Jeudi 17 octobre 2024, NEW ERA reçoit Yann Bonnet (Directeur Général délégué, Campus Cyber) , Théodore-Michel Vrangos (cofondateur & CEO, I-Tracing) , Rodolphe Harand (VP of Global Sales, YesWeHack) et Jean-Philippe Commeignes (Head of Sales and Business Development, TIXEO)
Category
🗞
NewsTranscription
00:00Bonjour à toutes et tous, vous êtes sur BSmart ThoughtChange dans New Era.
00:16Nous allons parler aujourd'hui de la cybersécurité qui est au cœur des préoccupations mondiales.
00:21Chaque jour, nous sommes confrontés à des cyberattaques de plus en plus sophistiquées.
00:26Que vous soyez une entreprise, une administration ou un particulier, personne n'est à l'abri de ces menaces.
00:33C'est pourquoi nous avons réuni des experts pour discuter des enjeux actuels,
00:36des dernières évolutions technologiques, des solutions concrètes pour protéger nos données et nos infrastructures.
00:43Nous allons explorer les enjeux de la cybersécurité, les menaces actuelles et les réponses possibles.
00:48Avec nous sur ce plateau, Théodore Vengros, président de eTracing, spécialisé dans la surveillance des infrastructures critiques.
00:55Bonjour.
00:56Jean-Philippe Comène, directeur commercial de TIC-CEO, également expert en géopolitique.
01:01Nous parlerons avec vous des enjeux internationaux liés à la cybersécurité.
01:06Rodolphe Haran, expert en bug bounty chez YesWeAc,
01:09qui nous présentera l'importance des solutions collaboratives pour renforcer la cybersécurité.
01:15Et Yann Bonnet, directeur général adjoint du campus Cyber,
01:18acteur clé dans l'écosystème français de la cybersécurité.
01:22Bonjour.
01:23Ensemble, nous allons explorer les menaces actuelles, discuter des lois comme la directive NIS 2,
01:29examiner l'importance de l'innovation pour assurer un avenir numérique sécurisé.
01:35Restez avec nous pour une heure d'échanges riches et instructifs dans New Era.
01:39C'est un sujet qui nous concerne tous, tous connectés, tous impliqués, tous responsables.
01:45Alors Yann Bonnet, quel est l'état actuel de la menace cyber aujourd'hui ?
01:49Vous l'avez dit, on est tous concernés en fait.
01:51On est tous dépendants du numérique dans notre vie professionnelle ou personnelle.
01:56Et ce qu'on voit en termes d'état de la menace,
01:58c'est déjà depuis quelques années un peu un déplacement de la menace,
02:02notamment en fait vers les acteurs un peu les moins matures.
02:06Et je pense notamment aux PME, aux collectivités et aux hôpitaux.
02:11Voilà, ce qu'il faut bien comprendre.
02:13Par exemple, pour une PME qui va être attaquée, qui va être rançonnée,
02:17donc ça va être un petit logiciel qui va bloquer des systèmes
02:20et qui va demander une rançon pour, soi-disant, débloquer.
02:24Le coût moyen qui est déclaré aux assurances,
02:26c'est à peu près 120 000 euros pour une petite PME.
02:29À peu près combien d'entreprises sont touchées en France aujourd'hui ?
02:32C'est très difficile de dire, mais en fait la grande majorité des entreprises
02:38ont des attaques quotidiennes de différents niveaux.
02:44Donc voilà, on a un déplacement de la menace
02:46et concrètement, ce qu'on voit, c'est un hôpital qui est attaqué.
02:51Dans la minute qui suit, c'est des infirmiers et des infirmières
02:54qui ne savent plus quels médicaments ont été prescrits.
02:57Et donc ça entraîne une désorganisation totale, par exemple des hôpitaux.
03:01Une mairie qui est attaquée, c'est une mairie qui ne sait plus gérer
03:05les passeports ou même les cimetières.
03:09Voilà, c'est concret.
03:10Aujourd'hui, la nature des cyberattaques les plus fréquentes en France,
03:13par exemple les entreprises, quelles sont-elles ?
03:15Alors ce qu'on voit, il y a plusieurs motivations derrière les attaquants.
03:18Une première motivation, c'est l'appât du gain.
03:20C'est des gens, limite mafieux, qui cherchent à se faire de l'argent.
03:24Et donc ça va être beaucoup de rançon logicielle,
03:27comme je l'expliquais, qui va bloquer un système.
03:30Mais on a d'autres types de menaces qui sont un peu moins visibles,
03:33notamment l'espionnage, où on va essayer d'espionner,
03:36récupérer des brevets ou avoir des informations stratégiques de l'entreprise.
03:41On a un dernier type de menace qui est plutôt le sabotage.
03:46Et en période de conflit qu'on connaît, c'est quelque chose qui est regardé
03:49de très près par certains services.
03:51Concrètement, ça va être des attaquants plutôt étatiques qui vont essayer
03:55de rentrer sur un réseau important pour un pays, par exemple un réseau électrique,
03:59et qui vont mettre en quelque sorte des petites charges numériques
04:01qui, le jour où il y aura un conflit, vont les déclencher.
04:05Et ça apportera atteinte énormément aux pays concernés.
04:10Jean-Philippe, par exemple, le gouvernement français,
04:13est-ce qu'il subit des cyberattaques aujourd'hui ?
04:17On serait surpris qu'il n'en subisse pas.
04:19À l'essence, un État comme la France en subit forcément.
04:23Après, est-ce qu'il y a des effets majeurs ?
04:26Ça n'est pas en tout cas connu dans les médias.
04:31Après, il y a le contexte aussi géopolitique.
04:33Les positions de la France sur le Moyen-Orient ou pas,
04:38avec le conflit à Gaza qui s'étend doucement,
04:46mais plus ou moins sûrement avec l'Iran.
04:50Toujours la guerre en Ukraine et les positions de la France
04:53qui ont été plutôt marquées comme soutien,
04:56j'allais dire, dans Macron 2, on va dire.
05:01Donc voilà, forcément, le pays n'est plus visé.
05:05Mais si je pense rétrospectivement à le Rex des JO,
05:09où on s'attendait à un raz-de-marée,
05:14l'apocalypse numérique pendant les JO,
05:16d'une part, il y a certainement eu un très bon travail collectif
05:20piloté par l'ANSI de préparation.
05:23Et puis peut-être aussi qu'il y a eu un peu moins
05:26que ce qu'on avait potentiellement projeté.
05:29L'ANSI, c'est l'Agence nationale des services de sécurité informatique.
05:33Oui.
05:34Très bien, en France.
05:35Et Théodore, je me tourne vers vous parce que j'aimerais savoir
05:37comment les infrastructures critiques, justement,
05:39comme les services de santé ou les réseaux énergétiques,
05:42sont-elles protégées aujourd'hui contre ces menaces ?
05:44Je vous réponds tout de suite, mais d'abord,
05:46je voulais juste compléter Yann qui disait quelque chose de très intéressant.
05:52Nous, on travaille beaucoup chez E-Tracing avec des grandes entreprises
05:56et on voit effectivement que de plus en plus de sous-traitants
06:01de plus petites tailles,
06:02cabinet d'avocats, prestataires de web, etc.
