est que j'ai eu entre October et Riot, j'ai eu trois jours exactement. Et ce qui est marrant, c'est qu'October, on a levé plus de 50 millions d'euros. Je pensais qu'après October, après cinq ans et demi à trimmer, j'allais plutôt prendre six mois de vacances à Hawaii. En fait, la vérité, c'est que j'ai quitté October le 31 décembre et le 4 janvier j'étais à San Francisco et dans l'avion de 12h je connais donc il n'y a pas vraiment eu ce break de 6 mois où je me suis dit comment est-ce que je ferais cette boîte est-ce que j'ai besoin d'un CEO, j'étais juste go with the flow j'ai créé ce MVP dans Firebase, avec des technos, que je ne connaissais pas bien et ensuite je suis à WayCombinetta en Californie j'ai 3 mois il faut que je fasse du mieux possible sur les 3 mois tu ne te poses pas vraiment la question qu'est-ce.
Bruno:
Que t'as découvert sur ce métier de CEO qui pour toi est assez proche d'un métier de CTO et à l'inverse qu'est-ce qui est très éloigné du métier de CTO.
Benjamin:
Deux choses un peu opposées mais le métier de CTO notamment dans la fintech c'était extrêmement fatigant parce qu'on gérait quand même des centaines de millions d'euros de flux financiers donc on avait pas vraiment le droit de faire n'importe quoi, et donc au quotidien c'était quand même assez dur notamment je relisais toutes les lignes de code qui passaient en prod peut-être de façon assez, maniaque ouais j'allais dire maso mais maniaque ça marche aussi mais ça m'angoissait de me dire on va avoir une faille et voilà ça peut se terminer c'est vrai que, les enjeux de la boîte étaient sur mes mains enfin sur mes épaules plutôt donc c'était en vrai je dirais que de ce point de vue là je dirais que le rôle de CTO il est. Épuisant je pense tout particulièrement quand tu bosses dans la finance je sais pas si c'est le cas partout mais en tout cas dans la finance c'est épuisant quand, Et de l'autre côté, le rôle de CEO, ce que je trouve épuisant, c'est que tu dois connaître tout sur tout. Alors que quand tu es CTO, tu vois à peu près ce que ça veut dire. Donc, tu codes depuis longtemps. Donc, tu le vis en général, CTO comme ça, en gravissant les échelons. Mais tu sais ce que le développeur tout en bas fait. Tu comprends son quotidien, ce que tu l'as fait pendant longtemps. Quand tu es CEO et que du jour au lendemain, on te dit, pourquoi vous ne faites pas de marketing ? t'es là genre, on fait pas de marketing parce qu'en fait c'est pas mon métier, je sais pas ce que c'est le marketing, je sais pas à quoi ça ressemble, tu vois. Et donc tu dois devenir bon dans des tas d'autres trucs. Et ça c'est un peu fatiguant. Et en plus, je pense que de ce point de vue là, quand t'es CTO, t'as peut-être parfois le problème, mais moins souvent que quand t'es CEO, tu dois recruter des gens qui sont extrêmement bons dans des domaines que tu comprends pas bien. Et moi j'ai pas encore trouvé de bonne façon de faire que de devenir bon dans ces domaines là.
Bruno:
Ok ouais parce que pourtant quand t'étais city au chez October j'imagine que t'as dû recruter des gens des experts côté infra qui certes enfin, je suis d'accord on peut se dire qu'il y a peut-être un peu plus de similitude de proximité avec le métier de dev mais c'est quand même un métier qui est quand même très loin qui est quand même très loin qui est quand même assez différent, t'as dû recruter des gens j'imagine en cyber aussi donc t'as eu aussi besoin de t'intéresser à d'autres à d'autres domaines à d'autres métiers.
Benjamin:
Ouais carrément c'est un bon exemple d'ailleurs l'infra parce que c'est souvent, surtout maintenant où tu peux juste spawner l'instance ces deux sans t'en rendre compte avec des tu vois tu fais un je sais pas tu fais du Heroku à l'époque maintenant c'est peut-être moins la mode et ça fait longtemps que j'ai pas coté mais peut-être Vercel ou des trucs comme ça tu peux faire ça, l'infra moi j'en ai fait pas mal quand même parce que j'ai quand même 20 ans dans les pattes de code tu vois j'ai des serveurs qui me suffit qui traînent tout le temps et à l'épithèque j'ai fait l'épithèque, on fait de l'unix pendant tu vois pendant deux ans on fait que l'unix donc je comprends quand même comment marche un serveur et ensuite évidemment je comprends pas, le fond du métier de l'infra mais comme tu le comprends en surface tu comprends à peu près comment, comment tu vois tu comprends que la personne en face de toi elle est meilleure que toi ouais et parce que t'en fais un peu on the side comme un hobby et donc tu sais que lui la personne que t'as en face de toi elle est meilleure que toi en hobby, et c'est plutôt bon signe tu vois donc c'est un peu pareil quand t'es CEO tu vois je vais pas être le meilleur en marketing, du monde tu vois c'est sûr et c'est même pas le but mais en tout cas si je rencontre quelqu'un qui m'apprend des choses en entretien probablement c'est bon signe mais.
Bruno:
Oui je vois bien effectivement que t'es peut-être moins capable de juger faire la différence entre quelqu'un de bon et quelqu'un de très bon sur du marketing alors qu'effectivement un bon ingé infra ou un très bon ingé infra, quand t'es dev tu fais plus facilement la différence.
Benjamin:
Ouais carrément beaucoup plus facilement ensuite ce qui est intéressant c'est que je trouve que, Être dev, c'est un peu un hack dans tous les métiers de la boîte. Et tous les métiers sont faits de façon assez répétitive et il y a beaucoup de temps qui est perdu. Et quand t'es dev et que tu te plonges dans ces métiers-là, tu te rends compte tout le temps que les gens perdent, alors qu'ils pourraient juste faire des lignes de code. Et je pense que t'as aussi ce edge en tant que CEO dev de je me plonge dans la façon dont on fait des reportings ou des trucs comme ça. Je me dis mais c'est horrible, il y a de l'Excel partout, il y a des trucs, mais pourquoi ? Et donc ça, ça te donne un peu je dirais que c'est un cheat code qui est utile en tant que CEO c'est ça.
Bruno:
Moi je l'ai découvert sur le podcast parce que mon podcast est entièrement automatisé et quand je parle à d'autres podcasteurs, ils disent ouais ton truc c'est génial machin, mais quand je, leur propose de mettre en place tout ce que j'ai fait moi pour leur podcast, en fait eux ils ont quasiment aucun process c'est à dire que les choses ne sont pas faites de manière uniforme donc c'est effectivement compliqué à automatiser, mais ils ont l'impression que du coup, ils ne peuvent pas changer leur façon de faire pour s'adapter à une capacité d'automatisation. Et je suis d'accord avec toi, c'est qu'on découvre qu'il y a plein de gens qui font des choses de manière extrêmement répétitive, qu'on pourrait complètement, automatiser, mais il n'y a pas cette mécanique de chercher à optimiser, en fait.
