Je me souviens d’une matinée typique au sein de notre équipe CERT : une centaine d’alertes s’entassaient déjà dans la console du SIEM, mon téléphone clignotait avec des messages urgents, et un rapport d’incident critique attendait encore d’être finalisé. Dans ce tumulte, rester concentré relevait du défi permanent.
C’est dans ce contexte à haute pression que j’ai décidé d’expérimenter la méthode Pomodoro pour mieux gérer mon temps et mon énergie. Je vous propose, un retour d’expérience sur l’application de cette méthode de gestion du temps en environnement CERT/CSIRT, avec des exemples concrets de son usage en triage d’alertes, en rédaction de rapports, en cellule de crise ou encore pour l’apprentissage continu.
Le ton sera volontairement opérationnel et ancré dans la réalité du terrain d’un analyste SOC/CERT.
Contexte : pression opérationnelle et interruptions incessantes
Travailler dans un SOC ou un CERT signifie évoluer dans un flux constant d’événements et de sollicitations. Les analystes doivent prioriser une multitude de tâches en temps réel, depuis l’examen d’alertes de sécurité jusqu’à la chasse proactive aux menaces, tout en s’assurant que les plus critiques sont traitées en premier. La charge d’information est telle que la maîtrise du temps devient une compétence critique pour éviter d’être submergé.
Pourtant, le quotidien en sécurité opérationnelle est fait d’imprévus. Une nouvelle alerte prioritaire peut tomber à tout moment, un collègue peut interrompre pour un avis, sans parler des réunions de crise impromptues. Nous sommes constamment interrompus : des études ont montré qu’il faut plus de 20 minutes pour se reconcentrer pleinement après une interruption, alors que nous sommes en moyenne sollicités toutes les 10 minutes. En clair, sans stratégie, on ne retrouve jamais un état de concentration optimale, ce qui engendre fatigue et stress. J’ai moi-même ressenti cette fragmentation permanente du temps, où mes journées étaient émiettées en une myriade de petites plages de travail à cause des interruptions.
Face à cela, j’ai compris qu’il fallait protéger activement mon temps de concentration. Personne d’autre ne le ferait à ma place : aucun interlocuteur ne se dira spontanément « Je vais attendre 30 minutes que tu termines avant de te solliciter ».
J’ai donc cherché des moyens de créer ces bulles de focus indispensables malgré l’environnement bouillonnant. C’est ainsi que je me suis tourné vers la méthode Pomodoro que j’avais utilisé dans mes vies professionnelles précédentes, en me demandant comment l’adapter à la réalité d’un CERT/CSIRT.
Principe de la méthode Pomodoro
La méthode Pomodoro a été développée à la fin des années 1980 par Francesco Cirillo. Son principe est simple : on découpe le travail en sessions de concentration de 25 minutes, appelées Pomodoros, séparées par de courtes pauses de 5 minutes environ. Après 4 Pomodoros consécutifs, une pause plus longue (15 à 20 minutes) est prise pour mieux récupérer. Le nom Pomodoro (tomate en italien) vient du minuteur de cuisine en forme de tomate que Cirillo utilisait au départ pour timeboxer ses tâches.
Concrètement, la technique se décline en cinq étapes classiques :
- Choisir une tâche à accomplir – idéalement une tâche prioritaire et bien définie.
- Régler le minuteur sur 25 minutes – durant cette session, on se consacre uniquement à la tâche, sans aucune interruption. C’est un créneau « indivisible » où l’on doit tout faire pour aller jusqu’au bout du timer.
- Travailler de façon focalisée jusqu’à la sonnerie – on ignore les distractions ou interruptions non critiques pendant ce laps de temps.
- Prendre une courte pause (5 minutes) – une fois le minuteur écoulé, s’accorder quelques minutes de pause pour souffler : marcher, s’hydrater, s’étirer, laisser le cerveau décrocher un instant.
- Tous les 4 cycles, prendre une pause plus longue (15-20 minutes) – après quatre Pomodoros, s’octroyer un break plus conséquent pour une vraie récupération avant de repartir sur de nouveaux cycles.
