Quentin Dubois, voix off : Mon enjeu, c’est de recommencer tous les trois mois. Quand tu es CTO [Chief Technical Officer] d’un startup studio, tu as la chance et la malchance, tous les trois mois, de dire « comment va-t-on faire et comment va-t-on pouvoir aider la startup suivante à démarrer le mieux possible ? »
C’est exponentiellement plus simple de passer une certification quand vous êtes peu : chaque personne qui rentre ajoute de la complexité et, on pourrait même dire, de la dette cyber.

Aroua Biri : Bienvenue dans le podcast cyber de Tech.Rocks.
Je m’appelle Aroua Biri, je suis fondatrice de la FRCYBER-WeeSec et je chante du jazz à mes heures perdues.
Bonjour Quentin.

Quentin Dubois : Bonjour. Donc Quentin, 43 ans CTO d’OSS Ventures, marié, deux enfants.

Aroua Biri : Quel parcours pour en arriver là ?

Quentin Dubois : J’ai travaillé un petit moment dans une petite boîte de cosmétiques qui s’appelle L’Oréal, pendant dix ans, où j’ai eu la chance d’avoir des super postes, super boîte, et j’ai pu, en plus, travailler à l’international : j’ai été expatrié en Amérique latine pendant cinq ans, deux ans au Mexique, un super beau pays, trois ans au Brésil, pareil, expérience extraordinaire. Je suis rentré au siège, comme on dit, et, au bout d’un an et demi je me suis dit « j’ai vraiment envie de comprendre ce milieu extraordinaire de l’entrepreneuriat », je suis parti de L’Oréal, j’ai eu quelques expériences entrepreneuriales dans des startups avant, en 2019, d’intégrer le startup studio OSS Ventures [1] et je suis le CTO d’OSS Ventures.

Aroua Biri : D‘accord. Si tu devais citer des moments qui ont été clés dans tes choix professionnels, tu parlerais de quoi ?

Quentin Dubois : De deux moments, un que je viens de citer, mais surtout le premier. J’ai eu l’opportunité d’aller dans un grand groupe, j’y suis rentré, grâce, notamment, à la culture de la boîte et aux opportunités que cela aurait. Quand on est dans un grand groupe, si on fait son petit bonhomme de chemin, on a, potentiellement, la possibilité d’avoir une très belle carrière, ce que je pense avoir eu chez L’Oréal. Le deuxième, comme je l’ai dit, c’est quand j’ai décidé de sortir du milieu corporate pour intégrer et surtout comprendre le milieu entrepreneurial et travailler dans la sphère des startups parisiennes.

Aroua Biri : Très bien. C’est quoi pour toi un tech leader ?

Quentin Dubois : C’est surtout quelqu’un qui est là pour simplifier, du moins dans mon travail, et pour aider et comprendre le business. Son enjeu, c’est de comprendre les enjeux business et d’aller chercher les bons outils, les bons leviers technologiques pour pouvoir accélérer ce business-là.
C’est quelqu’un qui doit comprendre ses équipes, savoir où elles sont fortes, savoir où elles le sont un peu moins, les aider à progresser et les mettre dans les meilleures dispositions pour elles et pour faire avancer la boîte.

Aroua Biri : Quelle est la lecture, l’ouvrage qui t’a inspiré, qu’il soit tech ou pas ?

Quentin Dubois : Je peux en citer deux. Un qui m’a intéressé dernièrement et un qui m’avait plutôt beaucoup plu à l’époque, qui était The Lean Startup [Auteur Eric Ries, NdT]. J’avais beaucoup aimé l’approche. C’est un livre, il ne faut pas le prendre à la lettre, il y a des choses à prendre, des choses un peu moins intéressantes, je trouve, mais j’avais beaucoup aimé, ça m’avait permis de prendre un peu du recul par rapport au monde dans lequel je vivais à l’époque, un monde de projets en cycle en V qui duraient des mois et des mois. J’avais beaucoup aimé l’approche, je n’aime pas tant le mot agile, je ne pense pas qu’il y ait d’autre mot : on essaie d’avancer petit pas par petit pas et, surtout, où la vélocité était un des axes importants.
Le deuxième, c’est un livre que j’ai lu cet été, que j’ai beaucoup aimé, qui s’appelle Outlive : The Science and Art of Longevity de Peter Attia. Un livre qui se focalise sur la longévité : comment vivre mieux plus longtemps et qu’est-ce qu’on doit faire pour pouvoir être en forme le plus longtemps dans sa vie.

Aroua Biri : Très bien. Il paraît que tu as aussi suivi aussi un cours de Stanford.

Quentin Dubois : Suivi un cours de Stanford ! J’ai regardé les vidéos d’un cours de Stanford qui avait été donné par quelqu’un qui est assez à la mode en ce moment, Sam Altman, le patron d’OpenAI, qui, à l’époque, était le patron de Y Combinator. Il a fait un super cours sur l’entrepreneuriat, les startups. Chaque semaine il y avait un invité extraordinaire comme Peter Thiel, les patrons de Stripe, les patrons de Airbnb, à chaque fois sur un thème. Ces vidéos se retrouvent sur YouTube, je pense qu’elles sont toujours d’actualité aujourd’hui, elles doivent avoir un peu moins de dix ans, mais, vraiment, le contenu est juste incroyable.