Benjamin:
Parce que tu es bien obligé de comprendre comment les choses marchent et comprendre comment elles pourraient marcher, tu vois. Et ça, tu ne l'as pas, je pense, quand tu n'es pas développeur.
Bruno:
Mais à l'inverse, les développeurs ont parfois tendance à passer trois jours à automatiser une tâche qui prend cinq minutes, et au final, tu as passé plus de temps à l'automatiser qu'elle ne te coûte réellement sur une année.
Benjamin:
Oui, bien sûr. Il ne faut pas over-engineer.
Bruno:
Oui, exactement. Il y a le risque aussi. Est-ce que, au-delà de cet aspect d'automatisation, est-ce que tu crois que cet esprit d'ingénieur que tu as ou de dev, est-ce que tu crois que c'est un atout pour le job de CEO ?
Benjamin:
Oui, moi, je ne suis même pas sûr d'être... D'être vraiment encore dev. J'ai l'impression de passer beaucoup de temps à faire du produit, plutôt. Et je dirais que le fait d'être bon en dev te permet d'être bon en produit, ça, c'est clairement un impact sur la société. Et je le vois parce que, simplement, nos concurrents directs, eux, c'est plus du style consultant, tu vois, dans les cabinets BCG, etc. Notre plus gros concurrent, qui est un concurrent allemand, il a ce background de cabinet BCG, consulting, etc. Il n'est pas dev, pas produit. Et son produit, il est beaucoup moins bien que le nôtre. Et il a d'autres avantages, évidemment, parce qu'il a quand tu as bossé au BCG, tu sais organiser une entreprise de 500 personnes et tu es très analytique. Mais on a quand même le meilleur produit.
Bruno:
C'est-à-dire que lui, tu veux dire qu'il a une boîte peut-être qui... Une entreprise en tant que telle qui tourne de manière plus optimale, mais une solution qui elle en.
Benjamin:
Revanche ne l'est pas forcément bizarrement non parce qu'il crame plein d'oseils, mais probablement parce que comme tu l'as expliqué tout à l'heure avec le podcast pour ce que nous on fait avec une personne lui il le fait avec deux et du coup, à la fin de l'année il reste moins d'argent que chez nous bien sûr.
Bruno:
Est-ce que tu penses que donc aujourd'hui Riot c'est une boîte avant tout une boîte tech est-ce que tu penses que pour créer une boîte tech c'est nécessaire d'avoir un dev sur un rôle de CEO.
Benjamin:
Non mais il faut quand même qu'il y en ait un quelque part c'est à dire il faut que le CTO sinon soit c'est d'ailleurs le cas chez Oktober j'ai eu l'exemple, Oktober c'était une boîte tech mais, Olivier mon associé n'était pas tech du tout enfin un peu tech mais vraiment il avait un baguant de financier donc il n'était pas tech, et moi j'étais pour le coup très tech donc la boîte avait quand même une orientation tech.
Bruno:
Et pour toi c'est quoi qu'est-ce qui fait que Riot est une boîte tech Sous-titrage ST' 501.
Benjamin:
La moitié de nos effectifs sont des développeurs c'est.
Bruno:
Juste une question d'effectifs tu penses ? il n'y a pas un état d'esprit en tout cas c'est la réponse la plus facile mais moi je cherche la réponse un peu plus en termes de philosophie c'est quoi pour toi le truc qui fait que c'est une boîte tech ?
Benjamin:
Vraiment je trouve qu'on pousse les limites de l'état de l'art dans notre métier, et par la tech et en plus on investit énormément dans le produit je dirais qu'on est en retard sur tout le reste dans la boîte mais la partie tech elle est vraiment, état de l'art tu vois on essaye de faire vraiment ce qu'il y a de mieux sur le marché, et globalement tu vois on a un produit qui quand tu l'utilises il est agréable à utiliser toi tu l'as utilisé il y a quelques années c'est ça mais même.
Bruno:
Je l'utilise du coup aujourd'hui dans une nouvelle mission où je suis actuellement chez Les Furets.
Benjamin:
On utilise.
Bruno:
Effectivement Riot et donc moi j'y suis arrivé il y a quelques semaines chez Les Furets j'ai reçu mon premier mail.
Benjamin:
De phishing de phishing.
Bruno:
Que j'ai trouvé bizarre et puis que j'ai cliqué comme un moment et j'ai fait ah ouais non effectivement c'est pas normal que je sois là et j'ai pas eu mon mot de passe et après.
Benjamin:
J'ai réalisé que du coup on les garde pas on les récupère pas d'ailleurs oui je me doute non non on veut pas cette responsabilité là.
Bruno:
Mais oui du coup donc j'ai utilisé il y a longtemps chez Cosa Vostra et plus récemment chez Les Furets.
Benjamin:
Ouais bah du coup t'as vu que notre solution mais si tu la compares aux autres solutions du marché juste c'est fluide tu vois, pour setup ton compte ça te prend deux minutes tu connectes à Google, Google automatiquement récupère les employés, t'es prêt à lancer ton attaque c'est juste fluide ça, ça se ressent je pense dans le produit final tu ressens que le, que le CTO ou en tout cas que le CTO est très attaché à ces détails-là.
Bruno:
C'était intéressant aussi ton propos de dire on est en retard sur tout le reste mais sur la tech on est à la pointe. C'est intéressant comme définition effectivement d'une boîte tech.
Benjamin:
Ouais, ensuite c'est ce que j'apprends comme je suis maintenant CEO c'est que tu peux pas être parfait partout et, il faut être très bon au moins dans un truc tu vois. Si on n'était pas très bon en tech que probablement Riot n'entraient pas là où on en est aujourd'hui.
Bruno:
Alors du coup, est-ce que si je caricature ou si je force le trait sur ce que tu dis, si on prend l'exemple de Apple qui est très fort sur le marketing, donc qui est clairement pas en retard, qui est même plutôt innovant, est-ce que du coup, Apple peut quand même avoir la définition d'une boîte tech ?