Ce rythme itératif vise à maintenir un niveau d’attention élevé sur des périodes bornées, tout en prévenant l’épuisement mental grâce aux pauses régulières. En alternant efforts concentrés et repos, on crée un sentiment d’urgence positive (le compte à rebours motive à avancer) suivi de récompenses fréquentes (les pauses).
Cette méthode de timeboxing encourage également une planification légère des tâches à accomplir dans la journée : on peut estimer le nombre de Pomodoros nécessaires par activité et suivre sa progression. Par exemple, pour rédiger un rapport d’incident, je peux prévoir un Pomodoro pour la collecte des informations, un pour la rédaction du brouillon, puis un dernier pour la relecture. Entre chaque, je prendrai quelques minutes pour me détendre et recharger un peu les batteries.
Adapter Pomodoro aux réalités du CERT/CSIRT
Si la méthode Pomodoro est relativement facile à appliquer dans un contexte calme, son implémentation en environnement SOC/CERT requiert quelques aménagements. En effet, nos journées ne sont pas prévisibles ni linéaires : elles sont ponctuées d’urgences et de changements de priorités incessants. J’ai donc dû apprendre à adapter la rigueur de Pomodoro à la pression opérationnelle, en trouvant un équilibre entre focus et flexibilité.
Gérer les interruptions sans perdre le fil
La première adaptation concerne la gestion des interruptions imprévues, qu’elles soient externes (sollicitations par d’autres, nouvelles alertes, appels entrants) ou internes (distractions que l’on s’impose soi-même). La méthode Pomodoro prévoit explicitement un traitement à part des interruptions : l’idée est de les capturer rapidement pour les traiter plus tard, sans interrompre le Pomodoro en cours. Dans la vrai vie, dès qu’une pensée intrusive ou une autre tâche surgit dans mon esprit en pleine session, je la note sur un carnet dédié sans délai (par exemple dans une liste « Urgent à traiter ») puis je reviens immédiatement à ma tâche actuelle.
Le temps passé à noter l’interruption est négligeable et « autorisé » dans la méthode Pomodoro, car on ne change pas réellement de tâche, on gère juste l’interruption. Ce simple fait de noter permet de ne pas l’oublier tout en évitant de céder à la tentation du multitâche.
Pour les interruptions externes, la recommandation est souvent d’informer et de négocier un délai. Par exemple, si un collègue vient me demander quelque chose alors que je suis en plein Pomodoro, je l’informe gentiment que je suis sur une tâche urgente et je propose de revenir vers lui dès que possible (idéalement dans moins d’une demi-heure).
Souvent, un délai de 25 minutes est acceptable pour l’interlocuteur dans un contexte normal. Bien sûr, cela suppose que l’interruption ne soit pas elle-même une alerte critique. Si c’est le cas – par exemple une urgence sécurité qui ne peut attendre – alors la règle Pomodoro est claire : on arrête la session en cours et on la considère comme nulle. Autrement dit, on “casse” le Pomodoro sans état d’âme pour gérer l’incident immédiat, puis on redémarrera un cycle plus tard une fois l’urgence traitée. Francesco Cirillo insiste sur ce point : un Pomodoro entamé doit idéalement sonner pour être comptabilisé, sinon il est abandonné et reporté, le prochain sera « mieux maîtrisé ». La méthode se veut rigoureuse sur l’indivisibilité des sessions, mais dans un environnement critique il faut savoir faire preuve de souplesse et ne jamais sacrifier la gestion d’un incident grave sous prétexte de finir son timer.
J’ai appris à faire ce tri : différencier ce qui peut attendre 20 minutes de ce qui nécessite une réaction immédiate. Dans bien des cas, j’ai été surpris de constater que nombre de sollicitations pouvaient être retardées jusqu’à la prochaine pause sans conséquence majeure. Par exemple, différer la lecture d’un email ou d’un rapport de quelques minutes pour terminer une analyse en cours s’est avéré gérable. En revanche, quand notre système de détection remonte un indice d’intrusion critique en live, je stoppe tout le reste. Le tout est d’être transparent avec l’équipe sur ma démarche Pomodoro : mes collègues savent que si je dis « laisse-moi 10 minutes », ce n’est pas pour esquiver le travail, mais au contraire pour boucler proprement une action en cours avant de les aider, sauf urgence absolue.