Aroua Biri : Quel tech leader, justement connu, aurais-tu aimé être et pourquoi ?

Quentin Dubois : Aimer être, je ne sais pas. Quand j’étais petit j’avais une certaine, je ne dirais pas passion, mais admiration pour Bill Gates, à l’époque, fin des années 80 ; à l’époque, dans les années 90, c’était l’homme le plus riche du monde. Je trouvais que son approche et ce qu’il avait réussi à créer, cet empire qu’il a réussi à créer en quelques années, c’était juste impressionnant. Après, je prends pas mal de recul par rapport à ces gens-là, parce que je pense que les sacrifices personnels qu’ils ont dû mettre en place pour en arriver là étaient peut-être beaucoup trop importants par rapport à ce que j’aurais envie de faire dans ma vie. Potentiellement, construire ce genre d’empire ne se fait pas sans casser des œufs. Je trouve que ce sont des gens très intéressants. L’idée ce n’est pas de s’inspirer, de devenir comme eux, mais, déjà, de comprendre ce qui les anime et pourquoi ils l’ont fait. C’est hyper-intéressant.

Aroua Biri : Si on zoome sur ton poste actuel, entreprise, équipe, stack, culture, enjeux.

Quentin Dubois : En fait, c’est un poste de CTO un peu particulier. Mon but n’est pas, comme d’autres CTO, de scaler une équipe, d’aller plus vite possible, le mieux possible. Mon enjeu, c’est de recommencer tous les trois mois. C’est-à-dire que quand tu es CTO d’un startup studio, tu as la chance et la malchance, tous les trois mois, de dire « maintenant comment va-t-on faire et comment va-ton pouvoir aider la startup suivante à démarrer le mieux possible ? »
J’ai une toute petite équipe, nous sommes trois, notre idée c’est de ne pas faire à la place des startupeurs, mais de faire avec et de leur montrer quels seraient les raccourcis, de prendre pour eux toutes les petites décisions qui, individuellement, ne sont pas très grandes, mais qui, si on les somme, peuvent prendre énormément de temps et se tromper peut avoir des impacts assez néfastes pour le futur. On choisit notamment la stack de base, on leur dit : « On a choisi un truc, ça marche, tout est en place et toi tu vas te focaliser avec nous à construire le process, les écrans, les fonctionnalités métiers qui vont être importantes pour la startup que tu crées à un moment donné. » Mon métier, dans un premier temps, c’est de les aider à se lancer avec des outils qui ont été éprouvés, qui marchent, qui leur permettront d’aller jusqu’à la série A, série B sans trop de problèmes. Une fois qu’ils sont sortis du programme, que la startup fonctionne, l’idée c’est vraiment de pouvoir les accompagner aussi en mode mentoring et coaching s’ils ont des questions sur des aspects techniques, des aspects management, parfois des aspects business ou positionnement par rapport à un cofondateur, par rapport à un board. Les accompagner là-dedans pour que, finalement, ce ne soit pas juste un projet mais une entreprise saine, avec les bonnes bases.

Aroua Biri : Intéressant. Tu parlais de la stack commune. Peux-tu élaborer un peu aussi là-dessus ?

Quentin Dubois : C’est un truc qui évolue à chaque fois. Depuis trois/quatre ans, on a à peu près les mêmes blocs, mais qui évoluent. En gros, on s’est dit « si on devait démarrer quelque chose il y a quatre ans, qu’est-ce qu’on ferait ? » On s’était beaucoup appuyé sur Firebase, sur la partie base de données, authentification, j’aime bien dire que c’est une sorte de cloud pour les nuls, parce que c’est simple à démarrer. Après, on a pris Vue.js [2] pour le front-end, on a pris la technologie Node.js [3] pour le back-end, ce qui permet d’avoir, quand on a des gens un peu polyvalents, la même technologie front et back, ce n’est pas parfait, mais ça permet souvent d’aller plus vite ; GitHub sur la partie code repository et ICD [Interface Control Document].
Donc, en fait, quand ils arrivent, ils ont un template où tout est setup et ça leur permet de se focaliser sur les fonctionnalités importantes qu’ils doivent développer par rapport au business modèle qu’on a décidé d’essayer ensemble.

Aroua Biri : Intéressant. Est-ce que tu peux partager avec nous l’outil ou la routine indispensable à ton quotidien ?

Quentin Dubois : Pour ses contenus, à savoir ce qui se passe un peu dans le monde de la tech qui est en ébullition, en évolution permanente, j’aime beaucoup, je vais beaucoup sur Hacker News [4] qui est le flux RSS, du moins le flux de news de Y Combinator. Généralement, on regarde la première page et tous les trucs importants sont dessus. J’y passe à peu près une heure par semaine pour éplucher les articles, pour voir un peu les choses intéressantes qu’on pourrait utiliser pour la startup suivante ou une startup qui a une problématique qu’elle ne sait pas comment résoudre et, tout d’un coup, quelqu’un a sorti quelque chose ou un article qui permettrait, finalement, de l’aider à résoudre son problème.

