Le grimoire du magicien
Note : Ce contenu faisait auparavant partie du site web ouimaisjellm.ca. Il a été importé ici pour archivage.
Avant de faire le vœu de pauvreté de l’entrepreneuriat solo en pleine pandémie 🙃 j’avais, selon les standards de notre société, une christie de bonne job chez Desjardins.
Mais, j’ai décidé de partir. En fait, je croyais qu’il me restait juste assez d’égo pour partir avant d’être mis définitivement sur un plan de départ volontaire ou autre monstruosité corporative pour les petits tannants.
J’étais en burn out sans savoir ce que c’était.
J’étais en mauvais état psychologique.
J’étais émotionnellement vidé.
J’ai pleuré 10 heures assis sur une roche sur le bord du fleuve.
Je faisais un très bon travail, et j’estime encore à ce jour que j’aurais pu être un actif extrêmement rentable pour cette entreprise-là si on ne m’avait pas fait chier solide. Ce texte va mettre mal à l’aise beaucoup de monde, parce qu’il me met mal à l’aise aussi.
J’arrache un christie de gros plaster avec bien du poil collé.
Je n’ai jamais raconté pourquoi je suis parti publiquement, et comment au cours des quatre dernières années, ça m’a façonné comme humain. Pas comme entrepreneur, je ne suis pas devenu un de ces king pins des réseaux sociaux et du marketing.
I suck at it and I kind of like it that way.
Mais comme humain pas mal plus conscient des dynamiques de pouvoir qui façonnent notre monde, et qu’on voit chaque jour dans des dossiers comme SAAQClic, NorthVolt, le 3e lien… Le privé n’en est pas épargné, mais une coop ça reste une entreprise privée même si le trois quart de la province est “propriétaire” du truc. Donc t’en entendra jamais parler à travers l’épais rideau de relations publiques.
Je vais te partager des éléments qui, si c’était arrivé différemment, aurait changé mon parcours dans une tout autre direction. Si tu es gestionnaire, peu importe le domaine, ou que tu coaches des gestionnaires, j’aimerais juste que tu prennes des notes. Si t’es employé·e, prend des notes aussi. Bref, je veux ici partager, pas ramasser personne. Une entreprise de cette taille, c’est un système complexe. Je ne suis pas dans le jeu du bouc émissaire, je l’ai fui. Ou je l’étais, comme tu vas peut-être découvrir. Je vais peut-être recevoir un courrier enregistré pour me faire peur.
Mais y’a un ticket pour entrer. Le ticket vers mon monde et ce que mon expérience peut t’apporter. C’est écrit avec amour et pardon, et aussi avec humour et s’cuse moi pardon.
🌘 L’incident de cybersécurité
Pas celui dont tu as entendu parler. Un autre. Très peu de personnes savent ce que je vais te raconter ici. Mais c’est le temps que ça sorte. Les dates s’entremêlent un peu après les années, mais on est autour de 2018. Je travaillais sur un projet de modélisation de fraude dans les cliniques médicales en Ontario. J’avais un gros jeu de données médicales sensibles à traiter, et j’avais demandé un espace sécurité pour entreposer ces données. Parce qu’on n’avait rien qui convenait à l’interne. J’ai fait le chemin de croix pour avoir cet espace, et neuf mois plus tard, j’ai obtenu un espace de stockage objet sécurisé selon les normes de l’entreprise.
Normes qui n’existaient pas. Ce qui a entre autres mené à l’incident dont tu as entendu parler. Mais je vais y revenir plus tard.
Bref, j’ai entre les mains un courriel de la part du directeur de la sécurité de ma division, le secteur des assurances, me disant que l’espace est prêt à être utilisé pour mes besoins. Je transfère les données sur place avec un script que j’avais préparé. Et comme dans toute bonne grande entreprise, je change de projet quelques mois plus tard et les données restent là. Un peu plus tard, probablement suite à un début d’audit déclenché par ce qui allait devenir le gros évènement (que je ne savais pas à l’époque), on découvre que les données que j’avais stockées n’étaient au bout du compte pas sécurisées du tout.