06:07sont attaqués et à travers ces gens-là,
06:10on attaque la grande entreprise, les grandes entreprises
06:12qui, elles, mettent les moyens, plus de moyens que les plus petites.
06:19Et donc, on voit une descente de plus en plus fine.
06:22Je pense qu'on va avoir plus de compléments aussi avec Rodolphe sur la détection,
06:27mais on voit une descente de plus en plus fine sur des sociétés de type PME
06:32où les ETI, déjà, sont assez bien couvertes à propos de votre question.
06:37Donc, je réponds quand même à votre question.
06:40Donc, effectivement, ce qu'on voit d'abord,
06:42nous qui travaillons pour des grandes entreprises qui sont en France,
06:46mais aussi fortement présentes à l'international,
06:49c'est un investissement assez conséquent en cybersécurité,
06:53donc en thème de protection, en thème de protection de la donnée.
06:57On s'appuie sur des règles de conformité légale,
07:00mais on s'appuie aussi sur un investissement de surveillance continue de la cybersécurité.
07:08C'est ce qu'on appelle des SOC, la gestion 24 sur 24,
07:14des signes qui nous permettent d'isoler une attaque.
07:21Donc, voilà, ce sont des techniques de plus en plus appliquées
07:27qui couvrent d'abord les grandes entreprises, les ETI,
07:29et on a un besoin de plus en plus fort sur les petites entreprises,
07:33sur les entreprises de taille intermédiaire et moyenne
07:37dont on a besoin d'investir en cybersécurité.
07:42À vous tous, est-ce qu'on peut quantifier aujourd'hui le nombre d'entreprises
07:44qui se fait attaquer par exemple par an, à peu près ?
07:47Est-ce que vous pouvez donner des chiffres ?
07:51C'est difficile sans faire d'erreur méthodologique
07:56parce qu'il y a la cyber au niveau global,
07:58dans tous les pays qui essaient de donner des données,
08:01il y a un problème majeur qui est la fragmentation des données
08:07sur les entreprises qui détectent et qui font leurs rapports
08:10orientés sur les données de leurs clients
08:13qui sont plutôt occidentales que sur l'est de la planète.
08:18Les boîtes qui font des sondages, des études sur un achantillon de…
08:24Donc en fait les chiffres sont aléatoires entre…
08:27Pour vous donner un exemple, il y a plusieurs études en France
08:31qui sont sorties où on disait le coût annuel cyber c'était…
08:34alors Cabine Asterès, pardon, ce n'est pas pour les citer méchamment,
08:38mais 2 milliards par an, un autre article c'était 65 milliards par an,
08:44un autre article c'était 125 milliards par an.
08:48Bon, 125 milliards c'est deux lois de programmation militaire
08:52pour l'effort de défense,
08:56c'est pour donner des cadres de référence, de comparaison.
09:01Est-ce que c'est important ?
09:02Oui.
09:03Est-ce qu'on sait vraiment le quantifier au-delà du sensationnalisme
09:09qui est intéressant pour la pédagogie,
09:12mais qui peut-être aussi des fois trop…
09:15D'accord.
09:15Mais potentiellement, toute entreprise qui a un système d'information
09:20peut être attaquée.
09:20Il y a des chiffres effectivement qui sont discutables.
09:23Il y a quelques années, je crois qu'il y a un rapport du Sénat
09:25qui indiquait que 56% des entreprises avaient été victimes d'un incident cyber.
09:31Alors, qu'est-ce que ça veut dire derrière ?
09:32C'est là où on peut en discuter.
09:35Mais ce qu'il faut retenir, c'est ce que vous disiez au départ,
09:39tout le monde est concerné dans sa vie professionnelle
09:41autant que dans sa vie personnelle.
09:43J'ai une question pour vous Jean-Philippe,
09:45c'est quel est l'impact des tensions géopolitiques
09:47sur la fréquence et la nature des cyberattaques aujourd'hui en Europe ?
09:50Déjà, ça influe aussi sur le niveau de tension qu'il y a
09:55en fonction des événements sur potentiellement la fréquence temporaire.
10:00Il va y avoir des actions qui vont être menées.
10:03Par exemple pour les JO, s'il y a eu plus d'attaques ?
10:04Potentiellement pour les JO, il n'y en a eu plus que sur une période non-JO évidemment.
10:09Mais il y a cet aspect un peu événementiel
10:13qui est soit lié à un événement qui est une telle vitrine mondiale
10:17qu'on va forcément essayer de s'y attaquer
10:20ou d'autres événements sur des conflits ou sur des positions politiques.
10:25Après, il y a aussi, il y a différente dans le champ cyber.
10:29Souvent sur les attaques étatiques, on parle de trois typologies,
10:33questionnage, sabotage, subversion.
10:37Subversion, c'est la désinformation.
10:39C'est aussi un volet qui a quand même pas mal pris en compte dans la cybersécurité.
10:46Et qu'il faut regarder en tête dans cette massification,
10:48ces changements de mode opératoire qui se recoupent avec des attaques.
10:52Parfois, on parle de hack and leak.
10:55Est-ce qu'il y a un exemple que vous pourriez me donner là tout de suite ?
10:58Le hack and leak que je citais, le premier qui me vient,
11:02c'est par rapport à la campagne présidentielle à l'époque d'Emmanuel Macron.
11:06Mais le hack et le leak, c'était un acte technique,
11:12mais à une finalité subversive.
11:16Pour essayer d'influencer sur la campagne.
11:20C'est ce genre de choses qu'on peut voir aussi et pas que
11:24mettre en panne des systèmes, demander des rançons.
11:27Et puis, on le voit aussi dans l'entreprise,
11:30parce qu'on a le côté cyber sabotage.
11:33Il y a bien sûr l'argent, le ransomware, etc.
11:36Mais il y a le cyber sabotage qui touche beaucoup d'entreprises
11:40en fonction même de leur métier.
11:43On va faire du mal, on va vouloir faire du mal à un fabricant d'armes
11:49parce que finalement, il vend des armes à tel ou tel pays.
11:53Et donc, c'est mal vu.
11:54Ou même, on a eu le cas d'un grand groupe qui a de l'élevage de crocodiles
12:04parce qu'ils font des produits à base de crocodile,
12:09de peau de crocodile, pas de viande, mais de peau de crocodile.
12:12Et donc, il y a eu du cyber sabotage à cause des gens qui défendent les animaux, etc.
12:21Et donc, ça a bloqué, ça a été un vrai problème de cybersécurité.
12:25On va en parler des ransomware justement, parce que je voudrais en parler avec Rodolphe
12:28pour qu'il nous explique un petit peu ce que c'est.
12:30Et est-ce que ça continue à poser un problème majeur pour les entreprises françaises aujourd'hui ?
12:34Alors, les ransomware, déjà, ce n'est pas nouveau.
12:36Mais ce qui les a rendus effectivement très visibles, c'est ce qu'évoquait Yann.