Benjamin:
C'est marrant, mais tu vois, moi je trouve que Apple, ils sont surtout particulièrement bons en hardware et je les trouve particulièrement mauvais en software. Et donc il crée vraiment les meilleures machines au monde genre t'achètes pas, il n'y a pas de concurrent au Macbook c'est les meilleurs ordinateurs sur Terre, c'est certain, je sais que les gens les développeurs aiment bien troller et dire que c'est pas le cas mais c'est juste prouvez moi le contraire qu'un ordinateur où le trackpad fonctionne trop bien et où t'as une batterie de 12 heures, trouvez moi un autre ordinateur comme ça en revanche tu vois le Finder qui a quasiment pas évolué depuis 20 ans, c'est pas terrible c'est pas une très bonne app et sur à peu près toutes les apps pareil sur l'iPhone, je pense à l'app Calendar là très récemment ils ont revu leur app photo, et globalement les gens la trouvent inutilisable c'est pour ça que moi je les trouve pas très forts en soft mais ils sont très forts en hard, et dans une boîte en fait c'est un peu, tu peux pas être fort partout, et c'est trop bien parce que tu peux être fort dans quelques trucs, et ça marche quand même très bien. Tu vois, comme Apple qui fait, je sais pas, 100 milliards de revenus, je sais plus exactement, mais un truc délirant, quoi.
Bruno:
Si je reviens du coup sur ce côté de pousser la tech dans ses retranchements, de faire l'état de l'art, comment ça se cultive, ça, au quotidien ? T'incites les gens à aller assister à des conférences, à faire des conférences, tu leur donnes plus de liberté, tu leur imposes des contraintes, comment tu cultives ça ?
Benjamin:
Moi je suis assez anti-conférence donc je sais pas si tu as le droit de dire ça, ouais combinator ils ont un dicton ils disent tu perds ton temps en conférence en gros ils te déconseillent d'y aller, pas en tant que développeur mais en tant que CEO ou en tant que sales ou en tant que commercial pardon j'ai pas le droit aux anglicismes sur le podcast c'est permis sur cette partie de l'étage, ouais les sales ça a du sens qu'ils soient dans les conférences mais les développeurs toi tu t'es très conférences.
Bruno:
Non moi j'y vais très très peu tu sais moi j'ai l'avantage de recevoir des gens toutes les semaines.
Benjamin:
Face à moi pour m'apprendre des trucs j'ai pas besoin d'aller à des conférences tous les jours exactement ouais moi je suis pas un fan des conférences.
Bruno:
Mais est-ce que t'en vois peut-être tes développeurs faire des conférences.
Benjamin:
Non ils en font pas mais s'ils me demandent ils pourraient y aller mais je pense que ouais ils en ressentent pas le besoin sans doute ok.
Bruno:
Et donc comment est-ce que tu cultives cette culture tech au sein de ta boîte cette recherche d'innovation de faire de l'état de l'art.
Benjamin:
C'est une bonne question mais je pense que c'est surtout la responsabilité de mon CTO maintenant et je saurais pas te répondre ok et.
Bruno:
C'est pas quelque chose que toi t'as essayé d'inculquer soit quand t'étais CTO soit quand t'as commencé cette boîte.
Benjamin:
Ouais c'est ce qui est marrant avec Riot c'est que moi j'avais commencé avec Firebase ce petit MVP et puis en fait Firebase c'est une très mauvaise technologie, et par ailleurs c'est pas complètement fait pour ça, c'est surtout fait pour du mobile et donc c'est pas du tout je te donne un exemple très simple mais tu peux pas faire de count sur la base de données de Firebase donc t'es quand même assez limité quand tu peux pas faire un count et donc, le premier recrutement que j'ai fait c'était un CTO parce que globalement je connais quand même pas mal de CTO à Paris et je savais qui je voulais appeler et donc j'ai appelé Louis et par chance il était là enfin il était disponible tu vois il m'a rejoint très rapidement je pense, un mois après l'alvé du premier tour de table Sous-titrage Société Radio-Canada. Et on a pendant les 4 mois d'après je codais avec lui on codait tous les deux puis on avait pris un freelance puis on codait on essayait de faire ce qu'on pouvait avec quand même le MVP que j'avais créé sur Firebase parce qu'on avait quand même des utilisateurs, et à l'époque on faisait 40 000 balles de revenus donc quasiment rien mais on avait quand même une dizaine de boîtes qui utilisaient le produit qui était vraiment, balbutiant quoi mais ils l'utilisaient et donc on, arrivé à l'été Louis il me dit en fait c'est vraiment de la merde Firebase je crois que, il va falloir arrêter ce truc et j'étais là genre ouais je sais pas ça fait un an que je code on code ensemble c'est un peu relou quoi on va pas repartir de zéro il avait raison donc on a tout jeté et on est reparti de zéro on a fait un voilà un node nest ok voilà, maintenant on fait de l'élixir en plus ok donc, je dirais qu'on est reparti de zéro peut-être pas entièrement parce que évidemment ouais.
Bruno:
Tu réutilises des choses.
Benjamin:
Ouais ou surtout tu le fais progressivement j'aime bien la Boy Scout rule je sais pas si tu connais ce truc quand on se remet dans une partie du code on la transforme en XR et puis voilà quoi tu fais progressivement.
Bruno:
Ça a été quoi ton cheminement parce que tu nous as quand même décrit que quand t'étais chez October tu lisais chaque ligne de code.
Benjamin:
Qui était poussée en prod et.
Bruno:
Que là t'arrives sur Riot qui est ton nouveau bébé on va dire et tu décides au contraire de laisser la tech et de même plus du tout en faire.
Benjamin:
Ouais mais pour revenir à ce que je disais tout à l'heure comme moi j'en ai fait énormément je sais exactement à qui je peux comment trouver la meilleure personne pour le faire à ma place c'est à dire quand j'ai évalué mes possibilités côté tech je savais que c'était Louis que je voulais appeler, et de tous les sitios que j'ai rencontrés pour moi c'était le best of the best tu vois, ça m'a facilité le recrutement je dirais d'être un très bon développeur Oui.
Bruno:
Mais je comprends que t'es vite trouvé et qui t'avais envie d'avoir sur ce rôle là mais avant d'en arriver à te dire ok je vais prendre Louis, il y a le moment où tu prends la décision de te dire je vais pas le faire, je vais le faire faire par quelqu'un d'autre, alors que avant t'étais en mode compulsif à regarder chaque ligne de code donc t'étais quand même hyper impliqué sur le.
