Comment la sécurité peut-elle accélérer la performance sportive et du business ?
87 % des organisations ont subi au moins deux violations de données liées à l’identité (Palo Alto Networks).
Lors d’un dîner VIP organisé par Agora Managers Groupe, Didier Dinart, double champion olympique et ancien sélectionneur de l’équipe de France de handball, et Aymeric Durand, Manager Solution Sales Specialists chez CyberArk, illustrent en parallèle, comment la sécurité accélère, et la performance sportive et business !
Élu meilleur défenseur du monde, Didier Dinart rappelle qu’une défense structurée, fondée sur la discipline et la solidarité, crée les conditions nécessaires à l’efficacité offensive et à la victoire.
De son côté, Aymeric Durand démontre qu’en entreprise, le modèle Zero Trust (sécurisation des accès et des identités), associée à une gestion dynamique des privilèges, constitue un levier clé : elle renforce la confiance des collaborateurs et des clients, tout en favorisant l’agilité des équipes et en accélérant la productivité globale.
CyberArk, désormais intégré à Palo Alto Networks, est spécialisé dans la sécurité des identités et propose une plateforme de sécurité des identités de nouvelle génération, s’appuyant sur l’IA pour sécuriser et gérer les accès en temps réel.
Légende du handball, Didier Dinart compte à son palmarès deux titres olympiques, trois titres de champion du monde, quatre titres de champion d’Europe, quatre Ligues des champions et douze titres nationaux. Champion du monde à la fois comme joueur et comme sélectionneur de l’équipe de France, il a également été élu meilleur entraîneur du monde en 2016 et 2018. Il est aujourd’hui sélectionneur de l’équipe nationale du Monténégro.
ENTRETIEN
Défense et cybersécurité
Jérôme Papin :
Avant d’entrer dans le vif du sujet, posons le cadre : dans le sport comme dans la cybersécurité, la performance commence par une défense solide. Sécurité informatique, défense, contre-attaque… c’est finalement la logique que met en œuvre CyberArk.
Aymeric Durand :
Exactement. L’idée de CyberArk, c’est de fournir une solution qui permet de sécuriser toutes les identités et leurs privilèges, pour sécuriser les accès aux systèmes d’information et faire en sorte qu’on puisse défendre la ligne et empêcher les attaques.
Jérôme Papin :
Didier Dinart, élu meilleur défenseur du monde : quel est un bon système défensif dans ton sport ? Et ensuite, on fera le parallèle avec toi, Aymeric.
Système défensif
Didier Dinart : Un bon système défensif, c’est l’innovation. Il faut être innovant, il faut surtout surprendre son adversaire.
Quand j’étais joueur – c’est un ressenti du terrain – mon entraîneur en Espagne me disait que j’avais à disposition un triangle défensif et que j’étais responsable de la défense.
Donc, quand ça n’allait pas, c’était Didier le responsable. Je savais plus ou moins si j’avais bien fait mon travail, et je savais en avance qui allait se faire engueuler par rapport au système mis en place.
Malgré cela, je savais que le chef d’orchestre restait l’entraîneur et qu’on était tous responsables de notre secteur. On était six sur le terrain.
Donc un bon système défensif, c’est l’innovation et le respect des consignes qui feront la performance.
Parallèle cybersécurité
Aymeric Durand : Nous, dans la gestion des identités, l’idée est que chaque personne ait les bons droits, juste les bons droits, pour qu’elle soit dans sa zone de confort, faire ce qu’elle a à faire, mais qu’elle n’ait pas trop de droits. Parce que si quelqu’un entre dans sa zone et prend possession de ses droits, ça pose problème.
Didier Dinart : Oui, ça se rejoint. En handball, on joue à sept : un gardien, qui est pour moi dans un sport individuel, et six joueurs devant.
En tant qu’entraîneur, avant un match, je donne deux consignes à chacun, maximum trois par poste. Donc il y a une douzaine de consignes au total. Mais chaque joueur n’en a que deux ou trois. Et donc, c’est l’addition de ces consignes qui donne la performance ou le résultat.
