Deux conférences digitales de deux heures, ponctuées de « keynotes » de speakers prestigieux, de débats et de tables-rondes réunissant des experts de la finance européenne permettront de décrypter les tendances et les défis des prochains mois.
Nous évoquerons les nouveaux équilibres géopolitiques, dans un paysage mondial en totale redéfinition. Nous nous interrogerons sur les conséquences de l’inflation sur la consommation mondiale, sur les marchés obligataires et sur la solidité du système bancaire international. Nous regarderons aussi l’avenir du secteur financier : un avenir qui semble se dessiner « plus vert » et plus « techno ». Mais, concrètement, que faut-il comprendre derrière ces deux évolutions ?
Nous évoquerons les nouveaux équilibres géopolitiques, dans un paysage mondial en totale redéfinition. Nous nous interrogerons sur les conséquences de l’inflation sur la consommation mondiale, sur les marchés obligataires et sur la solidité du système bancaire international. Nous regarderons aussi l’avenir du secteur financier : un avenir qui semble se dessiner « plus vert » et plus « techno ». Mais, concrètement, que faut-il comprendre derrière ces deux évolutions ?
Category
🗞
NewsTranscription
00:00 [Musique]
00:04 Bonjour, pour la dernière séquence de nos deux jours de conférence digitale,
00:08 je suis très heureuse d'accueillir sur ce plateau Guillaume Poupard.
00:12 Bonjour.
00:12 Bonjour, vous êtes Guillaume, vous êtes maintenant directeur adjoint
00:15 et membre du comité exécutif de DocaPost, la filiale numérique du groupe La Poste.
00:19 Alors, sans vouloir faire de l'histoire, mais vous avez été directeur général de l'ANSI,
00:24 l'Agence nationale de la sécurité des systèmes d'information, de 2014 à 2022.
00:29 À ce titre, vous avez milité, porté, défendu la cybersécurité, la cyberdéfense,
00:35 la cyberrésilience des entreprises et des institutions françaises.
00:40 Alors, je reviens un peu là-dessus parce que j'aimerais avoir votre avis.
00:43 Comment est-ce qu'aujourd'hui, vous jugez le niveau de cybersécurité
00:46 des institutions financières européennes ?
00:49 Et en clair, si je mets les pieds dans le plat,
00:52 est-ce qu'on peut dire qu'il y a un risque systémique,
00:55 un risque cybersystémique pour la finance européenne ?
00:59 En une dizaine d'années, j'ai vu les choses évoluer très vite.
01:01 Et ça, c'est l'effet positif quelque part.
01:03 La menace s'est accrue en même temps.
01:06 Donc, il y a plein d'effets négatifs, mais globalement,
01:07 il y a une prise de conscience qui est très forte.
01:09 Le secteur financier, non seulement, n'y échappe pas à cette prise de conscience,
01:13 mais a plutôt été leader parce que les questions de sécurité, en général,
01:16 sont des questions qui portent dans le monde financier.
01:20 Depuis toujours, on cherche à voler l'argent des autres.
01:21 Donc, c'est plutôt un bon point.
01:25 Et donc, mon sentiment, c'est qu'aujourd'hui, avec les démarches de chaque entité,
01:31 avec tous les travaux qu'on a pu faire avec la Banque de France, par exemple,
01:34 tous les travaux européens, on parle beaucoup de directives, de réglementations,
01:36 mais c'est important aussi de porter ces questions réglementaires.
01:40 Le secteur financier, il est à risque de manière intrinsèque, comme tout le monde,
01:45 mais il est bien préparé.
01:46 Par contre, le problème, c'est les autres.
01:48 Le secteur financier ne vit pas tout seul, il ne vit pas en autarcie.
01:50 Je ne suis pas un expert, mais c'est une évidence.
01:52 Et les autres, c'est qui ? Ce sont les autres secteurs.
01:54 Et tous les secteurs sont devenus critiques dans ce domaine-là.
01:56 Certains sont beaucoup moins en avance,
01:57 certains sont beaucoup moins sensibilisés encore,
01:59 malgré les attaques bien réelles que l'on observe.
02:02 Et puis, il y a la question des tout petits, ou des petits, simplement,
02:04 parce que pour une boîte du CAC 40, faire de la cyber, c'est compliqué, c'est coûteux,
02:09 mais ça se fait.
02:10 Pour une PME, c'est un problème quasiment insoluble, en fait.
02:13 Et donc, l'enjeu aujourd'hui, probablement, il s'est, en l'espèce d'une dizaine d'années,
02:16 il s'est décalé des grands acteurs, de ceux auxquels on pense en premier,
02:20 vers des acteurs beaucoup plus petits, auxquels on pense moins,
02:23 qui, pris individuellement, c'est un problème pour eux,
02:26 mais ce n'est pas un problème systémique.
