Le podcast NoLimitSecu a fêté ses 10 ans en avril 2024. À cette occasion, la rédaction du magazine MISC nous a gentiment invités à venir présenter cette aventure humaine dans ses colonnes !
1. Le podcast, kézako ?
Pour nos lecteurs les plus jeunes, « podcast » (ou « baladodiffusion » en français) est un mot dérivé de l’iPod, un baladeur numérique sorti par Apple en… 2001, qui venait concurrencer walkman à cassette, lecteur minidisc et autres appareils en vogue à une époque où le meilleur smartphone du marché était le BlackBerry.
Malgré plusieurs concurrents ultérieurs (comme le français Archos ou le Microsoft Zune, que les fans de Guardians of the Galaxy connaissent bien), et l’arrêt de la gamme iPod en 2022, le mot « pod » est définitivement resté attaché à la pratique de la diffusion mobile de contenus audio.
L’iPod est initialement cantonné à l’écoute de musique. La diffusion de contenus à la demande (tels que la rediffusion d’émissions radio) apparaît sur iPod quelques années après, grâce entre autres au format RSS (dont la version 2.0 est publiée en 2002). Apple décide donc d’ajouter une application de lecture de podcast dans macOS en 2005, puis dans l’iPhone en 2012.
Tous les ingrédients sont réunis pour que l’art du « podcast » explose alors. C’est ainsi que NoLimitSecu fait ses premiers pas en 2014, tandis que la plupart des grands médias français se lancent vers 2016-2017, donnant ses lettres de noblesse au genre.
D’un point de vue de la sécurité, on notera que les premiers iPod utilisaient un système d’exploitation propriétaire, dérivé du kit de développement PortalPlayer. Mais l’histoire du « jailbreak » d’iPod sera racontée en son temps.
2. NoLimitSecu, la genèse
Tout commence en 2014. Johanne Ulloa, qui habitait alors dans la banlieue nord de Paris, passe énormément de temps dans la circulation. Il se met à écouter des podcasts, mais ne trouve que des sources anglophones. Mesurant la difficulté qu’ont la majorité des Français avec la langue de Shakespeare, il identifie rapidement l’opportunité de lancer un podcast francophone dédié à la cybersécurité.
La première équipe se compose de proches : Jean-François Audenard (connu à l’époque pour ses vidéos de sensibilisation « les 5 minutes du Professeur Audenard »), Renaud Bidou (une légende de la cybersécurité française et auteur prolifique dans MISC), ainsi que Fabien Tanguy. De proche en proche, l’équipe s’étoffe rapidement avec l’adjonction de Patrick Chambet, Nicolas Ruff, et d’autres encore.
Durant cette phase d’hypercroissance, chaque nouvel invité se voit proposer de venir étoffer l’équipe du podcast, ce qui nous fait bénéficier par ricochet de son réseau relationnel (peut-on parler de pyramide de Ponzi sociale ?). La liste de diffusion de « l’équipe NoLimitSecu » comporte actuellement 52 membres, et bien que très peu d’entre eux soient encore actifs, il reste impossible de les citer individuellement. J’espère qu’ils m’en excuseront. Et nos recrutements sont désormais beaucoup plus sélectifs.
La marque (non déposée) « NoLimitSecu » se met en place :
- Une identité visuelle, basée sur la police Airstrike et le rouge #FF0000.
- Une identité sonore, basée sur la légendaire négociation UIT-T V.92 du modem 56Kbps.
- Un slogan : « le podcast où seul le temps nous limite ». Ce slogan est devenu par la suite « le podcast francophone hebdomadaire dédié à la cybersécurité », car le temps nécessaire au montage nous a limités.
Pour la petite histoire, un autre podcast francophone existait déjà à l’époque : Le Comptoir Sécu, quasiment disparu aujourd’hui. Il ne s’agissait pas de leur faire concurrence, car une recherche rapide n’avait pas permis de les identifier. Autrement, NoLimitSecu n’aurait peut-être jamais existé...