12:39C'est une vague d'attaques qui ont concerné les services publics,
12:42notamment les hôpitaux, où les hôpitaux étaient complètement paralysés.
12:45Ça arrive encore ?
12:46Ça arrive encore.
12:47Dernièrement, on a eu moins d'incidents majeurs,
12:49mais ça arrive aussi à des particuliers d'ailleurs.
12:53En fait, le principe, c'est qu'un logiciel malveillant,
12:56donc en fait un virus, on pourrait appeler ça comme ça,
13:00s'introduit en fait dans un système d'information.
13:03La plupart du temps, en fait, ce n'est pas une attaque entre guillemets externe,
13:07c'est une personne qui va cliquer sur un lien et qui, sans s'en rendre compte,
13:11en fait, va propager ce virus dans le système d'information de son organisation.
13:16Et effectivement, le virus est fait pour chiffrer ou bloquer l'accès aux données de ce système.
13:24D'accord.
13:25Donc, typiquement, c'est ce qu'évoquait Yann.
13:26Dans les hôpitaux, en fait, plus rien ne fonctionne parce qu'il n'y a plus de messagerie,
13:29il n'y a plus l'accès à toutes les applications routiers et ainsi de suite.
13:32Voilà, tout à fait.
13:33Très bien. Et comment, aujourd'hui, les petites et moyennes entreprises
13:36peuvent-elles se protéger efficacement, justement, contre ces cybermenaces ?
13:40Alors, moi, je suis depuis très longtemps dans la cybersécurité.
13:42Je ne sais pas si j'ai l'air si vieux que ça, mais c'est le cas.
13:44Le sujet des PME, j'en entends parler depuis toujours.
13:49Les PME ont rarement un DSI, encore moins un responsable cybersécurité.
13:54Elles ont rarement des équipes informatiques dédiées ou alors elles sont très limitées
13:57et leur métier, c'est de faire tourner la machine,
13:59simplement de rendre des services essentiels à l'activité de l'entreprise
14:03et pas de faire de la sécurité.
14:04Donc, c'est effectivement un vrai défi qui, pour l'instant, n'a pas trouvé
14:08sa solution simple et accessible d'un point de vue budgétaire à l'ensemble des PME.
14:15Donc, malheureusement, je n'ai pas de réponse très satisfaisante à apporter à cette question.
14:19Il y a beaucoup, beaucoup de sensibilisation, beaucoup de formation.
14:23Effectivement, il y a le côté aussi investissement,
14:26puisqu'il faut des outils, typiquement, quand quelqu'un clique sur quelque chose,
14:30il faut éduquer les gens à ne pas cliquer, à regarder d'où ça vient
14:34est-ce que l'adresse source qu'on voit dans le mail, elle est compatible ?
14:39Est-ce qu'ils connaissent les gens qui l'ont envoyé, etc.
14:44Donc, en fait, il y a une sensibilisation, une formation continue avec des tests.
14:48D'ailleurs, l'Ansi, je pense à l'Ansi parce qu'il y en a été avant,
14:54l'Ansi a tout un catalogue de mocs, de formations et ça aide énormément.
15:01Ça aide beaucoup les gens.
15:03Si je puis me permettre avec une difficulté, c'est que c'est tout à fait juste,
15:05mais les attaquants eux aussi évoluent et sont de plus en plus malins.
15:10Et on voit maintenant de plus en plus d'attaques de ce type-là
15:14qui utilisent la voix ou la vidéo.
15:16Et on sait que...
15:17Ils transforment les voix, c'est la voix de quelqu'un qu'on connaît.
15:20Exactement.
15:21D'accord.
15:21Peut-être sur les PME, effectivement, c'est un sujet qui est assez énorme
15:25et dont on parle depuis longtemps et assez complexe.
15:28Il faut bien avoir conscience qu'en France, 99% de notre tissu économique,
15:33c'est-à-dire 3 millions d'organisations, sont des TPE, PME.
15:39C'est le maillage économique de la France.
15:41Voilà, on a des très gros acteurs, notamment du CAC 40,
15:43qui ont mis des moyens, vous l'avez dit, considérables pour se protéger.
15:46Dans ce domaine, il faut toujours rester humble,
15:48parce que malgré les moyens qu'on met, on peut toujours trouver une petite faille qui passe.
15:51Mais effectivement, ce sujet est très complexe.
15:53J'aimerais en profiter pour mettre en avant une initiative du CompuCyber.
15:58On coordonne un consortium qu'on a appelé CyberIA Hub,
16:03qui est financé à 50% par l'Union européenne et 50% par la région Île-de-France.
16:08Et c'est quelque chose d'assez intéressant,
16:10parce qu'en fait, on va aider gratuitement des PME.
16:13C'est un test sur 150 PME.
16:15On va les aider à faire en Île-de-France, dans un premier temps,
16:18à diagnostiquer les risques de façon neutre.
16:25On va aussi les guider vers des solutions adaptées,
16:27ce que c'est très compliqué, même en tant qu'experts de la cyber,
16:29c'est très compliqué de comprendre les différentes offres.
16:33Et on va les guider vers les offres.
16:34On va même les accompagner à aller chercher du financement public pour acheter ces solutions.
16:40Ce qui nous amène au cadre de la directive NIS2,
16:43parce que NIS2, c'est de la réglementation, justement,
16:46pour les PME, TPE sur la cybersécurité.
16:50Est-ce que vous pouvez nous expliquer ce que c'est Yann ?
16:52Alors, NIS2, effectivement, c'est un nouveau règlement ou directive, je ne sais plus.
17:00Directive.
17:01Directive, qui devrait être appliqué dans les prochains mois.
17:06Donc, ça va obliger, en quelque sorte, un certain nombre de PME
17:10à respecter un certain nombre de process pour se protéger.
17:13Et c'est assez important, encore une fois,
17:18le numérique, c'est à la fois un remède et un poison pour notre société.
17:22Donc, ça apporte énormément d'opportunités,
17:24mais c'est aussi important de bien protéger de ces nouvelles menaces
17:27pour avoir la confiance des clients.
17:29On va parler maintenant des changements,
17:31parce qu'il y avait directive NIS1 et directive NIS2.
17:35Donc, quelle est la différence, justement, Jean-Philippe ?
17:38On va faire simple, ça, en tête de la directive.
17:41Mais, en gros, l'esprit de la directive, il faut se rappeler la directive NIS1,
17:46c'était en 2016 qu'elle a été mise en place.
17:50Et le contexte aussi de COVID avec tout le monde à distance,
17:55un certain nombre de choses qui évoluent.
17:58Puis, le contexte aussi, certaines attaques dites par supply chain,
18:02c'est-à-dire l'attaque des fournisseurs et de grands acteurs,
18:06mais par leurs fournisseurs ont fait prendre conscience
18:09qu'il fallait résoudre un peu des problèmes de la NIS1,
18:13qui était un manque d'harmonisation dans les transpositions
18:16et les aspects sectoriels et les opérateurs qui étaient désignés.
18:23Et puis, une massification.
18:25Une massification en nombre et en secteur pour augmenter les cibles.
18:30Par exemple, en France, on avait 300 opérateurs de services dits essentiels.