02:27 Par contre, si ça touche beaucoup de ces acteurs-là,
02:30 la catastrophe, elle est devant nous, clairement.
02:32 Elle est devant nous pour la France ?
02:35 Et les banques seraient directement touchées ?
02:38 La France, l'Europe, tout ça est très interconnecté.
02:41 C'est une évidence de dire que le numérique abolit les frontières.
02:45 Ce n'est pas tout à fait vrai, ce n'est pas faux non plus.
02:48 Donc, voilà, des banques qui seraient seules protégées, tout ça,
02:51 alors que tous leurs clients seraient dans une mauvaise situation,
02:54 on voit très bien que c'est leur problème également.
02:56 Et ça, c'est vrai en France, c'est vrai en Europe,
02:58 c'est vrai à une échelle géopolitique plus importante,
03:00 probablement pour les très grandes banques, ça les touche également.
03:02 Et donc, l'enjeu, c'est bien de réussir à proposer des solutions à tout le monde,
03:05 aujourd'hui, sachant qu'il n'y a pas de T-shirt à taille unique,
03:09 comme on dit parfois.
03:10 Il n'y a pas de solution qui répond à tous les problèmes pour tout le monde.
03:13 Donc, il faut réussir à faire quand même un petit peu de la dentelle,
03:15 avec des solutions techniques,
03:16 avec de la mise en œuvre au sein de chacun, de chaque entité,
03:21 public ou privé d'ailleurs, tout le monde est concerné,
03:23 et avec une coordination autour de tout ça,
03:25 où la réglementation peut apporter quelque chose.
03:27 Et là, l'Europe s'en empare,
03:29 on a une autre directive, c'est la directive Nice qui arrive,
03:31 donc en plus de Dora qui touche plutôt le secteur financier.
03:34 Tout ça, ça va dans le bon sens, mais maintenant, il faut faire,
03:36 et se mettre en position de faire.
03:38 Je reviens juste, vous avez évoqué pour le moment,
03:39 on a quelques, en effet, il y a des faits divers,
03:41 on sait qu'il y a quelques entreprises qui ont fait faillite.
03:43 On a une idée du nombre de structures, de petites ou moyennes structures,
03:47 qui sont touchées chaque année en France,
03:49 on sait que ça augmente, mais est-ce qu'on peut quantifier ?
03:53 Alors, on est certain qu'il y a beaucoup de victimes.
03:55 On a beaucoup de mal à le quantifier objectivement.
03:58 Il y a des chiffres qui circulent.
04:01 Il y a un chiffre américain qui dit qu'à peu près la moitié des PME
04:05 qui perdent durablement leur système d'information et leurs données,
04:08 donc en gros, quand tout le numérique est ravagé,
04:10 et ça peut arriver avec une attaque informatique,
04:13 il y en a une sur deux à peu près qui fait faillite.
04:15 Je ne sais pas dire.
04:17 En tout cas, ce qui est certain, c'est que ce n'est pas 1%.
04:19 Il y a un vrai phénomène de masse autour de ça.
04:23 Donc, on a besoin d'observer.
04:24 On a un chiffre noir.
04:26 Le ministère de l'Intérieur parle souvent de chiffre noir de la cybersécurité.
04:28 C'est un vrai chiffre noir.
04:29 On ne sait pas bien le mesurer.
04:30 On a besoin d'un observatoire.
04:33 Il y a des acteurs qui me tiennent à cœur, comme l'Annecy
04:35 ou comme le GIP, cibernaviance.gouv.fr,
04:39 qui sont plutôt des petites structures qui travaillent là-dessus,
04:41 qui sont en train de préparer un tel observatoire.
04:43 On a besoin d'avoir des chiffres.
04:44 On a besoin d'avoir des dépôts de plaintes, même tout simplement,
04:47 pas uniquement pour avoir des chiffres, mais ça y contribue, objectivement.
04:50 Et puis, surtout, il y a besoin de continuer à partager dans les écosystèmes.
04:52 Et ça, ça se fait de plus en plus objectivement,
04:54 avec des gens qui viennent témoigner.
04:56 Alors, ce n'est pas du quantitatif, mais d'un point de vue qualitatif,
04:58 on va dire que c'est très prenant.
05:01 Quand vous écoutez un patron d'hôpital ou un DSI d'hôpital,
05:05 un patron de PME, qui s'est fait véritablement attaquer,
05:07 et j'en ai malheureusement rencontré beaucoup,
05:09 c'est extrêmement saisissant.
05:10 Et quelque part, ça aide à se mettre en mouvement.
05:14 Alors, très concrètement, qu'est-ce que peuvent faire les PME ?
05:16 Notamment, vous disiez que c'était les PME particulièrement chez qui c'était difficile.
05:20 Qu'est-ce qu'elles peuvent faire ? Vers qui est-ce qu'elles peuvent se tourner ?
