Le nouveau PDG d’Avast, Ondrej Vlcek, se projette vers le futur

Jeff Elder 30 juin 2019

Il y a 20 ans, il faisait ses débuts dans la cybersécurité et, à présent, il déclare : « Les choses changent dans le paysage global d’Internet ».

Aujourd'hui, Ondrej Vlcek, ancien président de la division Consumer Business de la société, assume officiellement le rôle de directeur général chez Avast. Il s'est entretenu avec le blog Avast pour discuter de ses 20 années de cybersécurité et de sa vision de l'avenir.


Quelles sont vos priorités en tant que nouveau PDG d’Avast ?

Les PDG qui réussissent se concentrent sur trois choses : Définir la stratégie, le but, la vision ; travailler en interne avec l’équipe dirigeante pour créer la culture de l’entreprise et rendre l’environnement épanouissant, mais aussi travailler en externe avec les investisseurs et la presse. J’ai beaucoup travaillé sur les deux premiers éléments par le passé, mais un peu moins sur le troisième. Je dois me rendre plus visible en externe. Je pense que ces trois points sont d’égale importance.

Vous êtes un PDG un peu inhabituel car vous avez commencé dans ce secteur en tant que stagiaire. Vous pouvez coder dans différents langages. Vous avez travaillé sur différentes plateformes mobiles. Pensez-vous que cela vous donne une bonne vision du secteur de la cybersécurité ?

Je pense que beaucoup de sociétés technologiques recherchent des cadres supérieurs qui sont des ingénieurs de formation. Cela a beaucoup de sens car le secteur technologique se concentre davantage sur l’innovation et la technologie au cœur du produit. Si vous regardez Microsoft et Google, ce sont deux énormes sociétés dont les PDG sont ingénieurs de formation. Mais ce ne sont pas les seules. J'espère que je serai en mesure d'apporter autant qu’eux, grâce à mon expérience. Le fait d'avoir 20 ans d'expérience dans ce secteur, en ayant commencé au niveau le plus bas, me donne une assez bonne idée de ce que nous devons construire.

Vous avez déclaré que le prochain grand défi pour le secteur de la cybersécurité consistera à sécuriser les objets connectés, aussi appelé l'Internet des objets (IoT). Les entreprises et les consommateurs ont-ils besoin d'avoir une vue d'ensemble ? Comment ?

Je vois l’IoT comme une sorte de bombe à retardement, surtout du côté des consommateurs. « Les choses changent dans le paysage d’Internet » La majorité des appareils connectés à Internet ne sont ni des ordinateurs ni des téléphones portables. Ce sont des appareils intelligents, allant de la cafetière à la télévision intelligente. Et même si les gens ne les considèrent pas vraiment comme des ordinateurs, ils en sont bel et bien, et leur architecture est souvent déficiente quand il s'agit de sécurité. Leurs systèmes d'exploitation sont vulnérables, leur code est ancien, leurs protocoles de communication non chiffrés et toutes sortes d'autres défaillances que l’on retrouvait dans les ordinateurs portables et autres ordinateurs à leur début, il y a 10 ou 20 ans. C'est un problème colossal pour notre secteur car cela crée une énorme surface d’attaque vulnérable pour les malfaiteurs. Ils peuvent attaquer ces appareils plus facilement que les ordinateurs ou les téléphones portables. Nous le constaterons de plus en plus à mesure que les PC deviendront plus sûrs et que les dispositifs IoT vulnérables seront plus répandus.

« Les choses changent dans le paysage d’Internet : La majorité des appareils connectés à Internet ne sont ni des ordinateurs ni des téléphones portables. »

Ce que nous construisons depuis trois ans chez Avast, c’est une solution spécialement conçue pour aider les gens à y faire face. Il s'agit d'un module de sécurité basé sur le réseau et sur ce qui s'est passé du côté de l'entreprise. Nous avons découvert que les entreprises ont besoin d'une protection non seulement sur les terminaux comme les ordinateurs portables et les téléphones mobiles, mais aussi au niveau du réseau pour voir ce qu’il se passe dans toute l'entreprise. Nous appliquons la même approche au monde des consommateurs : la sécurité au niveau du réseau pour protéger tout ce qui se trouve en ligne dans leur maison, des ordinateurs et aux dispositifs IoT.

Le défi est de savoir comment faire pour que cela soit suffisamment pratique pour que les gens l'utilisent réellement. Du côté de l'entreprise, il y a peut-être toute une équipe de professionnels de l'informatique, mais du côté des consommateurs se trouvent des personnes lambda qui essaient simplement d'utiliser leurs appareils « intelligents ». C'est pourquoi un module de réseau grand public doit avant tout être conçu pour être convivial.