C’est cette autogestion globale qui permet aux joueurs de se réguler pendant le match. Un ailier peut aller dire à un joueur central : “vous ne faites pas le travail au milieu”, parce qu’on connaît tous le projet global.
🔄 Adaptation des droits
Aymeric Durand : Dans notre domaine, on retrouve ce même schéma et ce parallèle. Chaque identité informatique doit avoir des privilèges, mais ils ne peuvent pas être figés. Car à un moment donné, j’ai besoin de faire des actions à privilèges et à d’autres moments non. Je dois pouvoir adapter ma zone d’action.
Jérôme Papin : Pourquoi protéger aujourd’hui les identités humaines et machines est devenu central ?
Aymeric Durand : Aujourd’hui, l’identité est le point d’entrée de tout système d’information. Une attaque passe toujours par la prise de contrôle d’une identité. Donc c’est le socle de toute sécurité.
Tout risque d’attaque finira par une identité qui a été volée.
Le principe est de se dire que je dois avoir une ligne de défense qui me permet de faire en sorte que mes buts resteront inviolables et que tout défenseur est bien protégé.
Exemple concret
Jérôme Papin : La Fédération française de rugby a reconnu avoir subi une cyberattaque. Toutes les personnes qui ont une licence se sont donc fait voler ses informations. On est là dans ce que fait CyberArk, soit aider, accompagner, protéger, prévenir en amont plutôt qu’en aval ?
Aymeric Durand : Oui, c’est empêcher un attaquant de trouver une porte d’entrée et accéder aux données et les divulguer.
Didier Dinart :
Il faut aussi avoir plusieurs schémas, s’adapter et être innovant. Quand j’étais au BM Ciudad Real (quatre Ligues des champions, onze championnats nationaux et dix-huit coupes nationales), on a dominé l’Europe parce qu’on a été innovant. Mais on a quand même dû s’adapter dans le temps avec un deuxième système qui n’était pas étagé.
C’est comme en équipe de France. Après avoir gagné l’or aux JO de Pékin, on avait une équipe vieillissante aux Jeux olympiques de Londres 2012. Donc il a fallu s’adapter pour gagner à nouveau.
Si on était resté sur le même système, c’était l’échec assuré. Il faut avoir des pare-feux et être malléable et pragmatique pour s’adapter aux attaques.
Gestion des risques
Jérôme Papin : en cybersécurité, où se situent véritablement les plus gros risques ?
Aymeric Durand :
Les plus gros risques concernent les identités à privilèges, ou encore les identités machines.
En fait, l’idée est de comprendre qu’à partir du moment où une identité a été déjouée ou du moins détournée par un attaquant, le but du jeu, c’est de faire en sorte qu’il puisse rester dans une zone contrainte.
Si on a des identités qui ont trop de privilèges, trop de pouvoir, à partir du moment où cette identité a été volée, l’attaquant peut commencer à faire ce qu’on appelle les mouvements latéraux, des mouvements horizontaux et commencer à aller attaquer le patrimoine de l’entreprise, que ce soit empêcher l’entreprise de fonctionner, que ce soit voler des données pour faire du mal à l’entreprise.
Didier Dinart : Et vous avez certainement du prévisible. Par exemple, nous, on va identifier un point fort chez l’adversaire et dire : “là, c’est le danger”. Donc on va chercher à le neutraliser, à le sortir du jeu.
Toute l’organisation collective va s’adapter autour de cette menace identifiée, justement parce qu’elle est prévisible et particulièrement dangereuse.
Aymeric Durand : Exactement. Dans un système d’information, on sait que les utilisateurs les plus ciblés sont généralement les administrateurs, parce que ce sont eux qui disposent du plus grand nombre de privilèges et qui gèrent la configuration globale.
On concentre donc naturellement un maximum de protection sur ces profils. Mais en réalité, à un instant T, n’importe quel utilisateur peut devenir une source de risque. C’est pourquoi il est essentiel de sécuriser l’ensemble des identités.