C’est aux Assises de la Sécurité que Johanne découvre que le kakémono du Comptoir Sécu titre explicitement : « le premier podcast francophone » - un titre que s’était injustement attribué NoLimitSecu. Dès lors nous sommes devenus les meilleurs coopétiteurs, enchaînant les épisodes croisés (dont l’un ne sera jamais publié, car enregistré en fin de soirée aux Assises et définitivement « hors limite sécu »).
3. De quoi parle-t-on ?
Trouver une ligne éditoriale et s’y tenir est à la fois indispensable et compliqué. Si la ligne éditoriale varie trop au fil des épisodes, l’audience ne suit pas. Si la ligne éditoriale est trop spécialisée, il est difficile de tenir 10 ans sur le même sujet…
Initialement, les contributeurs du podcast donnaient leur opinion sur des sujets variés tels que « les WAF : indispensables ou superflus ? » (épisode 36). Les sujets couverts sont variés, mais toujours centrés autour de la cybersécurité avec un mode d’ordre « bienveillance » (la ligne de conduite de NoLimitSecu). La règle est simple : on ne dénigre pas pendant un épisode. Il arrive donc que des passages soient supprimés au montage.
Le podcast traite également de l’actualité « Cyber ». C’est un sujet inépuisable, mais qui nécessite : (1) un temps de réaction très court, car un clou chasse l’autre, et (2) un travail de fond sur les dossiers. Pas forcément évident de devenir expert du jour au lendemain dans des sujets aussi variés que les attaques matérielles, la cyberguerre, ou les évolutions réglementaires. Si vous savez comment font les experts qui campent sur les plateaux TV, n’hésitez pas à nous partager leurs secrets.
Le podcast s’est ensuite ouvert aux interviews de personnalités, telles que Hervé Schauer ou Éric Filiol. Cette activité est généralement sans risque et requière peu de préparation, mais la France ne compte pas assez de stars pour pouvoir persister dans ce créneau pendant 10 ans.
Dernière activité du podcast : présenter des sujets innovants ou niches, tels que la détection d’images falsifiées en ligne, ou la protection des contenus dans les studios de montage. Ces sujets remontent grâce au vaste réseau des contributeurs NoLimitSecu, et s’avèrent être une source inépuisable.
4. Qui écoute NoLimitSecu ?
C’est très simple : on n’en sait rien. Tout comme nous ne savons pas qui est en train de lire cet article MISC :)
Chaque épisode est téléchargé environ 15’000 fois, mais les chiffres d’écoute sont fournis de manière disparate par toutes les plateformes qui nous référencent (Apple Podcasts, Spotify, Deezer, Google Podcasts, YouTube entre autres), et il est impossible d’avoir des statistiques via les clients de podcast tierce partie sur Android.
Il est certain que le public est exclusivement francophone, mais pas forcément français ni résident français puisque 10 % des écoutes ont lieu à l’étranger (des USA à Singapour).
Nous suspectons que les gens écoutent majoritairement dans les transports (voiture, métro ou tram), éventuellement pendant leurs séances de sport. Quelques auditeurs croisés dans des salons professionnels nous ont aussi dit écouter en cuisinant, en prenant leur bain, ou… pour s’endormir (mais nous ne sommes pas vexés :) ).
C’est pour cela que la monétisation d’un podcast reste très difficile : il n’existe pas de chiffres d’audience, et les annonceurs n’aiment pas ça.
La vérité, c’est que nous avons très peu de retours des auditeurs – à part les classiques : « le son est mauvais », « vous avez reçu mon concurrent donc je veux venir aussi », et « je ne vais pas prendre votre sticker, j’en ai déjà dix ». Toutefois un commentaire en particulier nous a fait très plaisir : « c’est en vous écoutant que j’ai décidé de faire de la cybersécurité » !
5. Follow the money
En parlant de monétisation, il est important de préciser que NoLimitSecu est une activité 100 % bénévole, sans structure juridique. Nous imprimons même nos célèbres autocollants sur nos finances personnelles.
Il s’agit d’un choix délibéré, lié à plusieurs facteurs :
- Le fait que tous les contributeurs ont une activité professionnelle, et ne peuvent donc pas passer leur journée à négocier des partenariats ou assister à des conférences de presse ;
- L’indépendance éditoriale ;
- La difficulté à monétiser un podcast francophone sur un sujet de niche ;
- Les tâches administratives afférentes à la gestion d’une simple association loi 1901 : assemblée générale annuelle, tenue de comptes, nomination d’un bureau, rédaction d’un règlement intérieur, ouverture d’un compte en banque, assurances, etc.