Benjamin:
Sujet au début c'était le cas aussi surtout que Louis connaissait pas Faber donc j'aidais quand même sur ça au bout d'un moment Louis m'a dit bon en fait, tu veux pas lâcher le truc faire autre chose quoi et donc il m'a peu retiré le code donc j'avais plus le droit de coder, et j'étais pas sur le repo github je faisais d'autres trucs quoi, enfin il y a tellement de trucs à faire quand tu crées une boîte, au début pendant les 18 premiers mois de Riot, d'abord il y avait moi ensuite il y avait Louis au bout de 4 mois et ensuite on a recruté, 3 devs 4 développeurs pardon, donc on avait une core team de 6 personnes en gros et, sur les 6 il y en avait 5 qui codaient et moi je faisais tout le reste mais donc très rapidement j'ai arrêté de coder c'était mieux c'était vraiment une très bonne idée, et puis ça me manque pas du tout moi je fais beaucoup de produits et c'est le produit qui m'intéresse vraiment je pense que j'ai jamais été un hardcore développeur mais j'ai beaucoup codé j'aime beaucoup coder mais, Mais plutôt pour une finalité. Je ne suis pas passionné par la tech en tant que telle. Je suis passionné par créer des produits que les gens utilisent.
Bruno:
Et du coup, tu retrouves cette même état d'esprit sans forcément taper des lignes de code, mais tu réponds quand même à des problématiques sans lignes de code.
Benjamin:
C'est trop bien. J'aime les meilleures parties. Je fais des figmas et après je leur dis, ouais, faites ça, ce truc hyper compliqué qui va prendre des semaines à développer. Pas mon problème.
Bruno:
Et sur les... Sur justement cette sélection des personnes qui vont faire les choses mieux que toi, ça a été quoi le truc où tu t'es dit ok c'est Julien que je veux ?
Benjamin:
Louis tu veux dire ? Louis je voulais en fait chercher quelqu'un qui était jeune parce que je trouve que créer une boîte c'est plus compliqué quand on est plus vieux quand on a des enfants etc. Donc je voulais quelqu'un de jeune, Louis il avait 26 ans. J'avais eu des discussions où j'avais l'impression que Louis était juste très bon techniquement et je voulais quelqu'un qui s'exprime très bien parce que je trouve que tu peux pas être un CTO sans t'exprimer bien tu vois t'es obligé, par importance de ton métier en tant que CTO c'est le recrutement, et aussi d'avoir ce rôle de leader et ça tu l'as pas si t'es pas tu t'exprimes très bien et la vérité c'est que moi je fais l'épitech donc je, le développeur en tant que tel souvent il est plutôt introverte il est plutôt introverti et je pense que les introvertis font des mauvais CTO ils sont très bons dans plein de trucs enfin pas de jugement de valeur et d'ailleurs je pense que ça devrait pas être, un objectif de carrière d'être CTO comme le boss de fin je pense qu'on peut faire une très belle carrière sans être CTO mais pour être CTO il faut être il faut savoir communiquer et convaincre et ouais.
Bruno:
Et donc, pour le choix de Louis, j'entends les critères. Est-ce que sur les autres recrutements, dans la tech pour commencer, est-ce que tu as été impliqué pendant un moment, j'imagine, dedans aussi ? Comment tu fais pour essayer de toujours faire en sorte de trouver quelqu'un qui est meilleur que toi ?
Benjamin:
Les gens qui sont meilleurs que moi, ils m'impressionnent. Donc, tu poses des questions et dans leurs réponses, en général, ils t'impressionnent. Moi je marche beaucoup par ah c'est surprenant comme réponse je fonctionne beaucoup comme ça j'ai fait quand même pas mal le recrutement parce que, si je mets Riot de côté chez Oktober j'ai quand même créé une équipe de 25 développeurs, et au bout d'un moment j'ai recruté un gars justement qui s'appelle Julien, je sais pas si c'est de ça dont tu parlais tout à l'heure mais je recrute un dev back-end il commence à coder et tout et je me dis beaucoup plus fort que moi ce gars en code, et au bout de 3 ans à bosser avec lui je me suis dit mais pourquoi c'est moi le CTO il est beaucoup plus fort que moi en fait il serait bien meilleur que moi en tant que CTO et donc je le convoque dans mon bureau j'avais un bureau fermé à l'époque, un luxe et je lui dis mais en fait t'adorerais toi le CTO moi je pourrais être CPO ce serait très bien aussi, et donc on a split mon rôle qui à l'époque était tech produit chez Oktober au bout de la 4ème année, je lui donnais le rôle de CTO et moi je suis devenu CPO ce qui m'allait très bien.
Bruno:
Mais donc tu avais identifié qu'il était meilleur que toi sur le dev en tant que dev back-end ou de manière globale enfin il était effectivement aussi meilleur sur tout l'aspect de communication que tu évoquais.
Benjamin:
Ça je pense pas que ce soit le cas et d'ailleurs ça fait longtemps que je code donc je suis à la fois je pense que je suis assez bon des deux côtés je suis pas excellent des deux côtés je suis bon développeur front-end et bon développeur back-end, ce qui est cool quand t'es CTO c'est que t'es capable de parler de population, et Julien il était à mon avis bien meilleur back-end et un peu moins, bon que moi en front et ça marchait très bien aussi et puis sur la communication, globalement il était très bon aussi donc c'était pas un problème c'était une très bonne décision.
Bruno:
Pour revenir du coup maintenant sur ton rôle de CEO, est-ce que tu penses que, avec ton passé de dev ou même de manière générale que c'est plus facile pour toi de recruter quelqu'un de meilleur que toi sur des métiers de dev que sur des métiers de marketing communication, sales ou je ne sais quoi ?
Benjamin:
Ah ouais, bien plus facile je suis tout à fait capable d'évaluer quelqu'un en tout cas, ce qui est beaucoup plus facile que quand tu vois je dois recruter je vais pas acheter dans l'exemple mais ressources humaines, j'ai jamais vécu même les ressources humaines, on avait pas de ressources humaines chez October donc j'ai une vague de compréhension de ce que les ressources humaines font parce que chat GPT capable de me répondre, mais sur le papier et ensuite je ne l'ai jamais vu fonctionner. Donc comment est-ce que tu évalues un candidat aux ressources humaines ? C'est beaucoup plus compliqué.
Bruno:
Est-ce que du coup, tu as eu une démarche de... entre guillemets, un petit peu de dev où tu te dis comme je ne saurais pas le faire, je vais le déléguer à quelqu'un qui sait le faire. Du coup, tu as délégué le recrutement à quelqu'un qui sait mieux recruter que toi pour recruter un DRH ?
Benjamin:
Maintenant, on est équipé, mais jusqu'à très récemment, on n'avait personne au recrutement. Donc, c'était plus difficile. Et ce que je fais assez systématiquement, c'est que j'ai toujours quelqu'un dans mon réseau que je considère très bon dans ce domaine et qui fait le dernier tour.
Bruno:
OK. Il y a parfois des questions qui popent sur ce podcast ou ailleurs. Je sais que dans d'autres contextes, on demande souvent à des CTO s'ils codent encore.
Benjamin:
Comme si c'était un critère t'as eu Sacha Morard dans le podcast ?
