ESPRIT CRITIQUE
Remettre en question les approches établies. Anticiper les évolutions long terme, pas juste les problèmes immédiats.
Définition et contexte
L’esprit critique, c’est remettre en question au lieu d’accepter. C’est demander « pourquoi on fait ça comme ça ? » au lieu de suivre aveuglément. C’est voir au-delà du présent et demander « et si les choses changeaient ? »
En entreprise, c’est hyper valorisé chez les consultants et les architectes. Les managers qui veulent juste exécuter une roadmap donnée, ils n’aiment pas l’esprit critique. Mais les bons leaders ? Ils adorent les gens qui remettent en question, qui suggèrent une meilleure approche.
En cybersécurité surtout, l’esprit critique c’est fondamental. Tu ne peux pas juste appliquer une checklist de sécurité. Faut questionner l’architecture, anticiper les menaces futures, voir les failles que personne d’autre ne voit. C’est pour ça que j’ai beaucoup travaillé là-dessus chez Sopra.
Éléments de preuve : Trois anecdotes
Le post-quantique chez Sopra Steria
Chez Sopra, j’analysais les risques d’un client stratégique. On identifiait des risques classiques : HTTP non chiffré, MFA manquante, etc. Pas mal, mais c’était du classique.
Et là, j’ai eu une pensée : « Leurs données, elles sont chiffrées avec RSA-2048 aujourd’hui. Mais dans 10 à 15 ans, quand les quantum computers arrivent, ça va être du papier mâché. »
Le client n’en parlait pas. Personne n’en parlait vraiment. Mais au lieu de juste cocher les risques existants, j’ai levé la main et j’ai dit : « On fait quoi du chiffrement post-quantique ? »
Le client (grosse entreprise) a compris immédiatement l’enjeu. Du coup, j’ai construit une roadmap complète vers le chiffrement post-quantique (4 phases, de 2026 à 2028+).
Résultat : Au lieu de juste livrer un audit, j’ai livré une stratégie à long terme que le client n’attendait pas mais dont il avait vraiment besoin. [Lire la réalisation complète : Sopra Steria]
Le parsing des logs Splunk au HomeLab
Avec Splunk, j’aurais pu juste suivre un tutoriel : « connecte Splunk, ajoute des agents, basta ». Et ça aurait marché… un peu.
Mais j’ai posé la question : « Pourquoi les logs arrivent-elles brutes ? Est-ce que c’est vraiment utile pour détecter des anomalies ? »
J’ai remis en question l’approche entière. Au lieu de juste collecter les logs, j’ai questionné comment les parser correctement, comment les normaliser, comment les indexer pour vraiment détecter des patterns suspects.
Ça m’a forcé à apprendre les regex, à comprendre comment Splunk interprète les données, à créer des règles d’alerte intelligentes au lieu de juste « si X erreurs en Y temps, alerte ».
Résultat : Un SIEM que je comprenais vraiment au lieu d’une belle interface vide. [Lire la réalisation complète : HomeLab]
La vulnérabilité de concurrence à la BDD (Sopra Steria)
Chez Sopra, j’aurais pu juste faire l’analyse de risque classique : « BDD mal configurée, niveau de risque moyen, voici le plan d’action standard. »
Mais j’ai eu l’esprit critique de creuser la doc technique. Pourquoi ? Parce que si une faille existe, la doc du vendor parle souvent de comment l’éviter.
Et j’ai découvert : une vulnérabilité de concurrence (deux processus simultanés qui peuvent créer des états incohérents). La solution ? Elle était déjà dans la doc, mais le client ne la connaissait pas.
Au lieu de juste signaler le risque, j’ai trouvé la solution technique (versioning des données avec timestamp et hash).
Résultat : Un risque identifié ET une solution concrète proposée. Pas juste du diagnostic, une vraie valeur ajoutée. [Lire la réalisation complète : Sopra Steria]
Mon autocritique : Où j’en suis vraiment
Je me considère à un niveau confirmé à expert sur cette compétence. J’ai appris à pas accepter la première réponse, à creuser les pourquoi, à voir au-delà du présent.
Ma marge de progression : Je suis bon pour critiquer les détails (cette config est inefficace, cette approche est mauvaise). Je suis moins bon pour critiquer les systèmes entiers (cette entreprise a une culture d’innovation cassée, cette stratégie est obsolète). Ça, c’est un level plus haut qui demande plus de recul.
Contextualisation : L’esprit critique fonctionne pas pareil partout. Dans une startup qui veut innover ? Elle adore. Dans une grande boîte gouvernementale qui veut juste respecter le processus ? Ils vont te dire « oui, bonne remarque, mais on ne change pas. » C’est frustrant, mais c’est comme ça.
Vitesse d’acquisition : J’ai acquis ça en pratiquant beaucoup et en écoutant des gens plus expérimentés que moi. Au départ, je questionnais par naïveté (« pourquoi on fait ça ? »). Maintenant, je fais ça stratégiquement (je sais où chercher).
Mon conseil : Avec ce que je sais maintenant, je dirais : pose les questions qu’on ne pose pas. Pas pour faire genre, mais parce que souvent les vraies problèmes sont ceux qu’on ignore. Et sois prêt à avoir tort : l’esprit critique sans humilité, c’est juste de l’insolence.
Mon évolution : Où je veux aller
À moyen terme, je veux développer une vision systémique plus forte. Passer de « cette partie du code est mauvaise » à « cette architecture entière a un problème de conception ». C’est pour ça que je vise des postes d’architecte et d’audit : c’est le level où l’esprit critique vraiment compte.
Formations en cours : Pas de formation formelle. Mais je lis beaucoup sur la sécurité émergente (post-quantique, zéro-trust, etc.) pour rester à jour sur les vraies menaces.
Réalisations rattachées
- Sopra Steria (post-quantique, vulnérabilité BDD)
- HomeLab (Splunk parsing)