18:35Nous, en France, on appelait plutôt les OIVs, les opérateurs d'importance vitale.
18:40Et puis là, le scope, il me semble, 15 000 à peu près pour la France.
18:46Donc, on voit le multiplicateur,
18:49ce qui va poser des problèmes, je pense, dont on parlera tout à l'heure.
18:52Mais est-ce que toutes les entreprises, toutes les PME, TPE sont ciblées par NIS2 ?
18:58Elles concernent toutes les entreprises françaises ?
18:59Non, il y a des critères.
19:00Il y a des critères sectoriels.
19:02D'accord.
19:03Il y a des critères de taille et de chiffre d'affaires.
19:07Donc, si on croise ces « je suis dans le secteur »,
19:11dans la liste des secteurs, soit hautement critiques, soit critiques,
19:17« je suis de telle taille, avec telle CA, etc. »,
19:21je rentre dans la case entité importante ou entité essentielle.
19:28Parce que c'est une subdivision pour justement avoir une granularité aussi,
19:32à la fois sectorielle et en termes de taille.
19:35Après, l'État français et l'Annecy se réservent le droit,
19:38parce que c'est marqué, des TPE, notamment des fournisseurs numériques,
19:42donc qui sont en dessous du critère le plus bas.
19:45C'est-à-dire, le critère le plus bas, c'est 50 salariés et inférieur à 10 millions d'euros.
19:52Enfin, je ne sais plus le chiffre précis en tête.
19:55Bon, on peut quand même avoir des TPE, donc en dessous de 50 salariés,
19:59qui sont peut-être en dessous aussi de 10 millions d'euros,
20:02mais qui, parce qu'elles sont dans un secteur d'activité,
20:05par exemple les fournisseurs de services numériques,
20:07qui sont labellisés ou pas Annecy,
20:09et qui sont utilisés par des grandes entreprises, vont être concernés.
20:12D'accord, très bien.
20:13Et quelles sanctions les entreprises risquent-elles,
20:15en cas de non-respect, justement, de la directive NIS 2 ?
20:18Quelles sont les sanctions qui vont être mises en place ?
20:20Alors, il y a des sanctions pour les dirigeants, potentiellement.
20:22D'accord, ils peuvent risquer la prison, par exemple ?
20:25Potentiellement, oui, en théorie.
20:28Faut faire attention.
20:29J'ai honneur, il va falloir faire attention.
20:31Oui, je fais attention, il n'y a pas de souci, je suis vacciné sur le sujet.
20:34Mais quelquefois, on aimerait bien qu'elles soient appliquées, en fait.
20:40Voilà, il y a un petit laxisme dans l'application, je ne veux pas...
20:44Ça, c'est pour responsabiliser, mais le privé, le public,
20:48il ne me semble pas qu'il y ait cette notion de responsabilité,
20:51par exemple pour les collectivités territoriales,
20:54un responsable d'une collectivité ou d'un établissement public
20:59n'est pas forcément responsable.
21:00En revanche, sur le privé, il y a cette responsabilité-là,
21:03et il y a tout simplement de taper le portefeuille.
21:07Selon le critère de chiffre d'affaires qu'on fait,
21:10il y a 1,4% à 2,4% de chiffre d'affaires annuel mondial d'amende.
21:22Et donc, comment les entreprises françaises vont se préparer
21:25justement à se conformer à SNIS 2 ?
21:27Parce qu'on n'est pas prêts encore aujourd'hui.
21:29Ça se voit à plusieurs catégories, c'est-à-dire les 300 qui étaient déjà régulées,
21:33c'est les 300 plus grosses, elles sont déjà, j'allais dire, au bon niveau.
21:38Et si elles ne sont pas finies, ce qu'elles doivent faire pour être conformes,
21:43elles seront certainement, particulièrement dans le viseur de l'Annecy,
21:45dans les premières, à un moment donné, avoir un audit blanc,
21:48c'est-à-dire sans amende, dans la période des trois ans
21:52de probation que le directeur général de l'Annecy a laissé entendre comme période.
22:00Et après, par contre, à partir de ces trois ans-là,
22:03il peut y avoir des audits, cette fois non blancs, qui mènent ou pas à des sanctions.
22:07Donc après, il y a des typologies, il y a les 300 entreprises qui sont déjà là.
22:10Et après, il y a les plus grosses parmi les 15 000 qui restent en dehors de ces 300,
22:16certainement qu'elles sont déjà en ordre de marche depuis un moment aussi,
22:20moins que les 300 plus grosses, mais qui certainement sont en train de rattraper.
22:25Et après, il y a toutes celles, y compris celles de l'écosystème numérique,
22:28des fournisseurs dont on fait partie potentiellement,
22:32pour ceux qui représentent une société où, oui, il va falloir aussi se conformer
22:37pour nous aussi, toutes les PME, quel que soit le secteur,
22:41y compris celles qui sont censées vendre des solutions,
22:44qui aident à sécuriser certains aspects.
22:49On va devoir aussi y passer.
22:51Est-ce que, Théodore, est-ce que E-Tracing est prêt pour NIS2 ?
22:54Nous-mêmes, oui, je pense qu'on est prêt.
22:56Mais pour répondre à la question aussi, c'est un ensemble, en fait, une entreprise.
23:03Globalement, elle doit déjà, à propos de responsables sécurité dans l'entreprise
23:10ou quelqu'un qui est chargé d'avoir cette responsabilité,
23:15de mettre en place des processus, de sensibiliser ses collaborateurs.
23:21Et puis, évidemment, il y a un peu d'outillage à mettre en place quand même,
23:26puisque, bon, sécuriser une messagerie, il faut un petit peu d'outillage.
23:30Il faut faire des tests, des audits, des tests avant mise en prod,
23:34des outils, des applications.
23:37Enfin, comment dire ?
23:40On ne peut pas aller dans un magasin et acheter un kit NIS2.
23:44C'est un ensemble de choses qui permettent…
23:47Il faut s'en préparer.
23:48Voilà, et donc, on peut faire appel à la compétence externe,
23:53comme les consultants que nous avons,
23:55comme déployer des outils, comme déployer des services managés, etc.
24:00Mais il y a aussi une sensibilisation interne qui est extrêmement importante.
24:06Et les deux sont nécessaires.
24:09L'une et l'autre complètent la démarche.
24:13Mais comment elles vont faire les PME, par exemple,
24:15pour s'adapter à ces exigences qui sont quand même nombreuses sur NIS2 ?
24:20Yann ?
24:20Il va falloir identifier les points critiques,
24:24bien comprendre quelles sont les règles à respecter.
24:26Et comme on l'indiquait tout à l'heure, ça va prendre un petit peu de temps.
24:31Mais ce n'est pas une réglementation juste pour le plaisir d'imposer.
24:36C'est pour augmenter le niveau de sécurité de notre tissu économique.
24:41Et ça nous concerne tous, même en tant que clients.
24:45Donc, ce n'est pas quelque chose qui est là juste pour sanctionner,
24:48mais c'est vraiment une démarche de progrès,
24:51parce qu'on ne peut pas juste sécuriser
24:52que les 300 entreprises les plus critiques pour l'État.