C’est aussi pour cela qu’on parle aujourd’hui d’identités humaines et non humaines. Avec l’extension des systèmes d’information, notamment vers le cloud, les interactions entre machines se multiplient, et ces échanges reposent eux aussi sur des identités.
Ces identités doivent être protégées au même titre que celles des utilisateurs.
L’enjeu est donc de savoir gérer les exceptions : apporter le bon niveau de sécurité à chaque identité, sans jamais dégrader le fonctionnement ni la performance globale
Discipline collective
Jérôme Papin : Didier, tu es actuellement entraîneur de la sélection du Monténégro, en course pour les qualifications pour les prochains championnats du monde. Comment gère-t-on un joueur qui va sortir du cadre ?
Didier Dinart :
Quand on a un système préétabli, bien défini, le plus important reste le projet global. À partir du moment où chacun reçoit un secteur d’action, il doit le respecter. Et ça implique que tout le monde est responsable.
Du coup, le collectif se régule de lui-même. Si quelqu’un ne fait pas son travail, ce n’est pas forcément l’entraîneur qui va intervenir : ce sont les joueurs entre eux qui vont s’en rendre compte et se corriger, même si certains peuvent avoir un ego plus fort.
Comme dans la sécurité, il n’y a pas de place pour l’erreur. En défense, on laisse un champ d’expression, mais à l’intérieur d’un cadre. Les joueurs peuvent s’exprimer, mais ils doivent respecter les consignes.
Si ce cadre n’est pas respecté, il n’y a pas de performance.
On dit souvent que la défense fait gagner des titres, et ce n’est pas un hasard : c’est ce socle défensif qui donne ensuite de la solidité et de la confiance à l’attaque.
Aymeric Durand : Le but, c’est d’être capable de trouver le bon ajustement au bon moment. Tu évoquais cette anecdote où tu avais fait entrer un gaucher au dernier moment pour perturber la défense. L’idée est la même : s’adapter en temps réel pour créer un avantage.
En cybersécurité, on pourrait penser que toutes les identités sont identiques et que, selon mon rôle, j’aurai toujours les mêmes privilèges. Mais en réalité, ce n’est pas le cas. Il faut être capable de proposer une solution qui s’adapte à chaque personne, à ses fonctions, et même au contexte précis, à un instant donné.
Jérôme Papin :
Peut-on sécuriser sans bloquer l’envie, la performance et l’imagination ?
Didier Dinart : Ce n’est pas parce qu’il y a un cadre qu’on ne prend pas de plaisir. Le cadre amène de la cohésion. On doit tous comprendre qu’on fait partie d’une même famille. Et je pense qu’en entreprise, c’est exactement pareil : on peut ne pas s’entendre avec son voisin, ne pas être les meilleurs amis du monde.
En revanche, ce qui fait la différence, c’est la performance collective.
Moi, j’ai joué avec certaines personnes avec qui je ne serais pas parti en vacances, mais on avait tous bien compris une chose : l’objectif, c’était de gagner des médailles, donc de sécuriser.
Aymeric Durand : Didier, si je reprends ce que tu dis : chaque personne a deux consignes, et le collectif respecte l’ensemble.
Mais comment on trouve l’équilibre entre respect des règles et spontanéité ? Parce que c’est aussi la spontanéité qui fait la différence dans un match.
Didier Dinart :
En fait, c’est le projet initial, global, qui crée la performance. Si je donne deux consignes, ça peut devenir trois, voire quatre. Mais si on ne pose pas la base, le cadre, ça devient folklorique. Ensuite, les joueurs s’approprient ce cadre avec de l’initiative pour exceller et c’est ça qui est plaisant.
Pour le coach, l’idée est de se dire : ils ont compris, on va pouvoir enrichir progressivement. On s’adapte aux adversaires : leur taille, leur vitesse, leurs caractéristiques.
Les joueurs assimilent les bases, puis leur palette s’élargit progressivement. Mais on reste toujours sur la genèse des choses. Le handball évolue sur des détails, mais la structure globale reste la même : du un contre un, du deux contre deux. Ce sont les exercices qui évoluent pour améliorer la performance.