Et c’est là que tout commence. Je crois sincèrement que mon gestionnaire de l’époque n’était pas au courant. Mais je me fais appeler au bureau du boss de mon boss (un très bon gars, don’t shoot the messenger). Et quand j’entre, ne me doutant pas du tout pourquoi je suis là, il tourne son écran. Dans un courriel envoyé à tous les vice-présidents de l’entreprise, mon nom est écrit en rouge comme seul responsable de cet incident de sécurité (je l’espère sans conséquences).
Trois ans plus tard, j’ai compris que c’était le début de la fin de ma carrière dans cette entreprise. Même si j’avais le courriel du directeur de la sécurité me mentionnant que tout était conforme. Même si ce même directeur a perdu son poste éventuellement, ou est parti en maladie comme la plupart du monde qui travaillaient en sécurité dans cette compagnie-là qui étaient le moindrement compétent et conscient du Problème. Oui, ça mérite une majuscule. Parce que je sais de bonnes sources que c’est ça qui a directement mené à la loi 25 au Québec.
Le mal était fait. Mon nom était associé à un incident de sécurité, au moment où ces mêmes VP sont en mode panique pour gérer le “gros incident” qui a été gardé secret durant sept mois. Le temps de … on va laisser les flics terminer leur enquête. Si quelqu’un veut me parler, je suis disponible. C’est pas fini. Ça va faire 7 ans. Quand t’es une banque, t’as l’Arrêt Jordan au carré, il faut croire.
🌘 Le gros incident
En juin 2019, on se fait “caller” sur le genre de Zoom de l’époque par Guy, le boss du boss du boss du boss du boss de mon boss. C’est le titre qu’on utilisait dans les courriels qu’on envoyait aux nouveaux. Parce que la sécurité courriel, ce n’était pas leur force non plus, donc on pouvait se faire passer pour les boss avec une signature numérique qui marchait. Ils peuvent probablement encore, c’est du Microsoft mur à mur. Tu sais comme j’aime Microsoft. Ça vient un peu de là aussi.
Bref Guy, avec probablement une mauvaise joke de hockey, annonce le machin. En passant, ce gars là est incroyable. Respect. J’aurais chié mes pantalons. Il est resté là 6 ans après ça.
La grosse fuite de données fait par un gars avec des dettes de drogues ou de quoi du genre qu’il s’est fait payer pour en cartes-cadeau du St-Hubert. Le Québec au complet est en panique. Pendant un an et demi, chaque semaine, on va être convié à des rencontres où des employés random vont poser une infinité de questions sur le “crisse de forfait de surveillance Equifax de 5 ans” (qui sert à rien). Scusez. Mais on aurait pu épargner la santé mentale des employés en envoyant une lettre à tout le monde.
Mes hommages ici à toutes les firmes de relations publiques qui gardent cette entreprise-là (Equifax) en vie. Genre d’entreprise qui possède un jumeau numérique de votre vie financière dans des fichiers texte envoyé sans aucun chiffrement par FTP (une vieille techno vraiment pas sécuritaire). True story. Si tu comprends pas comment j’ai été formé en cybersécurité, voici une partie de la réponse. J’ai appris sur le tas. J’ai été zéro surpris quand c’est sorti. J’étais juste surpris que ça soit pas arrivé avant. En fait, c’est arrivé avant chez Equifax, justement.
Je vais me garder une réserve sur tout ce que je sais à propos des relations entre les agences de crédit et le monde financier. À part dire que ça ne devrait pas exister dans une société qui croit à l’égalité des chances entre les humains.
Bref, rapidement, travailler devient pénible. J’aimais vraiment ma job avant juin 2019. Sincèrement. J’aurais jamais pensé partir. J’avais monté un plan de carrière avec les RH, j’étais retourné aux études pour amener de l’IA dans l’entreprise. Je pouvais travailler sur Linux. Pis mon boss était vraiment cool. Salut Étienne si jamais tu lis ça. Je sais que j’étais pas le plus facile de la gang.
🌘 COURAGE
Revenons au monde 50 Shades of Green post juin 2019. Pis oui, le template de PowerPoint, on l’appelait vraiment comme ça. C’était le truc le plus corpo-plate que t’as jamais vu. Y’a juste les pubs qui sont drôles. Dans les murs, c’était comme tu l’imagines. Y’a des plantes suspendues, des cubicules beiges et c’est écrit COURAGE en lettres argentées quand tu vas à la toilette.