24:56Rodolphe, comment, par exemple, l'ESFouillade peut aider la mise en place de NIS2 ?
25:00Avant de répondre à cette question, juste pour contextualiser un petit peu,
25:04je voulais revenir sur le tout début de notre échange,
25:06quand vous évoquiez le fait que toutes les organisations étaient de plus en plus connectées.
25:11Concrètement, qu'est-ce que ça veut dire ?
25:12Ça veut dire que ces organisations s'ouvrent vers l'extérieur,
25:16elles s'interconnectent entre elles,
25:17mais elles fournissent aussi des services numériques beaucoup plus importants.
25:19On le voit dans tous les domaines d'activité,
25:20que ce soit, il n'y a pas un domaine qui maintenant n'est pas son versant numérique.
25:26Même les démarches les plus simples, administratives par exemple.
25:29Et concrètement, ce que ça veut dire,
25:30c'est qu'elles ont beaucoup plus d'exposition sur Internet.
25:34Et c'est ce qu'on, dans notre langage à nous,
25:36dans notre verbiage, on appelle la surface d'attaque numérique.
25:38Donc, cette surface d'attaque numérique, elle augmente très rapidement.
25:42Et donc, ça veut dire que concrètement,
25:43ça laisse beaucoup plus potentiellement de portes d'entrée.
25:46On parle de vecteur d'attaque pour ces acteurs malveillants qu'on évoquait tout à l'heure.
25:52Donc, elles ont d'abord ce premier défi qui est que leur surface d'attaque augmente.
25:55Donc, elles ont beaucoup plus, entre guillemets, de risques à couvrir.
25:59Et que c'est aggravé par un autre phénomène qui est totalement lié
26:04dans le domaine informatique depuis maintenant une dizaine d'années.
26:07C'est ce qu'on appelle l'agilité croissante.
26:09Ça veut dire concrètement que ce qui était auparavant dans l'entreprise,
26:14maintenant, c'est dans le cloud et que les applications,
26:16d'une façon générale, sont mises à jour beaucoup plus rapidement,
26:18beaucoup plus régulièrement, si ce n'est en permanence.
26:21Donc, concrètement, elles créent potentiellement beaucoup plus de ce qu'on appelle des vulnérabilités
26:27et qu'elles doivent corriger parce qu'en fait, pour être très concret,
26:30alors, il y a les attaques qu'on évoquait, donc les rançons JCL
26:33où il va y avoir un employé qui va cliquer sur un lien.
26:35Et après, il y a les attaques qui viennent littéralement de l'extérieur.
26:37Donc, ils vont attaquer en frontal les systèmes d'information.
26:40Et là, pour le coup, forcément, plus la surface d'attaque est grande,
26:43plus l'entreprise s'expose à des risques.
26:45Et donc, elle doit, pour couvrir ces risques, corriger ces vulnérabilités.
26:50Et ça, forcément, elle ne peut pas recruter à mesure que ces risques augmentent.
26:53Une équipe informatique ou sécurité ne peut pas être pléthorique
26:59pour des raisons simplement budgétaires.
27:01Et par ailleurs, ces équipes, une fois qu'on les a recrutées,
27:03il faut les garder, il faut les maintenir formées.
27:05Donc, en fait, il y a vraiment une situation où le risque augmente
27:09et les ressources pour couvrir ce risque,
27:12en fait, elles, elles n'augmentent pas forcément, elles sont limitées.
27:14Et c'est dans ce cadre-là que nous, on peut intervenir
27:18puisqu'en fait, on met à la disposition de ces entreprises, des organisations,
27:22une communauté d'experts qui sont des freelancers, en fait.
27:26Combien ? Vous en avez combien d'experts aujourd'hui ?
27:2880 000, donc qui représentent 170 nationalités différentes.
27:31Et en fait, ils vont pouvoir s'appuyer sur cette communauté.
27:33Nous, on fonctionne en fait comme une plateforme.
27:35Et donc, on met en relation ces organisations avec cette communauté
27:39de façon à pouvoir détecter ces vulnérabilités
27:42et leur apporter des moyens de remédiation
27:44avant, justement, que des vrais hackers ou des vrais attaquants
27:48les découvrent et les exploitent.
27:49D'accord. C'est le système du bug bounty ?
27:51Exactement. Alors, pourquoi on parle de bug bounty ?
27:52Parce que le bug, c'est la fameuse vulnérabilité que j'évoquais
27:55et le mode de rémunération pour ces freelancers,
27:58donc pour ces hackers éthiques, ça va être la prime, en fait.
28:00Ils vont être compensés par des primes.
28:02Donc, ils ne sont pas payés au préalable, il n'y a pas de contraintes ?
28:03Non, ils sont payés strictement uniquement aux résultats,
28:06en fonction de règles très précises qui définissent
28:08dans quelles conditions ils peuvent être rémunérés,
28:10à quel montant, selon quel cadre.
28:13Et donc, en fait, on parle de bug bounty
28:15puisque ce sont des primes qui vont toucher pour les vulnérabilités
28:18qu'ils vont découvrir dans le cadre de ces programmes.
28:20Très bien. Écoutez, on va parler du défi du recrutement
28:23dans le cyber de la sécurité aujourd'hui
28:25parce qu'il y a quand même une pénurie mondiale
28:27dans le domaine de la cybersécurité, de talents.
28:29Comment ce problème affecte-t-il la France
28:31et quelles sont les solutions ?
28:32Je vous pose la question tout de suite.
28:34Alors, c'est un énorme sujet et je crois que c'est notre sujet prioritaire
28:37à tous dans le domaine de la cybersécurité.
28:39En fait, on parle des derniers chiffres de l'OCDE de cette année.
28:43C'est 60 000 postes non pourvus en France.
28:46C'est beaucoup.
28:48C'est énorme, ce qui explique des salaires qui augmentent énormément
28:51et qui explique aussi que pour les PME,
28:53c'est très compliqué d'avoir des experts.
28:57Sans compétences, c'est difficile de se protéger.
28:59Donc face à ça, le campus cyber,
29:01on agit énormément avec les acteurs du campus,
29:05notamment pour essayer de changer un peu notre image
29:08parce qu'effectivement, dans la tête de beaucoup de personnes,
29:12l'expert cyber, c'est un geek, c'est un homme.
29:17Avec des lunettes.
29:18Qui a un suite à capuche.
29:19Un suite à capuche.
29:21Ça arrive et heureusement qu'ils sont là.
29:24Mais on a besoin de beaucoup plus de diversité,
29:28de montrer que le métier de la cyber,
29:29c'est plus de 30 métiers différents,
29:31des métiers techniques où il y a des hommes et des femmes qui excellent,
29:33des métiers moins techniques,
29:34de la géopolitique, du droit, de la communication.
29:37Et donc, on va travailler énormément en termes de communication
29:40sur les réseaux sociaux pour montrer le sens des métiers de la cyber.
29:44C'est quand même noble de protéger son entreprise, sa nation
29:48et montrer cette diversité.
29:50Et cette diversité, c'est pas juste...