Aroua Biri : Très bien. Quelque chose que tu voudrais faire, mais que tu n’arrives pas à réaliser par faute de temps ?

Quentin Dubois : J’aimerais bien pouvoir apprendre une autre langue, j’ai la chance de parler espagnol et portugais, puisque j’ai vécu en Amérique latine, et anglais. J’ai toujours été attiré par l’Italie et je me suis toujours dit « cette année tu vas te mettre à l’italien » et je n’ai pas pu. Je sais commander un café, je sais commander une glace, ce qui, je pense, est la chose la plus importante en Italie, mais je ne sais pas vraiment faire plus que ça.

Aroua Biri : Très bien. Si tu avais trois conseils cybersécurité à l’attention des tech leaders qui, comme toi, pilotent des plateformes et des équipes tech.

Quentin Dubois : Un que c’est important, c’est surtout important pour vous parce que ça peut mettre en péril votre business très vite et d’une manière très brutale.
Deuxièmement, mon conseil c’est de commencer le plus rapidement possible ;
avoir toujours en tête, quand on développe quelque chose, sans s’en être complètement paranoïaque : où est-ce qu’on pourrait être attaqué ? Mettre en place des routines ou des scripts qui permettent de détecter des vulnérabilités et les résoudre dès que possible ;
se tenir à ce genre de process ;
et le dernier qui, pour moi, est souvent contre-intuitif quand j’en parle : si vous pouvez passer une certification faites-le le plus vite possible. Généralement on lance nos startups quand ils sont moins de cinq. On nous dit « mais c’est trop tôt, vous êtes sûrs ? ». En fait oui, parce que c’est exponentiellement plus simple de passer une certification quand vous êtes peu, chaque personne qui rentre ajoute de la complexité et, on pourrait même dire, de la dette cyber.

Aroua Biri : Ah, franchement. C’est vraiment un concept, parce qu’on parle beaucoup de la dette tech et qu’un CTO, comme vous, prononce le mot « dette cyber », c’est vraiment très fort. Du coup, en termes d’automatisation, pour toi quel est le rôle de l’automatisation dans tout ce qui est cybersécurité ?

Quentin Dubois : Un, c’est de donner des données parce que, sinon, on est aveugle. Notamment aujourd’hui, on peut dire que 99,99 % des startups qui se lancent, se lancent avec des dépendances qui sont développées en open source par d’autres, soit avec Linux, soit un niveau de dépendances utilisées en Python, en Java ou en JavaScript. Elles ont besoin de savoir si une des librairies qui ont été développées par d’autres personnes, extrêmement brillantes, ont une vulnérabilité. Le fait de monitorer ça permet notamment, à court terme, de travailler sur les problématiques cyber et techniques. C’est ce qu’on met en place très vite, c’est hyper-important.
La deuxième chose qu’on essaye de mettre en place, ce sont des attaques automatiques sur nos serveurs, sur nos endpoints, justement pour vérifier qu’on est toujours compatible, qu’il n’y a pas une grosse faille qui a été ouverte.
Le dernier point, ce n’est pas tellement automatique, mais j’ai la chance d’animer une communauté de CTO qui ont lancé des entreprises avec nous, donc dès qu’on a une boîte qui s’est fait pentester et qu’on découvre qu’il y a une vulnérabilité quelque part, on la communique aux autres et, surtout, on communique la solution : on sait comment ça marche chez toi, pour le fixer chez toi, tu dois faire comme ça. Ouvre une pull-request sur GitHub, teste, et normalement ça devrait passer sans problème.

Aroua Biri : Tellement inspirant ! Ce côté collaboratif, ce côté partage que tu as réussi à instaurer au niveau d’OSS Ventures est vraiment très intéressant. Est-ce que tu aurais une histoire de fail à partager avec nous ?

Quentin Dubois : Heureusement rien de très grave. Parfois, ça peut avoir des conséquences importantes. Un été, j’étais au bord de la piscine avec des potes à côté de Bordeaux et là tout d’un coup, pour une de nos startups, je vois que le coût des serveurs a été multiplié par 50 dans la journée. Apparemment, des adresses IP chinoises nous attaquaient sur une root de l’API. On a résolu dans la journée. Pour rentrer un peu plus dans le détail, la root s’appelait « auth », comme authentification. Le fait d’avoir cette root publique ou, entre guillemets en termes de nom, « un nom assez commun », apparemment pas mal de bots attaquent comme ça. On a donc juste changé le nom de la root, on a ajouté des caractères un peu aléatoires et c’était fini. On a eu une petite goutte au niveau du front, dans la journée, quand c’est arrivé.

Aroua Biri : J’imagine bien. Franchement merci beaucoup, Quentin, pour tous ces partages. Merci aux auditeurs pour votre écoute et on vous donne rendez-vous au prochain podcast.

Quentin Dubois : À bientôt. Au revoir.