Si la double authentification te fait chier, t’aimeras pas la hexa-authentification. En hommage à l’abeille qui a été congédiée de son alvéole hexagonale. Pis non, c’était pas une tranche de concombre. On l’a appris par coeur, le petit catéchisme d’Alphonse.
Bref, 20 minutes pour se connecter le matin. 10 minutes chaque fois que tu vas numérodeux. Courage récursif. Le terminal Linux dans la machine virtuelle Windows dans la machine virtuelle Citrix. Si t’es mêlé dans ton espace Notion, imagine que tu dois en plus taper au clavier avec des mitaines de four. C’était le niveau d’ergonomie du moment. J’appellais ça VMception. VM pour machine virtuelle. Les techy, on aime pas ça les mots.
VMception, et non pas la VM pour mon voisin de bureau parce qu’il est devenu proche aidant et demandait du télétravail en 2019 (une genre de rébellion contre l’ordre établi). Ce qui a été refusé. On était juste avant la COVID en passant, mais il est parti à cause qu’il devait aider sa blonde à vivre. J’avais même plus de voisin de bureau.
Pis beaucoup d’autres après sont partis, pis finalement moi aussi un an et demi plus tard. J’ai peut-être fait gagner quelqu’un au bingo des départs à cause de ça. C’est trash, faites pas ça les amis. C’est jamais de la faute de votre boss directement quand tout chie dans la pelle dans ce genre d’entreprise.
Les mécanismes farfelus et souvent overkill pour transférer des données qui font paraître les tarifs douaniers de Trump comme de la petite bière. Douanes … Je ne raconterai pas comment ça fonctionnait ni surtout comment ça fonctionnait pas. Mais c’est ça l’éthique en cybersécurité, des fois faut se la fermer pour protéger quand on sait de quoi qui pourrait faire mal.
Et des nouvelles implantations de logiciel surprise le lundi matin. Sans gestion du changement, bien entendu. Deux ans de mesures de cybersécurité back à back. Pour quelqu’un dont la job est d’extraire et de transformer des données, laisse moi te dire, c’est chiant de voir disparaître ses outils un par un et de revenir à l’âge de pierre informatique.
Mais, le pire, c’est que c’était toujours possible de voler des données si t’as quelqu’un qui veut vraiment. Appelons ça de la motivation extrinsèque. C’est techniquement vraiment difficile d’empêcher ce genre de geste sans avoir des mécanismes humains. Sinon, ça ressemble juste à ça.
C’était aussi facile d’en faire entrer par la porte d’en arrière. Bref, on ne sait pas trop dans quel sens ça se promène. J’y reviens, parce qu’il y a une suite croustillante ou mon nom est encore apparu dans un courriel en rouge.
🌘 L’ordi puissant
Comme on travaillait maintenant en bureau virtuel, comme scientifique de données, on avait apparemment besoin de grosses machines ! J’ai donc hérité d’un ordinateur HP EliteBook avec 32 Go de RAM. Le gros luxe ! Pour rouler Skype (bientôt Teams) et une session de bureau virtuelle. Sans pouvoir y amener de données pour travailler. LOL.
C’est cet ordinateur dont j’ai hérité lorsqu’on nous a annoncé qu’on allait passer quelques semaines à la maison pour laisser passer cette nouvelle patente de COVID. On était au moment où y avait eu un dude dans le métro qui arrivait d’Espagne ou de quoi du genre et que ça y est, Montréal est contaminée au complet. Et où le Québec a découvert le Dr Arruda et les tartelettes.
Ajoute les daily de Dr Arruda aux weekly Equifax avec Guy.
On était rendu Agile en plus. Agile dans le sens de gros trip de gestion avec JIRA et des standup meeting, pas Agile dans le sens qu’on se vire sur un 10 cents.
Une grosse banque, ça de la misère à se virer sur un milliard même quand ça se fait hacker son CRM par un gars qui trippe sur les cuisses de poulet.
20 minutes pour se connecter le matin et 10 minutes après être allé au COURAGE.
En prime, l’ordi était bruyant, terrible, ce qui rendait les conférences insupportables quand c’était mon tour de parole (et celui de plusieurs autres qui avaient hérité de cette merde-là). Et il devenait tellement chaud que j’ai réussi à me faire une fondue au chocolat dessus. Depuis, je trouve insupportable les gens qui ne se paient pas des écouteurs et un bon micro pour faire du Zoom.