Aymeric Durand : En gestion des identités, c’est la même logique : à un instant T, une personne peut avoir besoin d’un privilège. Donc il faut avoir une solution qui permette d’adresser ce qu’on appelle le just in time : donner le bon droit, au bon moment.
Mais sans jamais perdre de vue que je dois avoir ce qu’on appelle l’observabilité, c’est-à-dire d’avoir une traçabilité de qui a fait quoi.
Donc on s’adapte dynamiquement tout en gardant le contrôle.
Culture du feedback
Didier Dinart : Pendant les séances vidéo après match, on regardait toutes les actions, les initiatives, et les écarts par rapport au système défini. Moi, je savais les erreurs que j’avais faites et j’attendais mon tour pour me faire engueuler. Mais on regardait tout : le rôle de chacun, même si ça ne nous concernait pas directement.
Parce qu’on est une équipe : on ne peut pas dire “ça ne me concerne pas”.
Jérôme Papin : La confiance numérique est-elle un levier business, un avantage compétitif
Aymeric Durand : Bien évidemment, et cela doit passer par la confiance des employés : se savoir protégés, évoluer dans un cadre de travail rassurant.
C’est tout aussi essentiel pour une entreprise de construire une véritable confiance numérique avec ses partenaires et ses sous-traitants, afin de s’assurer que l’ensemble de la chaîne est sécurisée.
C’est aussi essentiel vis-à-vis des clients : leur offrir un cadre de confiance, pour instaurer une relation commerciale solide et durable.
Jérôme Papin : Quand une défense est solide, qu’est-ce que ça change pour l’attaque ?
Didier Dinart :
Quand la défense est solide, on ressent de la sérénité. Sinon, on tombe dans un jeu de ping-pong : qui marquera le plus de buts. Mais quand la défense tient, on voit l’adversaire s’épuiser. Même si on ne marque pas, on garde un crédit offensif.
Je pense par exemple à la finale 2009 en Croatie, chez eux. Le score était gelé à 18-18. Et la Croatie a craqué en premier et on a fait la différence. Bon, on avait aussi Daniel Narcisse qui met le but quand il le faut.
On gagne finalement 24-19. On a su verrouiller le match grâce à la défense et un gardien solide comme Thierry Omeyer.
Petite anecdote : Je me suis blessé avant la finale, avec une déchirure et je savais que j’allais aggraver la blessure en jouant. Mais je savais que l’équipe avait besoin de moi. Quand je suis revenu en club avec une grosse déchirure, mon entraîneur m’en a voulu… Puis il m’a dit plus tard qu’il aurait fait pareil. Parce que l’intérêt collectif primait à ce moment-là.
Sans ce sacrifice, on n’aurait peut-être pas gagné. La meilleure attaque, c’est la défense.
Sécurité = accélérateur
Jérôme Papin : Une entreprise sécurisée peut-elle devenir plus rapide et performante ?
Aymeric Durand : Oui. C’est comme l’exemple que donne Didier : investir dans la sécurité, c’est un coût initial, mais derrière, on gagne en performance.
On donne les bons privilèges, au bon moment, sans excès. L’objectif : réduire la surface d’attaque sans nuire à la performance.
Jérôme Papin : Quelle est la règle d’or d’une défense performante ?
Didier Dinart :
Au niveau sociétal et d’une manière générale, la règle d’or, c’est la solidarité. C’est accepter de faire le pas de plus pour l’autre. On n’est pas obligés d’être amis, mais on doit être unis pour performer.
Cela demande aussi de mettre son ego de côté, joueur comme manager. C’est l’intérêt général et la solidarité qui priment. Et c’est le rôle de l’entraîneur de faire comprendre ça à son collectif.
Jérôme Papin : Quelle est la priorité pour une entreprise en cybersécurité ?
Aymeric Durand :
La priorité pour une entreprise aujourd’hui, c’est la sécurité des identités. Parce que l’identité est le point d’accès à tout système d’information.
Et donc le point de départ de toute attaque. Il faut sécuriser toutes les identités, humaines et non humaines.
Interview réalisée par Jérôme Papin, Directeur des rédactions Agora Média.