Bruno:
Oui j'ai eu Sacha effectivement du groupe Le Monde maintenant il est chez Edge il code encore beaucoup, entre 4h et 7h du matin je ne me suis pas plus exactement est-ce que pour toi c'est important qu'un CTO continue à coder ?
Benjamin:
À quel niveau de la boîte ? au début les 4 premières années je pense que c'est extrêmement important d'ailleurs je pense serait un très gros red flag si le CTO ne codait pas. C'est probablement pas le bon CTO. Après, je ne pense pas. Je pense que c'est mieux de ne pas coder.
Bruno:
Je suis complètement...
Benjamin:
Et la vérité, c'est qu'il y a des gens qui sont quand même passionnés par ça, tu vois. Et moi, c'était le cas aussi chez October. La vérité, c'est la raison pour laquelle je commençais un side project, c'est que ça me manquait d'ouvrir VS Code. Tu vois, j'étais CPO. Donc, ma vie, c'était maintenant Trello et organiser le travail des équipes et faire des tickets Et organiser Et faire du figma etc Mais VS Code je l'avais pas lancé depuis des mois Donc je me suis dit vas-y ça me manque en fait Ça me démange de coller quoi.
Bruno:
Et ça te démange encore ?
Benjamin:
Non, non. Enfin, franchement, aujourd'hui, j'en fais un peu parce que, justement, je fais du Zapier pour organiser d'autres parties de la boîte, mais le code en tant que tel, non, franchement, ça me manque plus, là. Je suis surtout plus du tout relevant. Enfin, je pense que ce serait désastreux. Je pense que c'est une bonne nouvelle que je coite plus.
Bruno:
Mais, tu vois, je suis aligné avec ta réponse de dire, en fait, ça dépend à quel moment de la boîte. Alors, pour moi, c'est pas tant un critère d'année qu'un critère de nombre de personnes c'est à dire que tu parles à une boîte qui a 10 ans mais s'il y a 4 devs.
Benjamin:
C'est normal que.
Bruno:
Tu codes et tu parles à une boîte qui a 6 mois mais si t'as déjà 80 personnes c'est normal que tu codes plus juste parce que mathématiquement t'es pas censé avoir le temps en tout cas de coder.
Benjamin:
Ouais mais oui oui mais tu dois quand même prendre des décisions enfin tu codes pas tu fais pas les lignes de code, mais tu dois quand même être sur les projets importants tu dois quand même être tu dois valider en tout cas le schéma de DB tu vois tu dois valider les trucs je pense donc t'es quand même encore impliqués j'espère sur de l'architecture et sur comment les choses fonctionnent et pas trop loin de ces sujets là, parce que sinon d'être technique quoi, enfin tu le remarques pas tout de suite mais dans 3 ans t'as un gros problème quoi.
Bruno:
Oui tu parlais d'être relevant tout à l'heure, quand t'es CEO t'as moins besoin d'être relevant sur ces aspects techniques, en tant que CTO même si tu codes plus, faut quand même que tu restes un peu à la page parce que c'est au quotidien quoi.
Benjamin:
Ah ouais c'est important je trouve que c'est deux choses différentes entre écrire le code et avoir un oeil sur l'archi c'est vraiment ton rôle en tant que CTO je trouve.
Bruno:
Ou même être au courant de ce qui se passe.
Benjamin:
Comment les gens font les choses est-ce qu'effectivement j'ai mis les bonnes normes en place pour que les gens fassent les choses de la bonne façon, Pour moi, c'est que ça, le métier de CTO. Ça et 30% de recrutement.
Bruno:
C'est pour ça qu'il y a beaucoup de CTO qui écoutent ce podcast. C'est un excellent moyen de rester à la page. Très bonne traduction.
Benjamin:
C'est toujours compliqué pour moi d'éviter les anglicismes.
Bruno:
Et pourtant, tu n'as passé que trois mois à Californie.
Benjamin:
Non, j'ai passé beaucoup de temps dans ma vie aux Etats-Unis. Aujourd'hui, j'ai passé un quart de mon année quand même.
Bruno:
En général. Est-ce que tu essayes quand même de... Parce que t'es quand même sur une boîte tech, dans un environnement très tech, parce qu'on parle quand même de cybersécurité et ce genre de choses. Est-ce que, de par quand même ton contexte, tu restes un peu à la page sur ce qui se fait ou sur les différentes technos, ou t'es vraiment en mode, ok, en fait, moi maintenant, je gère une boîte et...
Benjamin:
Très vaguement, tu vois. Tout à l'heure, on parlait de Vercel. Je suis même plus trop sûr de ce que c'est, tu vois.
Bruno:
Ok.
Benjamin:
Ça m'est un peu égal.
Bruno:
Ok.
Benjamin:
Ouais. Je m'en mettrais de Marissa Meilleur tu sais qui était employée numéro 20 de Google, et qui racontait qu'elle codait à la nuit parce qu'elle n'avait pas le temps pour la journée mais quand Google c'était plusieurs milliers d'employés quoi, je pense que je suis pareil je pense que le jour où Riot se fait racheter où on fait une introduction en bourse je sais pas et où moi je suis plus CEO je suis plus opérationnel dans cette boîte, tu me reverras sur VS Code ok peut-être que ce sera l'occasion d'essayer Bubble oui c'est ça ou Bubble ou Cursor j'ai entendu parler les nouveaux IDE tu vois même ça je suis même pas au courant j'essaie d'en parler avec mon équipe de savoir est-ce qu'effectivement ils utilisent l'IA pour coder quoi, mais tu vois je suis très loin maintenant ok j'entends.
Bruno:
C'est quoi pour toi justement la suite de Riot ça fait quoi donc tu as dit 2019 donc ça fait maintenant un peu plus de 5 ans.
Benjamin:
On a fêté les 5 ans là en janvier donc ça fait 5 ans moi j'ai l'impression que c'est tout début tu vois on est une soixantaine aujourd'hui, on a développé toute une suite d'outils autour de la sécurité de l'employé, moi la façon dont je vois Riot c'est, je le pitch en disant the employee security company nous on va créer tous les produits nécessaires pour sécuriser les employés dans les entreprises et donc c'est pas un problème qu'un jour on lance par exemple je te donne un exemple débile mais un antivirus ou un gestionnaire de mot de passe ou un MDM je ne sais pas, tant que ça concerne la cyber et les employés ça nous intéresse, et donc moi vraiment une fois que j'ai dit ça il y a quand même beaucoup de choses à faire tu vois et on a créé je pense qu'on a une core plateforme qui est tu mets tes employés sur la plateforme nous on arrive à évaluer leur sécurité, et on met en place des méthodes justement pour rectifier quand on détecte des vulnérabilités auprès des employés ça c'est un problème qui est hyper vaste, on est au tout début et même d'un point d'un point de vue commercial, on a 1500 entreprises qui utilisent le produit ce qui est bien mais tu vois la France c'est mais, Je crois que c'est 40 000 entreprises. Juste au niveau français, on n'est rien du tout. Et c'est le seul pays où quasiment on est opérationnel. Donc, il y a juste un boulevard de trucs qu'on peut faire à partir de là. Donc, ouais, moi, je pense qu'on est au tout début de ce qu'on peut faire avec Riot.