Avec le temps, cette communication instaurée (“je reviens vers toi dans X minutes”) a aidé à faire accepter mes bulles de concentration au sein de l’équipe, chacun y trouvant son compte en termes d’efficacité.
Rester flexible dans l’application de la méthode
L’autre enseignement clé est qu’il ne faut pas tomber dans le piège d’une application trop rigide de Pomodoro en contexte mouvant. J’ai d’abord essayé de planifier mes journées entièrement en Pomodoros de 25 minutes, mais j’ai vite réalisé que cette granularité ne convenait pas à toutes les activités du CERT. Certaines tâches techniques profondes (analyse forensique, recherche de menace complexe) peuvent nécessiter de longs blocs ininterrompus au-delà de 25 minutes, tandis que d’autres au contraire (lecture rapide de quelques alertes simples) peuvent se conclure en moins d’un Pomodoro.
Adapter la durée des sessions est alors essentiel : il m’arrive d’utiliser des mini-Pomodoros de 15 minutes pour de petites tâches, ou au contraire des sessions de 40 minutes quand je sais que j’ai besoin d’un créneau plus long de réflexion ininterrompue. La règle des 25 minutes est un point de départ recommandé, mais on peut et on doit la moduler en fonction du contexte.
J’ai également établi quelques principes personnels pour garder un équilibre entre la discipline Pomodoro et la réalité opérationnelle :
- Encourager les pauses régulières : même en crise, j’essaie d’insérer de courts breaks dès que possible. Se forcer à faire une pause de 5 minutes après une période de stress intense apporte un recul salvateur. En temps normal, je respecte autant que possible les pauses Pomodoro planifiées pour respirer, ce qui aide à prévenir l’épuisement. En effet, ces moments de récupération réguliers aident à mitiger le risque de burnout inhérent aux métiers cyber sous pression.
- Ne pas appliquer la méthode de façon dogmatique : Pomodoro est un outil, pas une fin en soi. Je l’utilise pour m’aider, pas pour me contraindre inutilement. Si une règle ne fait pas sens dans une situation donnée, je m’autorise à la contourner. Par exemple, si une analyse en cours nécessite juste cinq minutes de plus pour aboutir, il m’arrive d’enchaîner légèrement au-delà de la sonnerie au lieu de m’interrompre en plein élan – tout en évitant que cela devienne systématique. À l’inverse, en cas de fatigue ou de contexte chaotique, je peux raccourcir un Pomodoro. La flexibilité doit rester de mise, l’objectif étant l’efficacité globale et non la perfection de la technique.
- Adapter le Pomodoro aux tâches collectives : dans un travail d’équipe comme en cellule de crise, j’ai trouvé utile d’appliquer l’esprit Pomodoro de manière collaborative. Par exemple, lors d’un exercice interne, j’ai proposé à mes collègues une session commune de 25 minutes sans interruptions pour plancher sur l’analyse d’une menace, suivie d’une pause commune pour partager nos trouvailles. Ce Pomodoro synchronisé a étonnamment renforcé la concentration de tous pendant le laps de temps imparti. Bien sûr, je ne l’impose à personne – chacun a ses préférences de travail et il serait contre-productif de vouloir forcer l’adhésion. Mais encourager l’équipe à adopter ponctuellement ce mode focus peut porter ses fruits, notamment pour des ateliers ou des tâches nécessitant un effort intense et bref.
- Préserver les urgences et imprévus : enfin, je garde à l’esprit qu’aucune méthode de productivité ne doit empêcher de traiter un incident critique sur-le-champ. Pomodoro ne doit pas devenir un dogme aveugle. J’ai connu des journées où mon planning idéal en Pomodoros a volé en éclats à cause d’une attaque majeure à 10h du matin.