Notre structure actuelle est beaucoup plus simple : c’est soit le propriétaire du nom de domaine, soit la personne qui détient la marque déposée à l’INPI n°4056492 qui a le dernier mot en toutes choses.
Les podcasts américains établis arrivent à tirer un revenu confortable de leurs publications, mais au prix d’un travail énorme sur le contenu et sur la forme, incompatible avec une activité salariée. Et en France, très peu de studios professionnels arrivent à monétiser.
Ces considérations permettent de répondre à la question qu’on nous pose souvent : « comment passer dans NoLimitSecu » ? La réponse est simple : passer dans NoLimitSecu c’est comme la Légion d’Honneur, ça ne se demande pas ! L’écrasante majorité des sujets ont été suggérés par les contributeurs eux-mêmes ; quelques-uns ont été sélectionnés suite à une proposition spontanée reçue via courriel ou réseaux sociaux.
Ces dernières sont assez rares, hors agences de relations publiques qui nous signalent régulièrement que leurs clients sont prêts à s’exprimer sur n’importe quel sujet de notre choix. Probablement ce qu’on appelle des « experts » à la télé. Nous n’avons jamais répondu positivement à ces demandes, tout comme les nombreuses propositions de « placements sponsorisés » (puisque nous ne manipulons pas d’argent).
Mais alors, pourquoi la solution B n’a-t-elle pas été invitée alors qu’elle est en concurrence directe avec la solution A, présentée la semaine dernière ? Nulle offense, c’est probablement qu’un contributeur disposait d’un contact privilégié avec quelqu’un de chez A, qui a immédiatement répondu à notre sollicitation. Et il est malheureusement peu probable que nous invitions à tour de rôle toutes les solutions répondant à une problématique donnée, tant l’offre est pléthorique dans certains domaines.
6. Pour le meilleur et pour le pire
Bien que les premiers épisodes aient été réalisés « en présentiel », enregistrer à distance s’est rapidement imposé comme une nécessité compte tenu de l’éloignement géographique des principaux contributeurs (Paris, Saint-Pierre-de-Quiberon, Clermont-Ferrand et Zürich a minima), ainsi que des contraintes d’agenda des invités (qui ne sont pas tous disponibles pour se rendre dans un studio d’enregistrement à Paris !).
Mais enregistrer un podcast à distance n’est pas un long fleuve tranquille. Les problèmes techniques sont la cause numéro un d’échec, et Dieu sait que la technique peut être facétieuse : invité (ou contributeur expérimenté !) qui « oublie » de lancer son logiciel d’enregistrement, logiciel d’enregistrement qui « plante » au moment de sauvegarder, contrôle de gain automatique tellement sensible que le micro enregistre le son qui sort du casque, « amélioration » de la voix par des algorithmes d’IA intégrés aux codecs audio (!) qui produisent un résultat inaudible… la liste est longue, même en excluant les classiques « panne de batterie » et « écran bleu de la mort ». D’expérience, la survenance d’un problème technique lors d’un enregistrement augmente de façon quadratique avec le nombre de participants.
C’est pour cela que nous utilisons désormais trois systèmes d’enregistrement en parallèle : Audacity en local, Zencastr en mode web, ainsi que l’enregistrement de la visioconférence (BBB, Google Meet, ou Jitsi selon les contraintes de l’invité). En effet, si certains podcasts ont fait le choix de publier directement l’enregistrement brut de leur discussion, avoir un enregistrement multipiste nous est rapidement apparu comme indispensable pour pouvoir supprimer les bruits parasites ou normaliser le volume sonore des différents intervenants. Cette dernière opération est indispensable (certains clients de podcast la proposent d’ailleurs côté client) afin d’éviter de hurler dans les esgourdes de nos auditeurs. Si la différence peut sembler minime dans un casque à annulation de bruit active, elle est autrement plus sensible à travers un autoradio de piètre qualité.