Bruno:
Aujourd'hui, donc, c'est uniquement sur des... Ça passe par du phishing. C'est ce que tu appelles...
Benjamin:
C'est une porte d'entrée, en fait. Mais le produit, c'est plus ça. Le phishing, en fait, c'est hyper révélateur. Donc tu vois c'est un truc qu'on peut faire ensemble on va le faire, c'est gratuit, on lance une attaque, toi ça te permet d'évaluer le niveau de tes employés, la vérité c'est que ce test de phishing ce qu'il fait, c'est toi en tant que CTO tu te dis ouais mes employés aussi, effectivement ils sont peut-être pas très bons, et on te dit ok bah vas-y on va trouver le chiffre, et le chiffre c'est ce qu'on appelle le score de vulnérabilité, c'est j'attaque 100-100 personnes dans ta boîte sur les 100 personnes, quel est le pourcentage de tes employés qui. Se fait avoir qui cliquent et qui rentrent leur mot de passe tu vois et ça c'est un chiffre qu'on peut trouver dans l'heure tu vois, avec Riot ça c'est trop bien c'est une bonne porte d'entrée pour un truc qui globalement c'est dans ta roadmap mais c'est jamais tout en haut de la roadmap, on lance la première attaque that's it tu vois c'est tout en haut de la roadmap, parce que globalement c'est un carnage la première attaque c'est 20% de tes employés toi tu pensais que ça allait être 5 ou 4 ou tu te rends compte que même les gens les plus sophistiqués de ta boîte ils se font avoir t'es là genre ah ok bah heureusement que c'était un test parce que si demain les hackers, s'attaquent à nous on est mal et donc là en fait. C'est la porte d'entrée de Riot je dirais on a lancé cette attaque la vérité c'est qu'on a révélé une vulnérabilité sur certains employés mais on peut révéler plein d'autres vulnérabilités sur les employés et donc la façon dont moi j'explique Riot maintenant c'est que toi en tant qu'employé t'as une posture cyber, ta posture cyber ça peut être, est-ce que t'as activé l'authentification forte ? Est-ce que t'es au courant que t'apparaît dans ces brèches de données-là ? Est-ce que sur LinkedIn, tu partages ton nom de famille, ta photo de profil à tout le monde, aux 128 millions d'utilisateurs de ton troisième réseau, de ton troisième niveau de connexion ? Est-ce que sur WhatsApp, tes règles de confidentialité sont très laxistes ? Tu vois, t'as plein de choses qui, dans ta vie cyber, facilitent le travail des hackers. Et nous, notre rôle chez Riot, c'est individuellement en tant qu'employé, te dire hello Bruno voilà ce que tu fais mal et voilà comment tu peux faire mieux.
Bruno:
Parce qu'effectivement quand t'as un rôle un petit peu critique dans une boîte genre un rôle de CFO par exemple faut être beaucoup plus vigilant que pour d'autres rôles où t'as accès à moins de choses on va dire.
Benjamin:
Grave sauf que, moi je pense ce serait un peu dommage d'oublier complètement que parfois les attaques elles passent par l'assistant, tu vois ce matin je lisais une histoire d'un groupe immobilier américain où l'assistant se fait pirater, et on utilise les hackers utilisent l'adresse email de l'assistant pour envoyer une facture de 300 000 balles et voilà et ça escalade quoi tu vois et la facture évidemment elle est payée et ils perdent 300 000 balles bref c'est un exemple mais, effectivement le CFO c'est une cible de choix mais pour moi on devrait pas être, on devrait pas se concentrer sur les whales comme on appelle ça tu vois les gros les six levels pour moi c'est pas c'est un problème plus global au niveau de la boîte parce.
Bruno:
Que comme tu le disais les attaquants eux ils trouvent les failles en fait et donc si tu protèges pas partout.
Benjamin:
Moi ce qui m'intéresse c'est que bientôt ce sera pas les attaquants ce sera un agent et un LLM qui va trouver bah voilà Bruno il travaille avec Mathieu Stéphanie bah je vais me faire passer pour Mathieu Stéphanie Le LLM va faire automatiquement ça. Il va aller piocher la voix de Mathieu Stéphanie qui, globalement, est facile à trouver. Je vais imiter la voix de Mathieu Stéphanie. Je trouve le numéro de Bruno dans une brèche parce qu'évidemment, tu es dans des brèches de données. Ton numéro de téléphone, il a leaké dix fois. Et donc, maintenant, facile à partir de ton email de trouver ton numéro de téléphone. Et peut-être création d'infos contre WhatsApp, achat d'un numéro sur Twilio. Je crée info contre WhatsApp. Je mets la photo de Mathieu Stéphanie. J'ai la voix que j'ai capturée. J'utilise Eleven Labs. Génère un petit message qui va bien pour Bono et le Bono voilà est-ce que tu peux me demander un gros service est-ce que tu n'as pas la liste des clients de la boîte, et ça automatisé pur LLM le LLM va faire les tâches tu vois O3 d'OpenEA il va faire ça il va faire la tâche 1 tâche 2 tâche 3 il va taper dans Eleven Labs taper dans Twilio taper dans.
Bruno:
Il y avait effectivement une histoire il y a c'était quoi il y a un an ou deux ans d'une personne au service je crois comptable d'une boîte à Hong Kong.
Benjamin:
Qui sert un virement de 25 millions c'est ça sur.
Bruno:
25 millions dans un zoom call avec que des deepfakes en fait.