Dans ces cas, la priorité opérationnelle prime : on met le timer de côté et on gère l’incident. Une fois la situation stabilisée, j’utilise justement la technique Pomodoro pour m’organiser dans la réponse (par exemple, 15 minutes pour évaluer l’impact, 25 minutes pour collecter des indices, etc.), mais j’accepte qu’en situation de crise réelle, la méthode serve de guideline flexible plutôt que de règle stricte.
En résumé, j’ai progressivement appris à marier la rigueur de la méthode Pomodoro avec la souplesse qu’impose le terrain. Plutôt que de chercher une application parfaite, j’en retiens l’intention : créer des bulles de concentration protégées au sein du chaos, tout en restant prêt à les percer en cas de nécessité. Sur cette base, voici comment cela se traduit concrètement dans quelques cas d’usage de mon métier.
Triage des alertes : focus par intervalles au lieu de subir le flux
Le triage d’alertes fait partie de mon quotidien en tant que responsable de CERT. Chaque jour, je dois éplucher un volume important de notifications de sécurité, dont seules une poignée déboucheront sur de vrais incidents. C’est une tâche qui peut sembler sans fin et qui est propice à la distraction, car on passe sans cesse d’une alerte à l’autre. Avant, j’avais tendance à traiter ces alertes de façon continue tout au long de la journée, en interrompant ce travail dès qu’un email ou un message arrivait. Désormais, j’essaie d’aborder le tri d’alertes en blocs de concentration dédiés.
Concrètement, le matin en arrivant, au lieu de m’éparpiller immédiatement, je consacre par exemple un Pomodoro entier (25 minutes) à parcourir les alertes accumulées de la nuit. Durant ce laps de temps, je m’interdis de regarder ma boîte mail ou de répondre au téléphone (sauf urgence évidente). Je me fixe l’objectif de traiter un maximum d’alertes en file, en allant du plus critique au moins prioritaire. Cette approche timeboxée m’aide à rester focalisé sur la tâche ingrate de tri, en sachant que quoi qu’il arrive je ferai une pause au bout de 25 minutes.
C’est motivant : je me dis “allez, plus que 10 minutes, tiens bon sans distraire”. Au son de la sonnerie, je fais un point : X alertes traitées, dont peut-être Y fausses alertes fermées et Z suspicions à analyser plus en détail. Je prends ensuite ma petite pause de 5 minutes bien méritée où je peux, cette fois, parcourir rapidement les emails ou messages manqués, m’étirer et souffler.
J’ai constaté qu’en procédant ainsi par sprints de triage, je gagne en efficacité par rapport à un traitement étalé et haché par d’autres activités.
En 25 minutes de focus, je boucle souvent plus d’alertes que je ne le ferais en une heure entrecoupée de petites interruptions. Cela réduit le stock d’alertes en attente plus rapidement, ce qui est appréciable tant pour la sécurité (réactivité accrue) que pour mon sentiment d’accomplissement.
Évidemment, il arrive qu’au cours d’un Pomodoro de triage, je tombe sur une alerte qui s’avère être un véritable incident. Par exemple, un matin, une alerte parmi d’autres sur un flux réseau suspect s’est révélée correspondre à une exfiltration de données potentielle. Dans ce cas, dès que j’ai compris la criticité, j’ai immédiatement interrompu mon tri pour escalader l’incident et démarrer les mesures de réponse. Mon Pomodoro en cours a été sabré net à la 18ème minute – et c’est très bien ainsi. La méthode m’avait aidé à rester concentré jusqu’à identifier le problème ; une fois l’incident détecté, la priorité a basculé sur l’incident response classique. Je considère alors ce Pomodoro comme « avorté » (il ne sera pas compté) et j’en ouvre un nouveau plus tard pour reprendre le tri quand la situation critique est sous contrôle.