29:52Voilà, pour tout vous dire,
29:54on a un peu moins de 11% de talents féminins dans le domaine de la cyber.
29:57Il n'y a aucune raison de se priver autant de talents.
30:01Et derrière, on a besoin de diversité,
30:04non pas dans un sens d'inclusion, mais dans un sens d'efficience.
30:06On a besoin...
30:07C'est pour ça que ce que disait Rodolphe aussi est hyper intéressant,
30:10c'est la communauté avec 80 000...
30:12Il y a beaucoup de femmes d'ailleurs chez Oliver Estréol.
30:14Je pense qu'il n'y en a pas dans des proportions supérieures à celles que Yann...
30:18D'accord.
30:19Mais on a 170 nationalités, si j'ai bien compris.
30:21Et on a besoin...
30:21Si on met 5 hommes blancs qui ont la même façon de penser...
30:26Ça n'ouvre pas l'esprit, effectivement.
30:27Ça ne va pas être très créatif.
30:29Si on fait appel à des communautés avec plein d'esprits différents,
30:33on va potentiellement mieux trouver les failles avant des méchants.
30:36Et aujourd'hui, quelles sont les compétences les plus recherchées
30:38dans le domaine de la cybersécurité, par exemple ?
30:40Il y a de tout, il y a beaucoup de domaines,
30:44mais les auditeurs en sécurité sont très recherchés.
30:49Voilà, il y a beaucoup de métiers, je ne sais pas exactement vous dire, mais...
30:55Il y en a plein.
30:57Il y a quelques têtes gondoles...
31:00Léodore, vous avez une petite idée ?
31:02J'ai une petite idée, oui, forcément,
31:03parce qu'E-Tracing embauche 250 ingénieurs cette année et on a...
31:08Et vous défiez chez E-Tracing, il y en a beaucoup des femmes.
31:11Justement, nous, on est au double, on est autour de 20%.
31:15Alors, voilà, on a des consultantes aussi.
31:18Donc, en fait, c'est le métier un petit peu différent,
31:22complémentaire à celui de Yes We Hack.
31:26Nous, on a une gestion RH qui est une société de consultants
31:31et d'ingénieurs et d'analystes, donc des embauches en CDI classiques.
31:37Mais on embauche un petit peu plus aussi des gens qui peuvent expliquer,
31:42qui peuvent sensibiliser, qui peuvent être des services managers,
31:46notamment pour les SOC.
31:47Donc là, on capte des ingénieurs femmes, des écoles de commerce,
31:55des consultantes.
31:57Donc, voilà, c'est une manière d'amener de la diversité aussi.
32:02Et on a toutes les couleurs.
32:05Vous parliez de Yann, vous parliez de cinq hommes blancs.
32:07Nous, on a un petit peu de toutes les couleurs, mais comme tout le monde.
32:10Et ce qui donne une forte richesse à l'entreprise.
32:16Donc, la question était, quels sont les profils qui...
32:19Quelles sont les compétences, oui,
32:21quelles sont les compétences aujourd'hui spécifiques
32:23qu'on a dans le monde de la cibare ?
32:25Quels sont les métiers les plus recherchés, en fait ?
32:27En fait, ce qui se passe aussi, c'est que, je ne sais pas,
32:30mes collègues vont compléter ce que je dis, évidemment.
32:33Mais on voit que depuis une dizaine d'années, une quinzaine d'années,
32:37pas mal d'écoles d'ingénieurs, enfin, toutes les écoles d'ingénieurs,
32:39ont bâti des coursus cybersécurité.
32:42Les universités ont des masters.
32:45On embauche beaucoup dans les universités, etc.
32:48Et donc, ça, c'est quelque chose de super positif
32:51parce qu'on embauche des jeunes diplômés
32:55beaucoup plus facilement qu'avant.
32:56D'accord.
32:57Par contre, là où c'est difficile,
32:59ce sont les gens avec 7, 8, 10, 12 ans d'expérience.
33:02On a du mal à trouver ces gens-là parce qu'ils ne bougent pas,
33:06parce que justement, ils sortent peu sur le marché.
33:10Donc, ça, c'est une première chose.
33:12Et ensuite, on a des profils.
33:14En termes de profils, bien sûr, on cherche des gens aussi
33:17qui sont plutôt seniors, plutôt directeurs de projets,
33:22des gens qui sont un petit peu plus avancés dans l'âge.
33:25Et c'est hyper important aussi en termes de diversité,
33:28de formation, de transfert de savoirs, de compétences, d'approches.
33:32Après, ce qu'on a du mal à trouver aussi,
33:36ce sont les services managers pour les prestations.
33:40Par exemple, nous, on a un savoir-faire
33:44sur tout ce qui est service manager.
33:46Donc, auprès des entreprises qui nous sous-traitent un soc pendant plusieurs années.
33:51Et donc là, on a besoin des gens qui sont des têtes de pont,
33:54qui font le lien entre le build des solutions qu'on déploie,
33:58qui sont nécessaires, l'exploitation des solutions par les analystes,
34:02le reporting qui est fait.
34:04Donc, ces profils-là sont extrêmement difficiles à trouver
34:09parce qu'ils doivent communier une compétence technique de base,
34:13une compétence plutôt de consulting,
34:16une compétence de gestion des grandes entreprises
34:19pour pouvoir écouter nos clients.
34:21Et là, on a une multitude de dons dans le sein d'une entreprise.
34:25On a le RSSI, on a le DIC qui est extrêmement impliqué maintenant,
34:30qui est quasiment partout sur les décisions.
34:33Enfin, on a la direction juridique.
34:36Bref, ce sont des profils difficiles à trouver.
34:40Juste pour compléter sur la question de la diversité,
34:44une ou deux choses.
34:45La première, c'est quand on parle de diversité,
34:46il y a aussi la diversité des sujets.
34:48Et juste pour parler d'un sujet très technique,
34:50notre sujet, celui de la vulnérabilité,
34:52le défi, c'est qu'aujourd'hui, il y a une telle diversité,
34:54une telle multiplication de briques technologiques,
34:57de solutions, qu'on ne peut pas avoir des experts en tout.
35:02C'est impossible.
35:03Donc ça, déjà, c'est un défi.
35:05C'est qu'il faut aussi une palette, entre guillemets, de talents
35:08très importantes et à laquelle il est très difficile de répondre.
35:10Et c'est à ça qu'on essaie aussi de répondre, nous,
35:12avec notre modèle communautaire.
35:14L'autre aspect, c'est, je pensais à une chose en vous écoutant,
35:19si on regarde nos top hackers, ceux qui sont en top du classement
35:23au niveau global, mais même en France,
35:25en fait, il y en a un bon nombre qui n'ont pas fait
35:27d'école d'ingénieur ou qui n'ont pas fait de super école d'ingénieur.
35:29Exactement, j'allais en venir là.
35:30Est-ce qu'il faut faire des études, justement ?
35:32Alors, ce n'est pas les mêmes profils que ceux qui nous parlent.
35:34Mais ce qui est intéressant, c'est de voir que sur certaines activités,
35:36sur des expertises, en fait, c'est des compétences
35:39qui peuvent être développées de façon, entre guillemets, un peu ad hoc.