05:22 Je disais que les petits, les grands, parce que ce n'est évidemment pas les mêmes solutions.
05:26 Les grands peuvent intégrer de la technologie et construire leur sécurité.
05:30 Les plus petits ne peuvent pas faire ça, évidemment, ils ont besoin de solutions.
05:33 Donc, si on résume un petit peu ce qu'on peut conseiller aux petits,
05:35 pour être un peu pragmatique, d'abord, il y a une forme d'hygiène.
05:39 Je n'ai pas peur du terme d'hygiène numérique.
05:41 Il ne faut pas faire n'importe quoi, parce que quand on fait n'importe quoi,
05:42 on prend beaucoup plus de risques.
05:44 On aide les attaquants, donc de l'hygiène, des mots de passe et tout ça,
05:47 sur la sensibilisation de ses collaborateurs.
05:48 Ce sont des choses qu'il faut faire, impérativement, il y a plein de ressources pour le faire.
05:52 Et puis après, il faut se tourner vers les différents écosystèmes
05:54 qui peuvent y avoir autour, les différents réseaux.
05:56 Et là, je pense que c'est un axe de progrès, objectivement, pour beaucoup d'entre nous,
06:01 et je nous mets dedans, que ce soient les banques, évidemment.
06:06 Parce que quand on prend une PME, à qui elle parle, une PME ?
06:09 Elle parle à sa banque, elle parle à son assureur, elle parle à son expert comptable,
06:14 elle parle à son opérateur télécom.
06:15 Et donc, pour tous ces gens dont ce n'est pas forcément le métier, à la base,
06:18 de faire de la cybersécurité, aujourd'hui, il y a quasiment un devoir de conseil
06:22 autour du cyber pour dire, voilà ce que vous devriez faire.
06:26 Voilà, pas le faire à leur place, évidemment, mais pour apporter ce conseil.
06:30 Et le retour que j'ai de beaucoup d'amis, c'est que ces questions arrivent, d'ailleurs.
06:35 Un ami banquier qui me disait, déjà, il y a très longtemps,
06:38 tu n'as pas idée du nombre de PME qui viennent nous voir,
06:40 en disant, mais qu'est-ce que je dois faire en cyber ?
06:42 Et donc, ce n'est pas le métier de la banque d'apporter des solutions,
06:45 mais en même temps, il y a un devoir de conseil.
06:47 Donc, on doit organiser ces écosystèmes et en parallèle, pour que ça fonctionne,
06:51 on doit être capable d'apporter des solutions, pas de la techno,
06:54 mais bien des solutions simples à l'emploi.
06:56 On y travaille en ce moment, je ne suis pas là pour faire de la pieu pour Decapos,
06:58 mais on y travaille pour avoir une offre qui soit facile à acheter,
07:01 facile à vendre, facile à utiliser, bref,
07:03 qui n'ait pas besoin d'avoir des experts de la cyber,
07:05 qui sont en nombre très compté aujourd'hui, qui ne vont pas aller jusque dans les PME.
07:09 Il n'y a pas besoin d'experts pour être capable de se protéger efficacement.
07:12 Si je reprends la casquette de la position d'une banque,
07:16 on comprendra clairement que si c'est les clients de la banque, PME, moyenne,
07:20 quel que soit la particulière, ça devrait aussi,
07:22 particuliers, petites entreprises, PME, si les clients sont en risque cyber,
07:27 ça la met en risque de crédit quelque part.
07:29 Donc, est-ce que les banques elles-mêmes commencent à se poser des questions,
07:33 à analyser le risque cyber de leurs clients ou de leurs futurs clients ?
07:38 Je ne sais pas, est-ce qu'on verra dans quelques années,
07:40 comme on voit un comité de crédit, un comité cyber ?
07:41 Parce que quelqu'un qui a une bonne notation de crédit,
07:44 mais une très mauvaise notation cyber,
07:46 finalement, c'est peut-être un très mauvais client pour une banque.
07:49 C'est le sens de l'histoire.
07:50 On a besoin, comme il y a plein de choses qui sont notées sur la santé financière,
07:53 tout ça, c'est quelque chose qui est classique dans le monde financier.
07:56 On va avoir besoin, on a déjà besoin aujourd'hui,
07:58 de noter le niveau de sécurité des différents acteurs.
08:03 C'est très important pour les entreprises, pour juger de leurs prestataires,
08:06 pour juger de leur supply chain, je suis désolé de l'anglicisme,
08:09 mais enfin bref, de toute la chaîne dans laquelle ils s'inscrivent.
08:12 Parce que travailler avec des gens qui sont très à risque au niveau cyber,
08:15 c'est un danger pour soi-même.
08:16 Donc, on a besoin d'une telle notation.