Malgré toutes ces précautions, il nous arrive encore régulièrement de devoir réenregistrer un épisode, généralement pour des problèmes de qualité sonore. Fun fact : lorsque nous enregistrons deux fois sur le même sujet avec le même invité, cela produit généralement deux épisodes complètement différents !
Notre pire incident technique ? Il nous est arrivé de concevoir un snippet JavaScript pour un invité, que celui-ci a dû copier/coller dans la console de développement du navigateur afin de récupérer le contenu stocké par Zencastr dans le cache local. C’était la seule copie du son qui avait survécu au crash inopiné de sa machine en fin d’enregistrement. Bref, la devise du technicien audio pourrait être : « espérer le meilleur, se préparer au pire ». Ou encore : « hope is not a strategy ». Comme vous l’aurez compris, c’est le technicien audio de NoLimitSecu qui est en train de rédiger cet article MISC.
{ track.downloadFromLocal(); })})
Récupérer les pistes Zencastr depuis la console JavaScript du navigateur. Source : https://gist.github.com/mscottford/16f0222b75e5f0ac70e4b2076ecf7b15.
Tous les incidents ne sont pas techniques ; il y a parfois aussi des accidents humains. Par exemple un invité brillant, une référence dans son domaine, qui se contente de répondre aux questions qu’on lui pose par « oui » et par « non ». Le nombre de gens qui changent de personnalité (jusqu’au ton de leur voix) entre le « off » et le moment où l’enregistrement démarre ne manquera jamais de me surprendre.
Il nous arrive aussi de réaliser des épisodes en présentiel. C’est le cas par exemple de l’épisode avec l’ex secrétaire d’État chargé du numérique Mounir Mahjoubi, ou de l’entretien avec Guillaume Poupard (alors patron de l’ANSSI) : ces deux enregistrements ont été réalisés sous les ors de la République, une sorte de reconnaissance pour notre projet sorti de nulle part. Pour les enregistrements de terrain, nous utilisons un équipement Zoom H6 – du matériel professionnel qui supporte jusqu’à 6 canaux séparés et permet de réaliser du montage en post-production. À noter que l’intégralité du montage est réalisée avec le logiciel libre Audacity (merci à eux).
Notre plus grande réussite ? Certainement le désormais traditionnel épisode du 1er avril ! Chaque année nos contributeurs donnent le meilleur d’eux-mêmes, et suscitent beaucoup de réactions des auditeurs … parfois relativement inquiétantes, par exemple quand ils nous demandent la référence du pare-feu OpenOffice post-quantique qui filtre IPv9 grâce à la blockchain (même si cette idée – bien pitchée – pourrait peut-être réussir à lever des fonds).
7. Qui fait NoLimitSecu ?
Les auditeurs réguliers savent que les piliers de comptoir du podcast sont essentiellement :
- Johanne Ulloa : aujourd’hui expert de la lutte contre la fraude en ligne, il travaillait auparavant dans le domaine du WAF puis de l’antimalware. Mais sa véritable passion est le surf (pas sur Internet !) :) Il est également le gardien du temps et de la bienveillance.
- Nicolas Ruff : ingénieur sécurité dans une multinationale de l’infonuagique, sa principale compétence est la bienveillance critique qu’il porte sur le domaine de la cybersécurité. Il est également le propriétaire de la marque « la sécurité est un échec » (dépôt INPI n°4056492).
- Hervé Schauer : véritable légende de l’informatique française (sa page Wikipédia ayant été injustement effacée par un Suisse), il est le gardien de la mémoire et des valeurs morales. Sa citation préférée ? « Je ne dénonce pas, j’informe juste ».
8. NoLimitSecu, le « off »
NoLimitSecu, c’est plus qu’un podcast : c’est aussi un réseau social ! Une occasion pour les contributeurs et les invités de refaire le monde hors émission, et de nous communiquer des informations hors antenne, comme il est de coutume dans le monde journalistique. Mais ce qui se passe dans le « off » de NoLimitSecu reste dans le « off » de NoLimitSecu. N’espérez pas un bêtisier, car les dérapages sont trop nombreux (la personne dont je parle se reconnaîtra probablement ;).