Les gens sacrifieront toujours la sécurité pour plus de facilité d’utilisation. Si ce n'est pas assez pratique, si ce n'est pas facile à utiliser, si cela perturbe leur vie quotidienne, ils s'en débarrasseront. Notre vision est que ce produit devrait être assez autonome pour qu’une fois installé, il fonctionne tout seul, en quelque sorte. Si vous le souhaitez, vous pouvez le consulter, vérifier les statistiques intéressantes de votre réseau, le configurer à votre guise, mais ce n’est pas une obligation.

En tant que directeur d’une entreprise mondiale de cybersécurité, croyez-vous que la coopération internationale entre les entreprises, les nations et les forces de l’ordre soit importante pour endiguer les menaces importantes, telles que le ransomware WannaCry ?

Du point de vue de la gestion d'équipes mondiales et de la présence de personnes dans divers pays, je considère que la coopération avec les gouvernements est encore très fragmentée. Par exemple, la plupart des pays de l'Union européenne ont leur propre programme, leurs propres autorités à l'échelle nationale. Certains services chargés de l'application et du respect de la loi, comme le FBI et Europol, ont certains objectifs en commun en matière de cybersécurité, et ces objectifs semblent figurer de plus en plus haut sur leur liste de priorités. Mais la coopération entre ces autorités et le secteur de la cybersécurité peut encore être considérablement améliorée.

Un nouveau rapport d’Avast Business montre que de nombreuses personnes évitent les mises à jour de sécurité car les avertissements qui suscitent la peur ne sont pas efficaces. Les gens se sont habitués aux mises en garde effrayantes contre ce qui pourrait arriver s'ils ne faisaient pas ceci ou cela. Les experts en cybersécurité doivent-ils mieux expliquer les menaces et susciter l’intérêt des gens ?

ondrejsecondpic

Je dirais que c'est probablement le cas du côté des consommateurs. C'est différent pour les entreprises où, comme l'assurance, la cybersécurité est devenue une véritable nécessité à laquelle tout le monde doit faire face d'une manière ou d'une autre car le risque pour les affaires est important. Du côté des consommateurs, beaucoup pensent que comme cela ne leur a pas encore posé de problème, ils sont très probablement à l’abri. C'est une attitude dangereuse, c’est comme si vous n’entreteniez pas votre voiture car elle n’est pas encore tombée en panne. Alors pourquoi changer l'huile ou vérifier les pneus ? Si on se demande pourquoi les gens préfèrent ne pas s'en occuper s'ils n'y sont pas obligés, c'est en partie parce que le secteur de la cybersécurité n'a pas expliqué le sens aux consommateurs. Des propos alarmistes ont été tenus, mais cela n'est pas utile. Les gens veulent des informations pertinentes et si on arrive à le leur expliquer avec un peu plus de motivation, tant mieux.

Vous avez déclaré que « la sécurité informatique ne devrait pas être un luxe que seuls quelques-uns peuvent se permettre ». L'esprit dans lequel Avast a été fondée, la protection des citoyens, est-il toujours d'actualité ?

Les valeurs sont vraiment notre étoile polaire et nous pouvons considérer qu’elles ne changeront jamais. Très peu de choses dans ce monde de cybersécurité sont constantes. Les stratégies changent. Les tactiques changent tout le temps. Le paysage concurrentiel peut changer. Il nous faut donc avoir quelque chose qui nous guide. Je pense que nos valeurs sont extrêmement inspirantes, pour moi et pour toute l'entreprise. Nous avons beaucoup de chance d'être dans ce secteur, où notre travail visant à assurer la sécurité des gens partout dans le monde est si passionnant.

Protéger les gens est vraiment notre mission. L'intégrité, la transparence et l'ouverture sont parmi les valeurs dont je parlerai bientôt en tant que PDG.

Imaginez que 10 années aient passé. Comment voyez-vous l’avenir d’Avast ? Comment voyez-vous l’avenir du secteur de la cybersécurité ?

Pour l’instant, Avast détient environ 15 % du marché de la cybersécurité grand public. Je veux que notre part de marché soit bien plus importante. Nous gagnons du terrain sur nos concurrents, et c'est une source d'inspiration. Nous devons continuer sur cette lancée.

Mais plus important encore, à mesure que l’IoT évolue, de nombreuses opportunités importantes vont s’offrir à nous. Nous devons saisir ces opportunités sur les plans culturel et opérationnel. Nous ne voulons pas simplement prendre le train en marche. N'importe quelle entreprise peut le faire, mais ce n'est pas comme ça qu'on grandit et qu'on réussit de façon exponentielle. Nous devons voir les opportunités venir et être prêts à les saisir.