08:19 La Banque de France, à ma connaissance,
08:20 commence à intégrer ces questions-là dans ses notations et ce n'est pas par hasard.
08:24 Les grandes agences de notation internationales
08:26 commencent également à intégrer le cyber parce qu'il y a un vrai besoin.
08:29 Bref, tout le monde veut du cyber.
08:31 Les assureurs ont besoin d'une notation parce que,
08:34 si on assure n'importe qui contre n'importe quoi,
08:36 on voit bien que le modèle ne fonctionne pas.
08:38 La grosse difficulté, c'est qu'aujourd'hui,
08:39 on a encore beaucoup de mal à le mettre en œuvre en pratique.
08:41 C'est très dur de noter quelqu'un au niveau cyber.
08:43 Il y a des initiatives, il y a des start-up qui travaillent,
08:46 il y a des beaux projets, objectivement,
08:48 mais ils ne sont pas encore totalement au point, pour être franc.
08:51 Parce que noter le cyber, il ne faut pas noter que l'extérieur,
08:54 il ne faut pas noter que le site web.
08:55 Ça peut compter, ça a un sens, mais il faut être beaucoup plus intrusif.
08:59 Et toute la question, en fait, sans rentrer dans le détail,
09:01 c'est comment est-ce qu'on fait pour avoir une note
09:03 qui reflète vraiment du niveau de sécurité,
09:05 sans aller faire un audit ultra complet
09:07 de l'ensemble des systèmes d'information.
09:08 Aujourd'hui, on ne sait pas vraiment résoudre ce problème-là.
09:11 Mais il va falloir le faire pour normaliser ce risque cyber.
09:14 À vous écouter, on se dit qu'on est un peu dans un moment charnière.
09:17 Si on fait un saut dans le temps,
09:19 qu'on se met, je ne sais pas,
09:19 enfin les univers changent tellement vite dans ce monde,
09:22 mais si on se projette à 10 ans,
09:25 ce serait quoi le paysage idéal, le paysage possible ?
09:29 Alors 10 ans, c'est énorme,
09:30 mais il faut faire l'exercice de prospective, évidemment.
09:35 Si tout va bien, le risque cyber sera devenu un risque comme les autres.
09:40 Et malheureusement, il y en a d'autres, des risques,
09:41 et les risques s'additionnent,
09:42 ils ne se compensent pas les uns les autres.
09:44 Donc des risques financiers, des risques climatiques,
09:46 enfin voilà, tous ces risques vont être pris en compte.
09:48 Aujourd'hui, le cyber est encore traité de manière très ad hoc.
09:51 C'est des spécialistes et tout ça,
09:53 les COMEX, les conseils d'administration ont du mal,
09:55 encore pour beaucoup d'entre eux, à aller vers le cyber.
09:57 Alors que le rôle d'un COMEX, d'un conseil d'administration,
09:59 c'est de gérer du risque.
10:00 Ce n'est pas à vous de le prendre.
10:03 Et le cyber est encore traité de manière ad hoc.
10:04 Donc dans 10 ans, mon espoir, c'est que,
10:07 grâce à la prise de conscience, grâce aux solutions,
10:09 grâce à la réglementation, finalement,
10:11 ce soit un risque comme les autres.
10:13 Et après, le pari qu'il faut faire,
10:14 et pour ça, il faut y mettre beaucoup d'énergie,
10:16 c'est que ce soit les gentils qui gagnent,
10:17 et pas les méchants qui l'emportent.
10:19 Et ça, ça demande encore un peu de boulot.
10:21 Guillaume Poupard, on arrive au terme de notre échange.
10:24 Si on ne doit retenir qu'une chose, quel est votre message aujourd'hui ?
10:28 On peut se protéger face à la menace cyber.
10:30 On est trop défaitiste,
10:32 on a trop peur de ce qu'on observe,
10:33 parce que ça fait peur, objectivement.
10:35 Un hôpital à l'arrêt, ça fait peur,
10:36 une entreprise à l'arrêt, ça fait peur.
10:38 Les conséquences financières,
10:39 et même au-delà des conséquences financières,
10:41 les conséquences en termes de sécurité physique
10:43 peuvent être absolument dramatiques.
10:45 On est un petit peu omnubilé par ce risque
10:47 et par le sang et les larmes que ça génère.
10:51 La chose importante à comprendre,
10:53 notamment pour les décideurs,
10:55 c'est que c'est leur sujet, d'abord,
10:57 et que ce sujet, il est traitable.
10:58 Il faut y mettre des moyens,
10:59 il faut y mettre une certaine énergie,
11:00 à bonne proportion,
11:02 mais il y a des solutions pour se protéger.
11:03 Il ne faut pas être défaitiste.
11:05 Merci beaucoup Guillaume Poupard,
11:06 merci pour ce message qui, je pense,
11:08 aura touché sa cible.
11:09 [Musique]