Globalement, appliquer Pomodoro au tri d’alertes m’a appris à mieux cloisonner le temps de veille et de traitement routinier. Plutôt que d’être en permanence dans un multitâche confus (un œil sur les alertes, un œil sur autre chose), je segmente ma matinée : par exemple, 1 à 2 Pomodoros exclusivement pour les alertes, puis je passe à autre chose. Cela rejoint d’ailleurs les conseils de base en gestion du temps qui préconisent de se créer des fenêtres sans interruption pour les tâches importantes. En tant qu’analystes, nous ne pouvons évidemment pas ignorer une alerte critique qui surviendrait hors de ces fenêtres, mais on peut du moins éviter de se disperser sur des alertes mineures ou des faux positifs en continu. Cette approche améliore mon taux de détection efficace : en priorisant les alertes durant un créneau concentré, je suis plus à même de repérer celle qui compte vraiment au milieu du bruit.
Rédaction de rapports d’incident : rigueur et productivité améliorées
La rédaction d’un rapport d’incident est une tâche qui requiert un tout autre mode de travail : plus posé, analytique, sans urgence immédiate (l’incident étant clos ou en passe de l’être), mais qui souffre facilement de procrastination. Combien de fois ai-je repoussé la finalisation d’un compte-rendu, faute d’inspiration ou par distraction, alors même que c’est une obligation importante vis-à-vis de la gestion de crise et des leçons à tirer ? Ici, la méthode Pomodoro m’a apporté une structure claire pour avancer pas à pas dans la rédaction.
Lorsque je dois écrire un rapport d’incident, je commence par planifier mes Pomodoros dédiés à ce travail. Typiquement, je vais allouer : un Pomodoro pour rassembler toutes les informations nécessaires (chronologie de l’incident, éléments de preuve, actions menées), un Pomodoro pour rédiger le corps du rapport (description, impact, remédiation) et un dernier Pomodoro pour la relecture, les finitions et la formulation des recommandations. Cette subdivision en étapes de 25 minutes me force à découper le travail intellectuel : plutôt que de voir le rapport comme une montagne, je le vois comme une succession de petites missions concrètes à boucler l’une après l’autre.
Par exemple, durant le premier Pomodoro (25 min), je ne fais que compiler les faits : ouvrir mes notes d’incident, copier les éléments clés (horaires, IP, vecteur d’attaque, etc.), vérifier les données manquantes. Je reste concentré sur cette collecte d’infos sans encore rédiger une phrase du rapport. Quand la sonnerie retentit, je fais une pause. Ensuite, deuxième Pomodoro : rédaction continue pendant 25 minutes. Je me lance en écrivant le récit de l’incident et les analyses, sans m’arrêter pour éditer chaque phrase à la perfection. L’idée est d’avancer un maximum tant que l’élan est là. Si une idée de formulation ou une correction me vient pour une section que je n’ai pas encore traitée, je la note sur le côté (comme « à ajouter plus tard ») pour ne pas briser mon flux d’écriture. Après cette session intensive, nouvelle pause. Enfin, troisième Pomodoro : relecture et amélioration. Je passe en revue tout le brouillon, je peaufine les phrases, corrige les fautes, m’assure que les éléments importants y figurent bien. Souvent, 25 minutes supplémentaires suffisent pour polir le document et le finaliser.
Grâce à ce mode opératoire, j’ai constaté une réduction notable du temps total passé sur un rapport, mais surtout une amélioration de la qualité perçue. Le fait de me concentrer entièrement sur la rédaction pendant des blocs dédiés élimine les tentations de faire autre chose (comme vérifier une autre alerte ou un email pendant que je « réfléchis » à une phrase). Je suis immergé dans mon rapport pendant ces fenêtres, ce qui se ressent dans la cohérence du récit. Et la perspective de la pause proche m’aide à rester motivé : par exemple, dans les moments où l’inspiration manque, je me dis « écris encore 10 minutes, après tu pourras souffler un coup ». Souvent, la contrainte du minuteur me pousse à écrire quelque chose plutôt que de bloquer trop longtemps sur un détail ; je sais que je pourrai affiner lors de la relecture.
