Cyber Academy · Become the Code Father()
Pas de théorie. Pas de théâtre. Droit au travail.
Par Christophe Mazzola, CISO en exercice et fondateur de Cyber Academy.
Cher praticien,
La cybersécurité n'est pas en panne par manque de référentiels. Elle l'est parce qu'on s'y est enseveli. Et qu'on a ensuite confié le classeur à des gens qui n'ont jamais occupé le siège.
La GRC est devenue un théâtre. Des checklists que personne ne lit. Des politiques copiées sur un modèle. Des audits survécus, jamais utilisés. Et une génération de professionnels certifiés pour parler de sécurité qui n'ont jamais eu à la faire sous pression.
Cyber Academy existe pour corriger cela. Je ne suis pas un formateur à plein temps. Je suis un CISO en exercice qui enseigne. Tout ce que je vous transmets en salle, je l'ai vécu : l'audit qui dérape, le régulateur qui n'a pas accepté ma réponse, le bordel hérité du précédent à 23 h avant un conseil d'administration. Cela ne s'apprend pas sur des slides. Cela s'apprend dans les cicatrices.
La plupart des risques de votre organisation sont déjà connus. Ce qui manque, ce n'est pas un nouveau référentiel. C'est l'exécution et la responsabilité. Nous ne vous formons pas à réussir un audit. Nous vous formons à faire le travail que l'audit était censé vérifier.
« Pas de MFA » est une lacune, pas un risque. Le risque, c'est ce qui arrive au business à cause de cela. Si vous ne savez pas l'écrire en cause → événement → conséquence, vous cataloguez des symptômes. Nous vous apprenons à voir l'exposition, pas des cases à cocher.
ISO 27001, NIS 2, DORA, 42001. Ils servent l'organisation, pas l'inverse. La norme s'adapte à votre contexte. Quiconque vous dit qu'il existe une « bonne » manière d'implémenter ne l'a jamais fait deux fois. Nous vous apprenons à faire travailler le référentiel pour l'organisation qui est en face de vous.
Les vraies leçons ne sont pas dans le syllabus. Elles sont dans l'audit qui a dérapé et dans le conseil qui demande « sommes-nous exposés ? » J'enseigne depuis le siège du praticien, pas depuis l'amphithéâtre. C'est le seul endroit où cette connaissance vit vraiment.
« Impact moyen. » Un 3 sur 5. Une heat map qui devient verte quand la direction s'inquiète. Rien de tout cela ne veut dire quoi que ce soit si deux personnes dans la salle le définissent différemment. Nous vous formons à construire des registres qui produisent des décisions, pas des couleurs.
Votre contexte change chaque trimestre : nouveau cloud, nouveau fournisseur, nouvelle régulation, nouvel outil d'IA. Un registre mis à jour une fois par an est déjà faux en mars. La bonne gouvernance respire. La mauvaise se fossilise. Nous vous apprenons à construire des systèmes qui restent vivants.
Réussir l'examen veut dire que vous savez en parler. Je veux que vous entriez dans le bordel lundi matin et que vous meniez. C'est pourquoi je plafonne chaque cohorte à six et je garantis chaque place avec Certifié ou Remboursé.
Je ne vends pas de la peur. Je ne vends pas de badges. Je ne vous remets pas un certificat. Je vous remets les clés.
Si vous voulez de la théorie, il existe des endroits moins chers pour la trouver. Si vous voulez un formateur qui s'est vraiment assis dans le siège, qui appelle les choses par leur nom, et qui préfère vous montrer la cicatrice plutôt que vous vendre la peur.
Joyeux Noël. Vous êtes au bon endroit.
Become the Code Father().
Christophe Mazzola
CISO en exercice et Fondateur, Cyber Academy