Nous étions à la maison, mais je me dévoile, quatre ans plus tard. Cet ordi-là, je l’ai démonté et remonté au complet. J’ai mis du Jig-a-Loo dans le ventilateur du CPU. Et il a mangé des volées assez que je me serais ramassé en prison si c’était un enfant. Sont fait solides, les EliteBook, faut leur donner ça.
🌘 Deux autres histoires de données, pas un cadeau (de Noël)
Je faisais du shadow IT comme pas mal tout le monde depuis que les systèmes informatiques étaient devenus de la bouette. C’était quasiment rendu mon expertise. Mais je faisais du Shadow IT officiel, avec de l’infrastructure cloud de l’entreprise. Mais c’était tellement compliqué entrer des données dans la compagnie par là, que je l’ai fait via SharePoint. En utilisant la procédure officielle de l’entreprise qui était dans le portail d’aide TI.
Mais devine quoi, on m’a accusé d’avoir sorti des données par SharePoint. Cette fois-ci, j’avais une procédure officielle du portail d’aide TI pour backer mon histoire. Mais la journalisation de l’équipe de sécurité ne tenaient pas en compte si les fichiers avaient été uploadé ou downloadé. C’était juste écrit téléchargé, probablement pour des raisons de loi 101. Et ça chié, parce qu’en français, c’est le même mot. Donc j’ai été baisé par une erreur de traduction cette fois-là.
Il y a un concept en sécurité informatique qui s’appelle la non-répudiation. C’est-à-dire que ce n’est pas possible de prouver que ce n’est pas toi. C’est un moyen d’avoir une quasi certitude sur qui a fait quoi et quand. Et bien, vous vous en doutez, que ce morceau là, c’était pas bien implanté. Sinon, on aurait su immédiatement qui a sorti les données des membres pour les mettre sur des clés USB. Et ça ne ferait pas 7 ans que cette enquête dure.
Coup de gueule … désolé. 3 milliards de surplus cet année là en plus … Mais c’est pour les réserves. Alors qu’avec une maîtrise en actuariat, je sais très bien que les réserves sont dans les passifs.
T’as beau te vanter de nager dans les milliards. Mettre un milliard en informatique quand t’embauche des consultants jambons, ça règle rien. Je pense que tous les Québécois le savent maintenant avec la commission Gallant.
Ah oui, dernier point. J’avais une vidéo du spectacle du party de Noel d’une année précédente, et les photos du tournoi de soccer, que j’ai téléchargé dans le dossier d’équipe, de chez moi vers l’entreprise. Cette fois-ci, on a essayé de m’accuser de transfert de données massives. Mais un moment donné, j’ai compris que c’était des activités tout à fait normales, sauf pour moi. Parce qu’il y avait beaucoup de fichiers d’activités d’équipe sur le disque partagé (et aussi, malheureusement, pas juste des activités d’équipe …).
🌘 On essayait de me coincer
On a longtemps essayé de me coincer. Depuis que je me suis présenté en politique en 2018, je dirais. Même si j’ai fait une campagne assez impeccable dans les circonstances et que j’avais rempli toute la paperasse de conflit d’intérêt parce qu’une de nos politique était de modifier le régime des fonds fiscalisés.
J’ai peut-être été résistant trop longtemps, peut-être que j’ai pris beaucoup de temps à comprendre le message et que certains ont fêté mon départ. J’en sais rien, j’ai arrêté de me poser ce genre de questions quand j’ai quitté.
Mais je sais qu’on me suivait même sur mes réseaux sociaux personnels. Il y avait une taupe qui rapportait tout ce que j’écrivait aux RH, ce qui fait qu’en dedans de 15 minutes, il y avait des échos si ça dérangeait trop … J’ai un doute sur qui c’est, mais j’ai jamais réussi à le prouver, parce que c’est pas vrai que j’allais prendre LinkedIn Premium pour stalker les RH qui me stalke. Jamais personne des RH est venu luncher avec moi à la cafétéria. Ça aurait tellement pu se régler autrement. En plus notre RH pour les actuaires était vraiment correcte, mais devait jongler avec des règles stupides datant d’une autre époque.