J’ai également pu mieux estimer mes efforts avec l’expérience Pomodoro. Par exemple, je sais qu’un rapport d’incident standard me prend en moyenne 3 à 4 Pomodoros au total. Cela me permet de planifier mon emploi du temps plus justement (« cet après-midi, deux cycles Pomodoro seront dédiés à tel rapport, puis un autre demain matin pour finaliser »), au lieu de procrastiner et de finir tard le soir. Ce fonctionnement est d’ailleurs encouragé par la méthode : si une tâche nécessite plus de 7 Pomodoros, c’est qu’elle mérite d’être découpée en sous-tâches plus petites – un conseil que j’applique désormais systématiquement pour les gros rapports ou projets.
En résumé, pour la rédaction de rapports, Pomodoro m’a apporté de la discipline et du rythme là où j’avais tendance à traîner. C’est un usage presque idéal de la technique, car l’écriture s’accorde bien avec les intervalles réguliers. Les interruptions externes sont plus rares (je peux souvent m’isoler ou indiquer que je suis indisponible pendant que j’écris), donc je parviens fréquemment à enchaîner mes Pomodoros sans casse jusqu’au bout du rapport. Et quel plaisir de cocher mentalement chaque « tomate » accomplie et de voir le rapport progresser concrètement toutes les 25 minutes !
Coordination en cellule de crise : concilier rigueur Pomodoro et urgence terrain
Travailler en cellule de crise (lors d’un incident majeur) est sans doute la situation la moins propice a priori à l’application de Pomodoro. Quand une crise éclate, on entre dans un mode particulier : le temps s’accélère, les priorités changent de minute en minute, il faut mobiliser plusieurs acteurs et communiquer constamment. Difficile d’imaginer dire à ses collègues en pleine gestion d’un ransomware : « Attendez, je suis dans mon Pomodoro, je ne parle à personne pendant 25 minutes » ! Soyons clairs, en phase aiguë de crise, la méthode Pomodoro classique s’efface devant l’impératif de gestion. Cependant, j’ai trouvé que certains principes issus de Pomodoro pouvaient aider même dans ces moments chaotiques, une fois le pic d’urgence initial passé.
Mon retour d’expérience porte sur une crise en particulier : une compromission critique d’un serveur sensible, qui a mobilisé notre CERT pendant toute une journée. La première heure a été purement réactive et non-structurée : notifications dans tous les sens, réunion d’urgence déclenchée, chacun s’affairant à collecter des infos pour contenir l’attaque. Pas question de timer à ce moment-là – l’adrénaline guide l’action. Néanmoins, une fois les mesures de containment en place, j’ai pris une initiative inspirée de Pomodoro : j’ai suggéré à l’équipe que nous travaillions en cycles de 30 minutes. Concrètement, nous avons convenu que pendant 30 minutes tout le monde se concentre sur sa sous-tâche (analyse des logs, vérifications des systèmes, communications aux parties prenantes, etc.) sans se couper mutuellement, puis qu’on se retrouve pour un point de synchro rapide et une micro-pause, avant de repartir sur un nouveau cycle.
Cette approche a été une sorte de Pomodoro d’équipe en cellule de crise. Le choix de 30 minutes (plutôt que 25) était arbitraire, dicté par la nature des tâches, mais l’idée était la même : imposer des sprints focalisés malgré la pression, et insérer de courts moments de recul régulier. À ma surprise, cela a plutôt bien fonctionné : pendant les plages de travail, chacun savait qu’il avait le « droit » de ne pas répondre instantanément aux sollicitations (sauf alerte critique bien sûr), puisque de toute façon on avait un check-point prévu peu après. Les échanges frénétiques ont donc un peu diminué, permettant aux analystes de vraiment creuser dans leur investigation pendant le cycle en cours. Personnellement, j’ai pu analyser beaucoup plus rapidement les journaux système en me coupant du flot de discussions pendant ces intervalles. Ensuite, lors du point régulier (souvent plus court que 5 minutes), on partageait les découvertes et on réajustait les priorités si besoin. Cela ressemblait presque à un stand-up meeting agile toutes les demi-heures. Entre ces réunions éclair, chacun prenait aussi 2-3 minutes pour boire un verre d’eau, respirer un coup, ce qui aide à tenir sur la durée de la crise.