35:41Et nous, très humblement, on ne prétend pas du tout résoudre ce défi.
35:45Mais par exemple, on propose différents dojos, en fait,
35:49qui sont des espèces d'outils où on simule, en fait, des attaques
35:53et on apprend à découvrir, à exploiter des vulnérabilités.
35:57Et ça permet à la fois de former notre communauté et de les sélectionner,
36:00mais aussi à quiconque, en fait, de se former lui-même.
36:04Et il y a quelques années, on a fait des partenariats
36:06avec des écoles d'ingénieurs ou des universités
36:08qui s'appuyaient justement, ou des cursus s'appuyaient sur ces outils
36:11pour former de façon très, très pratique des personnes
36:13qui, parfois, n'avaient pas vraiment de background,
36:15en fait, voire aucun background en cybersécurité.
36:17Yann ?
36:18Ce qu'on voit, d'ailleurs, dans l'étude de l'OCDE dont je parlais tout à l'heure,
36:21un sujet assez intéressant.
36:23En France, on recrute beaucoup d'ingénieurs.
36:27En Allemagne, il y a une grosse demande plutôt de BAC plus 3.
36:31Donc peut-être qu'en France, on pourrait essayer de...
36:33De voir un petit peu et de former soi-même, finalement.
36:37Est-ce que les initiatives ne sont pas celles-là ?
36:40Après, on forme l'ingénieur qu'on embauche qui est débutant.
36:43Il doit passer par une formation, on les forme quand même.
36:47Ce n'est pas parce qu'il est ingénieur qu'il sort avec un master.
36:50Après, qui est plus sur le marché ?
36:51Des sujets de reconversion, évidemment.
36:53À court terme, il y a un énorme enjeu.
36:55Il y a beaucoup de personnes qui vont avoir passé un certain nombre de temps,
36:58qui sont peut-être un peu en bout de carrière dans une DSI.
37:02En quelques mois, on peut leur rajouter un certain nombre de compétences.
37:06Direction des services d'informatique à la DSI.
37:08Et faire en sorte qu'ils apportent une valeur extraordinaire à l'entreprise.
37:12Une reconversion est un outil qui va être très utile.
37:16En tout cas, ça peut impliquer à la pénurie.
37:17Mais moi, tel que je le vois,
37:19c'est à l'image de la structure économique de la France.
37:231% des entreprises font à peu près la moitié du PIB.
37:26C'est le marché de la cyber que soit coté offreur.
37:33Non, fournisseur de solutions, conseiller.
37:37Et recruteur, ça s'adresse d'abord aux grandes entreprises.
37:42En fait, c'est structuré comme ça.
37:44Donc, ça se voit aussi dans les profils d'annonce qu'on voit.
37:47L'auditeur, le consultant, ceux-ci, avec la liste très longue,
37:51très cadré, plutôt BAC plus 5, etc.
37:53Donc, ça, c'est mécanique.
37:54C'est difficile à léviter, d'autant qu'en France, c'est quand même culturel.
37:57On a une culture du diplôme.
38:00Plus que dans le monde.
38:01D'accord. Donc, si quelqu'un arrive sans diplôme,
38:03et par exemple, c'est un as de l'informatique,
38:07c'est possible qu'il traite...
38:08On l'embauche.
38:09C'est possible ?
38:09Oui, on l'embauche.
38:10Est-ce que c'est possible aujourd'hui ?
38:11Il faut trouver du boulot, justement, dans la cyber.
38:13Mais même, il y a d'autres choses.
38:15Je revenais sur ce que disait Yann, sur la diversité de types d'emplois.
38:20En fait, souvent, on focalise sur ce qu'on voit le plus dans les annonces,
38:23celles qui sont les plus visibles,
38:25par ce que recherchent les grandes entreprises.
38:29Mais il y a aussi un biais quand même.
38:31Souvent, on l'attaque toujours sur l'angle, soit de la conformité,
38:34soit de l'angle très, très technique.
38:36La cyber, ce n'est pas que ça.
38:37C'est un sujet qui est transversal sur plein.
38:42Ça touche du droit, ça touche de...
38:44Oui, bien sûr. J'ai oublié ce que disait Yann tout à l'heure.
38:47De l'analyse de risque, mais au sens même,
38:48commerce international géopolitique, ça touche à plein de sujets,
38:52et sur lesquels il y aurait de la place pour plein d'autres gens que les geeks.
38:56Donc, ça veut dire qu'en termes de salaire, c'est...
38:59Qu'est-ce que c'est ?
39:00Combien on peut gagner si on travaille en cybersécurité aujourd'hui en France ?
39:05Non, on gagne bien, on gagne bien.
39:08Je n'ai pas exactement les chiffres,
39:10mais c'est facile en début de carrière de commencer à 40 000 euros
39:17et d'augmenter énormément par la suite en fonction des compétences.
39:22Effectivement, on le disait, certains compétences sont extrêmement recherchés,
39:26mais globalement, on gagne très bien dans le domaine de la cyber
39:29parce qu'il y a cette pénurie, notamment.
39:31Je vais vous demander, Théodore, comment les entreprises...
39:33Je pensais que vous me demandiez mon salaire.
39:35Non, je ne vais pas vous demander votre salaire, je ne voudrais pas.
39:37Pardon, excusez-moi.
39:38Mais par contre, je voudrais vous demander comment les entreprises
39:40arrivent à fidéliser justement leur chaîne aujourd'hui dans la cybersécurité ?
39:44Là aussi, c'est un mix, un mix entre...
39:48Bien sûr, il faut payer les bons salaires, les salaires du marché, et...
39:54Voilà, ça, c'est un...
39:55Vous êtes toujours en train de recruter, par exemple, chez E-Tracing ?
39:59Oui, bien sûr.
40:00D'accord, vous avez combien de postes à pourvoir aujourd'hui chez E-Tracing ?
40:02On a 250 postes, on a embauché 156 en fin de semaine dernière.
40:09156 en fin de semaine dernière ?
40:11Mais on a aussi des départs, on a aussi des départs.
40:15Donc forcément, il y a un entant sortant qui fait qu'à la fin de l'année,
40:20on fait un plus 150, 200.
40:24Et comment vous les gardez ? Comment vous les fidélisez, ces gens-là ?
40:27Ce n'est pas qu'une question de salaire,
40:30mais il faut que ce soit aussi quelque chose de couvert et bien couvert.
40:35Je pense qu'il y a deux choses qui sont importantes,
40:39en tout cas chez nous, chez E-Tracing, il y a deux choses qui sont importantes.
40:42La première, c'est la richesse des missions techniques,
40:44des missions en termes d'enjeux qu'on propose à nos ingénieurs
40:49et à nos analystes et à nos consultants.
40:52Donc vraiment, cette notion de...
40:56On leur apporte des choses sur lesquelles ils sont contents,
40:59ils apprennent, ils apprennent constamment.
41:02Et ça peut être de la techno, ça peut être des outillages,
41:06ça peut être des manières d'analyser, d'auditer,
41:11d'identifier de failles, etc.