Benjamin:
Ouais ouais bien sûr cette attaque en fait elle est à la fois intéressante et pas intéressante je trouve qu'il y a un gros défaut mais c'est pas un défaut c'est à dire que c'est comme ça que ça fonctionne mais la presse il parle souvent des attaques un peu. Fantasmées tu vois un peu impressionnantes et il parle pas juste des attaques de la PME du coin où ils reçoivent une fausse facture et ils la payent tu vois et bah 6 mois plus tard ils sont morts ils ont payé une facture de 300 000 balles ils ont 350 000 sur le compte bah ils passent pas l'année tu vois et la boîte elle ferme et ça bah t'en entends pas parler dans la presse mais effectivement je pense qu'il y a des milliers d'entreprises chaque année qui ferme à cause de ça, et moi ce qui m'inquiète c'est qu'aujourd'hui ces attaques dont tu parles elles sont c'est crafté c'est-à-dire t'as un humain qui derrière va faire l'OSINT l'open source intelligence où il va aller trouver les infos il va aller trouver, avec qui travaille je sais pas le banquier tout ça c'est terminé ça va être automatisé et qu'est-ce que ça veut dire quand ça va être automatisé et donc c'est pour ça que je trouve ça intéressant cette histoire de posture parce que, il faut ça va compliquer la vie des hackers tu vois si je te donne un exemple très simple mais si Mathieu et Stéphanie ils partagent pas sur LinkedIn sa photo de profil à tout le monde, ben ça va être plus compliqué pour le LM ou d'aller récupérer la photo de profil tu vois et en fait ben une fois de plus les hackers ils sont pragmatiques et les agents encore plus et donc dès que ça se complique, ben ils passent au suivant et t'es moins la cible donc ça ce que je trouve intéressant c'est que en améliorant ta posture t'arrives à être moins la cible, et en fait la civer c'est que ça si je veux te pirater je trouverais toujours une façon de te pirater mais la vérité c'est que. La plupart des hackers, ils n'ont pas envie d'y passer le temps. Ils ont envie d'une cible facile, qu'ils fassent de l'argent facilement.
Bruno:
Ce qui est fou dans ce que tu décris, c'est que en ayant une posture un peu plus sécurisée, tu as non seulement moins de chances d'être la cible, mais tu as aussi moins de chances d'être un vecteur. Parce que si tu prends le cas de Mathieu, si Mathieu se protège lui, il y a moins de chances que son image soit utilisée pour attaquer d'autres personnes. Dans ces cas-là, ce n'est pas la victime. Il est un vecteur d'attaque pour attaquer d'autres personnes.
Benjamin:
Et c'est ce qui est vachement intéressant dans ce qu'on crée dans Riot parce que, moi j'ai l'impression qu'on crée un produit, consumer, c'est-à-dire pour les employés, tu vois, et en tant qu'employé tu dois avoir envie d'utiliser Riot, et il se trouve que c'est ta boîte qui paye pour, mais au final, mon utilisateur de Riot, ça doit être l'employé, tu vois et ça doit être Mathieu Stéphanie et je dois coacher Mathieu pour lui dire exactement, ce que j'attends de lui, individuellement et ensuite côté admin, bah évidemment comme c'est toi qui payes en tant que CTO ou CISO ou RSSI, tu payes Riot tu vois, bah je dois te prouver de l'impact que j'ai eu, sauf que je dois pas te prouver en détail parce que il y a des problèmes de privacy et si je veux bien faire le boulot de protéger la vie de Mathieu, je suis obligé de couvrir aussi sa vie perso, et en parallèle bah pas obligé d'expliquer non plus sur la plateforme ce que j'ai fait sur la vie perso de Mathieu, tu vois si Mathieu il a perdu sur une brèche de données je sais pas moi, Disney.com, bah t'es pas censé être au courant que Mathieu a un compte Disney.com en tant que CISO ou RSSI, tu vois. Donc c'est pour ça que le problème est particulièrement compliqué, parce que pour faire le travail de façon exhaustive, t'es obligé de couvrir la vie perso et la vie pro, mais t'es pas obligé de la... t'es aussi obligé de pas la suivre de la même façon, en tout cas de l'amener de la même façon à RSSI.
Bruno:
Ouais, intéressant. Ma première question, ma question d'origine, quand je te demandais du coup sur l'aspect email... J'ai bifurqué, c'est ça. J'ai même pas répondu la question. Non mais si, si. Mais en fait, t'as répondu sur plein de choses et c'est top, mais donc Donc, tu as évoqué effectivement l'LLM, parce que ma question, elle était surtout, il y a d'autres vecteurs d'attaque qui sont en train d'apparaître, avec effectivement l'émergence des LLM, des chats GPT et consorts. Est-ce que vous commencez déjà à essayer de voir comment est-ce qu'on peut réussir à créer des offres ou des systèmes qui permettent d'éduquer les gens sur qu'est-ce qu'ils injectent dans ces systèmes-là ?
Benjamin:
Ouais, il y a beaucoup d'opinions. Toi, tu en penses quoi ? On a eu ce sujet ce matin, ce qu'on est en train de faire, justement. En parallèle de tout ce que je racontais sur la posture, on a aussi une partie sensibilisation cyber plus large chez Riot. Et notamment, on sort un cours sur les AI tools, donc ChatGPT, etc., pour expliquer aux employés ce qu'ils ont le droit de partager et ce qu'ils n'ont pas le droit de partager. Et donc, on rentre dans des débats de est-ce que si tu partages un fichier Excel avec des données personnelles des clients dans ChatGPT, est-ce que c'est vraiment un problème ? Toi, t'en penses quoi ?
Bruno:
Je pense que c'est un problème compliqué parce que déjà, il faut répondre à la question de à quel point est-ce qu'on fait confiance au CGU de ces différents, services, quels qu'ils soient. On peut parler de DeepSync, on peut parler d'OpenAI.
Benjamin:
Ouais, DeepSync un peu plus.
Bruno:
La question est la même. Non mais pour moi, la question est la même. C'est-à-dire que vraiment, c'est pour moi la question est la même de à quel point est-ce qu'on peut faire confiance à ce qu'ils disent sur le truc. OpenAI, ils disent clairement que tout ce que tu utilises en prompt n'est pas utilisé pour l'entraînement. Donc ça veut dire que c'est pas utilisé pour l'entraînement normalement, parce que donc tu sais t'as ces attaques où t'as des gens qui essayent de faire dire à un modèle ce qu'il a pas le droit de dire prompt injection, exactement et de ressortir des choses qui ont servi d'entraînement, on a vu des morceaux de code de certaines boîtes qui ont réussi à sortir comme ça sur différents modèles donc si on part du principe que ce que tu mets dans le prompt n'est pas utilisé pour l'entraînement bah du coup ce sera pas utilisé comme ça donc le seul risque c'est que, OpenAI se fasse directement attaquer et qu'ils aient un log des prompts et que l'info, elle leak par ce biais-là. Mais du coup, tu as autant de risques qu'OpenAI se fasse attaquer par ce biais-là que un Google Drive ou un je ne sais quoi. Donc, le problème, pour moi, est pas là. Pour moi, la vraie question, c'est est-ce qu'on fait confiance sur ce qu'ils font ? T'en as après qui vont te dire, on l'utilise pour l'entraînement. Si tu l'utilises pour l'entraînement, il faut être vigilant sur la manière dont ça peut ressortir avec des gens qui ont une capacité à extraire du savoir du modèle je.