Il est clair que l'une de ces opportunités majeures qui changent la donne, protéger les réseaux des consommateurs et pas seulement leurs appareils, est déjà là. Mais quand les consommateurs en deviendront-ils vraiment conscients ? Je ne suis pas sûr que nous le sachions pour le moment. Faudra-t-il un gros piratage ou un événement catastrophique pour ça ? J’espère que non. Nous devons mieux expliquer les risques aux gens.

Un de nos chercheurs a piraté une cafetière « intelligente » de nombreuses façons différentes. Le problème ne se limite pas au fait qu’un pirate puisse changer votre espresso en capuccino. On peut survivre à ça, quelle que soit la manière dont vous aimez prendre votre café. Le problème, c'est qu'un appareil que vous utilisez tous les jours, qui fait partie intégrante de votre vie, pourrait devenir une passerelle vers l'ensemble de votre réseau et permettre aux pirates de récupérer toutes vos données en ligne. Expliquer ça demande beaucoup de pédagogie.

Vous travaillez dans la cybersécurité depuis votre adolescence. À quoi ressemblait le secteur de la cybersécurité et comment étiez-vous à l'époque ?

J'avais environ 12 ans quand j'ai commencé à coder. C'était une chose vraiment bizarre à l'époque. De nos jours, beaucoup d'enfants apprennent à coder, c'est une activité perçue comme cool et c'est en même temps très éducatif. Mes parents n'avaient aucune idée de ce que je faisais. Ils savaient juste que j’écrivais des bouts de code dans ma chambre. Je ne pense pas qu'ils savaient que c'était du code informatique, ils savaient juste ce n’était pas de la littérature. La sécurité a été la première application dans mon éducation informatique car c'était pour moi l'opportunité la plus intéressante pour trouver un job.

À cette époque-là, la cybersécurité était un domaine brutal car le piratage était d’une facilité déconcertante. Rien n’était sécurisé. Les systèmes informatiques estimaient qu’il n’y avait que des amis. Le piratage était le moyen de montrer que vous pouviez faire mieux que vos copains.

Vos enfants ont-ils des smartphones ? En tant que père, quelle est votre principale inquiétude concernant l’accès à Internet de vos enfants ?

Mes enfants ont effectivement des smartphones. Mon cadet a 9 ans et les autres en ont aussi. Je pense que les smartphones sont de formidables outils pour les enfants à bien des égards, mais ils présentent aussi des risques. C'est excellent pour eux d'avoir accès à l'information, de pouvoir communiquer. Mais le contenu auquel ils ont accès peut ne pas être adapté aux enfants. Sur YouTube, vous pouvez regarder une vidéo éducative et être à un ou deux clics de quelque chose de terrible. J'ai toujours essayé de leur parler des dangers d'Internet. J'espère qu'ils savent qu'ils peuvent toujours venir me demander si les choses qu'ils consultent ne posent pas de problème. Mon aîné à 14 ans et ce n’est pas toujours facile. À cet âge-là, les enfants ne veulent pas toujours venir nous voir. Mais après nos discussions, je crois qu'il est plus rationnel et conscient de ce qu'il fait en ligne. Vous devez passer beaucoup de temps avec vos enfants en ligne et leur donner une idée de ce qu’il se passe, mais vous devez aussi leur donner une certaine liberté. Mieux vaut préparer que protéger.

Vous appréciez les grands vins italiens. Si vous pouviez partager une bouteille de vin avec deux personnages historiques, vivants ou morts, avec qui aimeriez-vous la partager ?

Mon héros préféré est Churchill, et boire une bouteille avec Sir Winston serait intéressant. Il serait peut-être plus intéressé par le whisky ou autre chose, mais je pense quand même qu'il boirait cette bouteille de vin avec plaisir. Ce qui me fascine chez lui, c’est qu’il avait toutes les probabilités contre lui. Personne d'autre que lui n'aurait pensé à adopter certaines des stratégies contre-intuitives qu'il a adoptées pendant la Seconde Guerre mondiale. Mais il était un leader assez bon pour stimuler tout le monde et rallier les gens à son point de vue. C'est un exemple de quelqu'un qui a fait preuve d'un grand leadership pendant une période très difficile.

« Mon héros préféré est Churchill, et boire une bouteille avec Sir Winston serait intéressant. »

Le second est Sting. Il fait du vin en Italie, en Toscane, avec sa femme, alors qu'il arrête progressivement sa carrière musicale. D'après ce que j'ai compris, il joue de la guitare au village le soir, il chante pour les gens du coin et ils boivent du vin ensemble. Je trouve cela fantastique.

--> -->