Bien sûr, cette timeboxing en pleine crise n’était pas parfaite : parfois un nouvel événement critique survenait avant la fin du cycle et il fallait immédiatement en informer tout le monde, rompant le rythme. Mais dans l’ensemble, cela a introduit un peu d’ordre dans le chaos. Ça nous a évité aussi le syndrome du tunnel sans pause : dans le feu de l’action, on a tendance à oublier de manger ou de se reposer, ce qui au bout de quelques heures dégrade fortement nos capacités. En imposant (même légèrement) des pauses régulières à l’équipe, j’ai vu que tout le monde était un peu plus lucide en fin de journée. D’ailleurs, les retours de mes collègues ont été positifs : ils ont apprécié qu’on se rappelle mutuellement de faire des pauses et que le travail en crise soit organisé en phases distinctes plutôt qu’un sprint incessant du matin au soir. En ce sens, l’esprit Pomodoro a contribué à notre endurance collective, sans rigidité excessive.
Le bilan, c’est qu’en contexte de crise, la flexibilité reste le maître-mot. Il ne s’agit pas d’appliquer bêtement des intervalles fixes, mais d’utiliser les principes de base (focus intense sur une période donnée, puis pause de décompression, puis synchronisation) pour mieux gérer le temps et le stress. Ce qui compte, c’est la respiration que cela apporte dans une situation autrement suffocante. Un Pomodoro complet classique n’est pas réaliste en plein incident critique, mais on peut en retenir l’idée de rythmer la crise en alternant efforts et relâchements brefs. Cela rejoint une maxime que j’ai adoptée : « soyez rigoureux dans vos priorités, flexibles dans vos méthodes ». La rigueur, c’est de tout faire pour résoudre la crise efficacement (donc ne pas se disperser inutilement) ; la flexibilité, c’est d’ajuster sur le moment la durée des cycles, la fréquence des points d’étape, etc., en fonction de l’évolution de l’incident. Au final, même en cellule de crise, Pomodoro m’a servi de boussole pour ne pas perdre complètement la notion du temps et pour prendre soin de l’équipe (et de moi-même) durant les longues heures de mobilisation.
Apprentissage continu : se réserver du temps pour monter en compétence
Enfin, un aspect souvent négligé du travail en sécurité opérationnelle est l’apprentissage continu. Les menaces évoluent sans cesse, de nouvelles techniques et outils apparaissent, et il est impératif pour un analyste SOC/CERT de consacrer du temps à se former et à s’informer en permanence. Or, dans le tourbillon des alertes et incidents, il est très facile de repousser sine die ces activités de veille technologique, de lecture d’articles ou de suivi de formations. J’ai moi-même souvent eu du mal à dégager du temps de cerveau disponible pour lire des rapports de threat intelligence ou pour me former sur une nouvelle technique forensique, car « il y a toujours plus urgent à faire ».
Là encore, la méthode Pomodoro m’a été d’une aide précieuse pour institutionnaliser ces moments d’apprentissage dans ma routine. J’ai commencé à planifier chaque semaine quelques Pomodoros dédiés à la veille ou à la formation. Par exemple, je bloque deux créneaux de 25 minutes dans la semaine (souvent en début d’après-midi quand l’activité est un peu plus calme) spécifiquement pour de la lecture ou de l’entraînement sur plateforme en ligne. Durant ces sessions, je traite mon apprentissage comme une tâche prioritaire, en appliquant le même degré de focus : je coupe les notifications, je me fixe un objectif (par exemple lire tel article du CERT-FR) et je m’y consacre jusqu’au timer.
Les premières fois, ce n’était pas évident car je culpabilisais un peu de « ne pas être productif sur les incidents » pendant ce temps. Mais j’ai réalisé qu’investir régulièrement 25 minutes pour apprendre un nouvel exploit, ou pour se tenir à jour des menaces actuelles, me rendait plus efficace à long terme dans le traitement des incidents. Et 25 minutes, c’est si court sur l’ensemble de la semaine que cela n’handicape pas réellement mes autres tâches – surtout si je le fais dans des moments creux. J’ai aussi remarqué que me donner cette limite de temps m’évitait de tomber dans le piège inverse : si je commence à lire sans limite, je pourrais y passer des heures et retarder mes autres travaux. Le Pomodoro de veille m’apporte un cadre : « je lis intensivement pendant 25 min, puis je retourne à mes alertes ».