Benjamin:
Suis arrivé à peu près à la même conclusion ce matin j'ai juste trouvé qu'il y avait une case à cocher dans les réglages d'OpenAI où tu désactives, la possibilité de traiter un modèle futur avec tes données et donc en gros je suis arrivé avec cette conclusion là c'est que ça va être ça le conseil qu'on va donner aux employés, moi je suis, Je crois plutôt qu'OpenAI est plutôt du côté des gentils. Effectivement, si tu confies des données, ils vont savoir qu'ils ne vont pas en faire n'importe quoi, etc. Et je dirais que pour être extra careful, tu décoches cette case et voilà.
Bruno:
Après, on prend le cas de DeepSeek, qui effectivement, sur son interface web, peut partir du principe qu'ils font ce qu'ils veulent de tes informations. Donc à toi de voir si tu fais confiance à DeepSync ou pas, mais après DeepSync tu peux choper le modèle en open source l'installer où tu veux et là du coup t'es safe Ils disent quoi DeepSync.
Benjamin:
Sur l'utilisation de tes données pour le training ?
Bruno:
Alors sur la partie training je pourrais pas le dire de manière certaine, je sais que ce qu'ils annoncent c'est que les données ne vont pas en Chine.
Benjamin:
Ce serait étonnant qu'elles aillent pas en Chine sauf si elles run sur Hugging Face tu vois.
Bruno:
En fait j'ai vu passer justement il y a quelques heures juste avant l'enregistrement j'ai un pote qui m'a envoyé un tiktok d'un américain qui surveille le tout le trafic qui sort de l'application DeepSync avec son truc de surveillance, et qui voit qu'il y a peut-être 5% des paquets qui partent à Pékin bon donc déjà ça ça part en Chine et que le reste ça part sur les serveurs en Angleterre mais, qui appartiennent à Alibaba et en fait effectivement après une fois que c'est là ça peut aller n'importe où et tu le sais pas mais donc ce qu'il dit c'est que ça part pas en Chine mais au-delà de ça est-ce que ça veut dire que c'est forcément safe c'est pas un.
Benjamin:
J'avoue que il y a toujours un rapport de confiance instinctivement j'ai moins confiance dans DeepSync qu'OpenAI, mais t'as toujours peut-être quand tu disais un service en ligne t'es obligé d'accorder ta confiance quelque part.
Bruno:
Après la différence c'est que le modèle de DeepSync tu peux prendre le modèle en open source l'installer dans ton écosystème et.
Benjamin:
Du coup tu étais sûr j'ai vu un gars sur Youtube qui faisait tourner DeepSync sur une machine à 5000$ donc il faut quand même avoir la machine à 5000$ qui traîne ou alors tu le spawns mais tu vois.
Bruno:
En fait en tant qu'entreprise tu peux te prendre du coup le modèle d'hypstique tu le fais tourner dans ton GCP dans ton WS dans ce que.
Benjamin:
Tu veux du coup tu fais confiance à WS GCP on part sur le même problème ou alors tu le fais tourner au bureau et à ce moment là effectivement mais ça complique les choses à un moment, la simplicité oui c'est quand même enfin tu vois il faut être pragmatique est-ce qu'effectivement Open Air il va train ses modèles avec tes données clients je pense pas ouais.
Bruno:
Ça apporte pas beaucoup de valeur en tout cas ce qui est sûr c'est que sur ces sujets de cybersécurité et d'éducation des personnes à ces sujets là t'es sûr de quelque chose de porteur pour un long moment on peut.
Benjamin:
Dire.
Bruno:
C'est un vrai sujet quoi.
Benjamin:
Longtemps je sais pas c'est un problème depuis 25 ans en tout cas les premiers mails de phishing qui faisaient du mal c'était autour des années 2000 donc effectivement ouais et ce qui est intéressant c'est que la menace elle change de forme aussi, parce que je dirais que c'est pas de moins en moins l'email c'est toujours la même, l'email c'est assez stable mais c'est assez tough de des messages sur Instagram, de messages sur LinkedIn, de messages sur Whatsapp, de messages par SMS tu vois.
Bruno:
D'appels.
Benjamin:
Je dirais que le format d'attaque change.
Bruno:
Ou se diversifie le principe reste grosso modo le même derrière quoi et depuis.
Benjamin:
Pas la nuit des temps mais en tout cas depuis, au moins les années 2000 tu vois je vois.
Bruno:
Écoute merci beaucoup Benjamin pour cette discussion, j'aurais deux dernières questions pour toi qui sont les questions rituelles du podcast. La première c'est est-ce qu'il y a un contenu que tu souhaiterais partager avec l'ensemble des auditeurs ?
Benjamin:
Bah du coup moi je lis pas beaucoup, donc je peux pas beaucoup, enfin je lis des BD et je lis des articles tu vois mais un contenu particulier, Moi j'ai adoré Magellan de Stephen Zweig de, je trouve que l'histoire de Magellan elle est fascinante en termes de grands projets tu vois, entrepreneurial le mec se dit bah tout le monde tourne à gauche moi je vais tourner à droite, peut-être que c'est un raccourci, et il part à quatre bateaux et puis tout le monde meurt et franchement je trouve que c'est un super livre, hyper facile à lire je conseillerais celui-là tu l'as lu ?
Bruno:
Non je l'ai pas lu, moi je suis comme toi je lis très très peu le dernier bouquin que j'ai lu c'est Harry Potter donc c'est en 2004 oui c'est ça ça sortit il y a effectivement très très longtemps, dernière question la plus importante de ce podcast est-ce que tu es plutôt espace ou tabulation.
Benjamin:
Alors je suis 200% espace voilà mais j'en fais pas une règle.
Bruno:
Très bien merci beaucoup Benjamin avec.
Benjamin:
Plaisir à bientôt.
Bruno:
Et merci à tous d'avoir suivi cet épisode voilà si vous n'utilisez pas Riot bien évidemment moi je vous recommande de l'utiliser donc j'ai utilisé dans deux contextes et c'est vrai que je vous garantis que les résultats sont bluffants vous pouvez imaginer ce que vous voulez, sachez que, vos équipes, vos collègues se feront avoir beaucoup plus que ce que vous ne pouvez penser, donc vraiment ça vaut le coup de tester et effectivement toute la suite après, de training apporte énormément et c'est quand même assez satisfaisant de voir les gens prendre conscience, apprendre des choses et effectivement améliorer leur comportement, je vous remercie beaucoup aussi de partager ce podcast autour de vous, n'hésitez pas à vous abonner quelle que soit la plateforme sur laquelle vous écoutez ce podcast. Et de partager aussi cet épisode ou tout ce podcast, de mettre un commentaire 5 étoiles sur votre application de podcast préférée. Je vous souhaite une très bonne fin de semaine je vous dis à la semaine prochaine et d'ici là codez bien !