Mes compétences techniques et le fait que je sois capable de parler à n’importe qui dans l’entreprise et comprendre leur travail dérangeaient beaucoup trop. C’est ma curiosité qui m’a trahi, au bout du compte. Étrange quand tu travailles en innovation … J’étais pas fait pour la grande entreprise.
🌘 Le Game of Thrones des consultants en sécurité
Le dernier projet sur lequel j’ai travaillé consistait à mettre un modèle prédictif en production. Le genre de projet qui se fait en une semaine à une personne. Ou en 50 semaines à 10 personnes. J’avais mis en place un plan pour faire la mise en production dans Azure Machine Learning, la plateforme PaaS de Microsoft pour ce genre de projet.
Mais, il a fallu aussi que le projet deviennent le laboratoire de sécurité informatique cloud de l’entreprise. En soi, c’est une bonne idée, mais quand personne n’est attitré pour faire la sécurité dans le projet, ça l’est moins.
Nous avons donc, dans ce projet, accueilli des consultants en sécurité de quelques grandes firmes de consultation. Tu les connais. KPMG, Deloitte, Accenture, EY, Microsoft, IBM. Chacun·e d’entre elles et eux ont fait entre 4 et 6 semaines avant de disparaître, juste au moment où on commençait à s’attacher. Tu sais, comme dans Game of Thrones.
En plus de ça, mon “escouade” devenais un laboratoire d’agilité. Parce qu’il fallait des noms cools et militaires pour notre mission. En conservant aussi l’ancienne structure hiérarchique. Ce qui fait que je passait ma vie dans des réunions à parler deux langages irréconciliables, à convertir des heures en points et a convertir du JIRA en graphiques Gantt dans Excel. En plus d’avoir ma charge des juniors qui n’étaient pas encore adaptés à tous les codes de la grande entreprise. En télétravail. Dans deux langues. Pendant qu’on est confinés par Legault et que nos grands parents crèvent (de faim) dans des CHSLD.
Voyant que je perdais le fil du projet et que je n’arrivais plus à faire ni l’un, ni l’autre, on m’a offert de l’aide sous la forme d’encore plus de gens dans l’équipe à gérer. Appelons ça un cadeau empoisonné. Si tu as lu un peu sur la gestion de projets TI, tu sais qu’ajouter du monde à mi-chemin, c’est jamais la bonne solution.
Je n’ai jamais eu de formation comme chargé de projet ni en gestion du changement. Et ça n’a jamais été ma tasse de thé. Je suis bon dans la réalisation, d’avoir les mains et le cerveau dans le code et dans les détails techniques des projets.
La gestion et les RH, c’est pas mon fort. J’avais exprimé mon désir de revenir dans un rôle technique, avec une fin de non-recevoir. J’ai voulu m’orienter vers la formation et la gestion de changement. Même son de cloche. Parce que j’avais de l’ancienneté, et que tu ne peux plus faire ce que tu aimes si on a décidé que tu allais devenir autre chose malgré toi.
🌘 « C’est pas notre plan pour toi »
On m’a dit ça quand j’ai demandé des changements dans mon travail. Donc, il y a 4 ans, maintenant, je suis monté passer la fin de semaine chez mes parents, j’ai travaillé dans le garage pour me changer les idées, et me suis fait un plan.
Et comme un gars loyal, j’ai aidé ma stagiaire à finir son stage sans qu’elle ne se doute de rien. Et j’ai attendu le retour de mon boss de son congé parental pour annoncer mon départ. Pis ça me fait vraiment chier, encore aujourd’hui, pour lui. Parce qu’il était quand même nouveau comme boss, qu’on a travaillé ensemble comme collègues avant, et qu’il avait tellement mais tellement rien à voir dans cette histoire là … J’ai passé 2 semaines à tout documenter mes projets, à faire des vidéos Teams enregistrées de mes patentes, bref à faire la formation qu’on a jamais voulu que le fasse. Parce que je suis comme ça. Je ne laisse pas mon monde tomber.
Ça m’a fait du bien de partager ça. Je suis encore client de mon ancien employeur. Je leur veux que du bien. J’espère que tout ça est du passé. Y’a beaucoup de bon monde dans cette entreprise-là. Mais y’a du monde qui envoient des courriels à des VP avec des noms d’employé en rouge sans vérifier ce qu’ils avancent.
Pis j’ai été m’informer, sont encore là 😢