Un exemple concret : j’ai consacré un Pomodoro à un rapport sur une nouvelle campagne APT. J’ai pris des notes durant la lecture. À la sonnerie, j’ai résumé pour mes collègues les points clés pendant la pause. Puis j’ai repris le cours normal du travail. Ce format a été bien accueilli, car cela a permis de diffuser l’info à l’équipe sans monopoliser trop de temps. Par la suite, quand une alerte similaire à la campagne lue est survenue, je l’ai reconnue plus vite grâce à ce que j’avais appris. C’est là que j’ai mesuré l’importance de sanctuariser du temps pour l’apprentissage : c’est un investissement qui renforce nos capacités de réponse. D’ailleurs, de nombreuses certifications exigent de documenter un nombre d’heures de formation continue par an – signe que le domaine reconnaît formellement cette nécessité.
Aujourd’hui, je continue donc à utiliser Pomodoro pour m’assurer de ne pas négliger ma progression personnelle.
En somme, Pomodoro, ce n’est pas que pour la productivité immédiate, c’est aussi un moyen de donner une place régulière aux activités de fond qui sont cruciales mais pas urgentes (jusqu’au jour où elles le deviennent, quand un incident utilise justement la technique qu’on vient d’étudier !).
Conclusion
Au terme de cette expérience, j’ai pu constater que la méthode Pomodoro, bien qu’initialement pensée pour un environnement de travail individuel et structuré, peut réellement apporter de la valeur dans un contexte CERT/CSIRT à haute intensité, à condition de l’adapter intelligemment.
En tant que responsable de CERT, je retire plusieurs bénéfices concrets de son utilisation modulée : une meilleure concentration sur les tâches de fond malgré le flot d’interruptions, une gestion plus sereine du tri d’alertes, une efficacité accrue dans la rédaction des rapports, une approche un peu plus organisée des situations de crise, et enfin la garantie de m’accorder du temps pour monter en compétence en continu.
Je retiens aussi quelques limites : il faut savoir lâcher prise sur la méthode en cas de réelle urgence, et ne pas ajouter du stress en voulant à tout prix tenir son Pomodoro quand ce n’est pas approprié. L’objectif n’est pas de suivre aveuglément une technique de productivité de plus, mais d’en faire une alliée flexible. Dans les contextes critiques, l’équilibre est maître : il s’agit de tirer parti de la rigueur de Pomodoro (focus intense, régularité des pauses, découpage des tâches) tout en conservant la souplesse opérationnelle indispensable aux métiers de la cybersécurité.
Cette aventure m’aura permis de mieux comprendre mes propres modes de fonctionnement et d’améliorer ma gestion du temps sous pression. J’espère que ce retour d’expérience donnera aux autres analystes SOC, CERT ainsi qu’aux RSSI des pistes pour expérimenter à leur tour cette méthode.
Que ce soit pour vaincre la procrastination d’un travail d’analyse ou pour souffler 5 minutes en plein rush, la « tomate » Pomodoro a trouvé sa place dans ma panoplie d’outils professionnels – discrète mais efficace, et surtout adaptable à nos réalités métier.
Sources
- Koffi Hounnou – « La technique Pomodoro : une approche efficace pour la gestion du temps », LinkedIn (28 juil. 2023).
- Francisco Sáez – “How to deal with interruptions in The Pomodoro Technique”, FacileThings Blog (2013).
- Mick Leach – “Priorities Beyond Email: How SOC Analysts Spend Their Time”, Abnormal Security via Cloud Security Alliance (21 mai 2024).
- Karine Turcin – « Gestion du temps : en finir avec les distractions et les interruptions », La Facilitation (2020).
- Lark – “Pomodoro Technique for Cybersecurity Teams”, Lark.com (Guide, 2024).