Nous avons évidemment plein d’autres idées dans les cartons : faire un enregistrement en public, organiser une soirée entre auditeurs dans un bar, faire un « live » Twitch ou YouTube, faire une session de questions/réponses… n’hésitez pas à nous soumettre vos idées à nolimitsecu(at)nolimitsecu.fr !
9. Quelques conseils pour réussir son podcast
En guise de conclusion, voici quelques conseils pour nous faire concurrence et nous remplacer quand l’heure sera venue.
La qualité d’un podcast, c’est la forme autant que le fond. Hé oui, même après 3 ans de télétravail, la majorité de nos intervenants ne disposent pas d’un micro de qualité correcte. Mais la qualité de la forme va au-delà : supprimer les bruits de bouche au montage, ne pas compter sur les systèmes d’enregistrement réseau (tels que CraigsBot) soumis à la perte de paquets, normaliser les pistes des intervenants pour éviter les fluctuations subites de volume… tout un art !
Pour produire du contenu de qualité, il existe deux moyens principaux : « scripter » entièrement son émission (ce que font la plupart des YouTubeurs), ou faire du montage. Autant vous prévenir tout de suite : cette dernière tâche est extrêmement chronophage (environ 3 fois plus longue que l’émission elle-même).
C’est pour cela que nous limitons désormais la durée de nos épisodes à 30 minutes environ. Cette durée est cohérente avec les temps de transport moyens et la capacité d’attention des auditeurs. Si vous dépassez cette durée, il vous faudra probablement chapitrer votre podcast, ajouter de l’habillage sonore (tel que des musiques de transition), et parler à plusieurs voix (par exemple ajouter une voix « off »).
Enfin, l’un des points clés du succès, c’est d’installer une habitude au sein de votre communauté. Même si vous ne publiez qu’une fois par mois (comme le podcast « Nuit Blanche » de la RTS qui sortait à chaque pleine lune), il faut que les auditeurs puissent anticiper avec impatience votre prochaine émission.
Conclusion
Dans un monde où nous subissons l’injonction d’occuper chaque minute de notre temps, le podcast est définitivement installé comme le 8ème art (ou plus, car je vois sur Internet qu’il existe désormais 11 arts depuis l’adjonction de la BD et du jeu vidéo dans cette liste :) ).
D’ailleurs comme on dit dans le milieu : « le podcast c’est comme la littérature, il y a plus de gens qui en produisent que de gens qui en consomment » (un français sur trois ayant un manuscript dans son tiroir).
Difficile à monétiser en France, le podcast n’est pas sans rappeler les radios libres des années 80. De nombreux journalistes professionnels ont d’ailleurs lancé leur projet de podcast en parallèle d’une activité d’information du public beaucoup plus normée (et réglementée). Le podcast offre une liberté de ton loin des discours « Corporate » et marketing qui ont envahi la « Cyber » depuis qu’elle est devenue un marché à plusieurs centaines de milliards de dollars. Et le podcast a la chance d’être (encore) difficile à indexer ; il se réserve donc à ses auditeurs.
Décidément, que de bonnes raisons de vous lancer dès aujourd’hui à l’écoute des nombreuses productions souveraines dans le domaine !
Quant à NoLimitSecu, il continuera d’exister tant que vous continuerez à l’écouter. Chers lecteurs, nous espérons que cet article vous aura intéressé, et nous vous donnons rendez-vous la semaine prochaine pour un nouvel épisode. Au revoir !
PS : Merci à JPG qui a relu cet article, en sus d’avoir été un contributeur régulier du podcast.
Références
NoLimitSecu : https://www.nolimitsecu.fr/feeds/
Hack’n’speak : https://anchor.fm/hacknspeak
Le Monde de la Cyber : https://podcasts.audiomeans.fr/le-monde-de-la-cyber-7962208c
La Robe Numérique : https://www.larobenumerique.com/podcast
La cybersécurité expliquée à ma grand-mère :
https://podcast.ausha.co/la-cyber-securite-expliquee-a-ma-grand-mere
La French Connection (québecois) : https://securite.fm/
Le Comptoir Sécu (historique) : https://www.comptoirsecu.fr/
No Log (historique) : https://shows.acast.com/no-log
Dialogues imaginaires du monde merveilleux de la cyber (parodique) : https://dialogues-imaginaires.net/