41:14Mais c'est, je pense, au niveau de la richesse.
41:17Ça, c'est la première chose.
41:18La deuxième, c'est leur donner une liberté de création,
41:23une liberté de proposition à leurs clients, à nos clients,
41:27d'être écouté, donc d'écouter des gens qui ont 28 ans
41:30et de leur faire confiance et de se baser sur eux
41:35parce qu'ils ont beaucoup de talent.
41:36Et ce n'est pas parce qu'ils ont 28 ans ou 27 ans
41:39qu'ils sont moins talentueux que quelqu'un de 45.
41:42Et donc, estimer les gens et leur donner un espace d'expression.
41:48Et cet espace d'expression, il est extrêmement important pour nous.
41:51Et je pense que c'est une des clés de la fidélité des gens.
41:58On a chez nous la plupart, et puis ça, ça se traduit
42:01dans des choses très concrètes.
42:02On a une méritocratie dans le management.
42:04La plupart des directeurs, ce sont des gens qui ont commencé comme stagiaires.
42:08Donc forcément, quand on commence en 2007,
42:11quand on a créé la société en tant que jeune stagiaire,
42:15et aujourd'hui, on est à la tête d'une activité de service manager
42:19qui a 150 ingénieurs,
42:22c'est une belle preuve de confiance et d'expression.
42:27Je suis bien d'accord.
42:28On va parler de Bug Bounty et des autres approches collaboratives avec vous, Rodolphe.
42:32Comment elles peuvent contribuer à atténuer justement ce manque de talent ?
42:36Est-ce que c'est possible déjà ?
42:37Alors nous, effectivement, ce qu'on prétend,
42:39c'est non pas régler le problème du manque de talent,
42:42mais en tout cas, essayer de le compenser un peu
42:43sur l'expertise technique de la découverte et l'exploitation de la vulnérabilité,
42:48qui est quand même un des sujets clés,
42:49puisqu'une fois de plus, c'est la base d'une attaque.
42:51C'est une vulnérabilité qui n'était pas corrigée,
42:53qui était découverte et exploitée par une personne malveillante.
42:55Donc le but, c'est de régler ce problème.
42:57Et en fait, nous, ce qu'on propose,
42:59c'est finalement une extension de l'équipe sécurité de nos clients,
43:03puisqu'ils peuvent taper en fait dans cette communauté.
43:06Et comme ils ne payent, entre guillemets, qu'au résultat,
43:09je dirais qu'ils maximisent finalement le rendement de leur investissement.
43:13En fait, comment ça se passe concrètement ?
43:14Parce que tout le monde ne sait pas forcément comment ça fonctionne.
43:16Mais sur une mission, on parle d'un programme,
43:19en fait, on va définir une grille de primes
43:21qui va préciser le montant qu'un hacker, donc un chercheur,
43:25peut gagner en fonction de la gravité du type de vulnérabilité.
43:29Et donc ce montant, il peut aller de 50 euros jusqu'à 500 000 euros.
43:32Et j'exagère à peine, en fait, puisqu'on sécurise tout type de client,
43:36donc ça va des start-up comme Tixéo
43:38jusqu'à le gouvernement français et d'autres gouvernements.
43:42On sécurise, par exemple, l'entièreté du gouvernement singapourien,
43:45de la province du Québec, les administrations espagnoles, finlandaises et d'autres.
43:50Et là, évidemment, on peut sécuriser des services critiques.
43:53Un exemple que j'aime utiliser, c'est celui de la votation électronique en Suisse.
43:57Donc, c'est évidemment un sujet à la fois très sensible d'un point de vue politique,
44:00on peut l'imaginer, et extrêmement critique d'un point de vue cyber.
44:04Et eux, ils utilisent le bug bounty comme une façon d'apporter des gages
44:09en fait de transparence et de confiance vis-à-vis de leurs citoyens.
44:15Et évidemment, ils n'auraient jamais les moyens,
44:19entre guillemets, de se payer 150 ou 200 ingénieurs d'une société à temps plein
44:24pour pouvoir sécuriser en permanence ces systèmes.
44:26Donc nous, ce qu'on propose, c'est vraiment un modèle qui, entre guillemets,
44:29rend scalable l'accès à ces ressources et ces expertises.
44:35On va parler très concrètement maintenant,
44:36quelles sont les réponses face aux cybermenaces aujourd'hui ?
44:39Quelles sont les réponses qu'on peut faire ?
44:41Et quelles sont les solutions techniques les plus efficaces
44:43pour prévenir et détecter ces cyberattaques ?
44:46Qui veut répondre ?
44:47Ah, c'est compliqué.
44:49Jean-Philippe.
44:49La sienne.
44:52Il y a plein de choses.
44:53La première chose, c'est déjà faire un diagnostic,
44:56c'est quoi mes assets critiques dans l'entreprise.
45:00Ça ne sert à rien de faire appel à des supers outils,
45:02de mettre Star Wars sur un truc qui n'est pas nécessaire.
45:07Donc, c'est vraiment comprendre les points.
45:09Puis ensuite, il y a différentes solutions.
45:11On ne va pas rentrer trop dans les techniques,
45:13mais pour mieux détecter, pour mieux répondre.
45:17Et puis, à tout un volet, on en a parlé beaucoup d'accompagnement, de formation,
45:21parce que l'humain est essentiel, en fait, dans toute la chaîne.
45:24Yann, si je te dis, j'ai une petite entreprise avec 50 employés.
45:27Je reçois un mail, un de mes salariés a cliqué sur le mail.
45:33Je suis victime d'une cyberattaque.
45:34Comment je dois réagir ?
45:36Déjà, probablement, il faut alerter les différents acteurs,
45:40mais déjà, probablement, débrancher le réseau.
45:44Donc, on arrête tout.
45:45Voilà.
45:46Ensuite, pas obligatoirement éteindre les machines,
45:49mais plutôt débrancher le réseau.
45:51Ensuite, depuis quelques mois, sur tout le territoire français,
45:54il y a un réseau qui s'appelle les Six Heurts Régionaux.
45:58C'est un peu le SAMU régional.
46:01Donc là, il y a un numéro dans toutes les régions à appeler.
46:04C'est pas le 3700 ?
46:06Peut-être, je devrais le savoir.
46:08Et donc, il y a un numéro à appeler où il y a des acteurs
46:11qui peuvent vous aider et vous orienter vers les bons acteurs.
46:16Voilà, c'est ça.
46:16Après, il y a d'autres acteurs qui sont assez intéressants,
46:19notamment cybermalveillance.gouv.fr,
46:22qui vous donne un certain nombre de conseils en amont.
46:25Et puis, il faut essayer d'éviter tout ça,
46:28d'arriver à ce niveau-là.
46:29Donc, il faut préparer.
46:30Et là, le dispositif dont je vous parlais, cibya.eu,
46:33c-y-b-i-a-h.eu, c'est gratuit.
46:36Pour la région Île-de-France, c'est un test.
46:39Il faut essayer de...
46:40Voilà, n'hésitez pas à nous contacter.
46:42150 entreprises vont pouvoir bénéficier de Cibya
46:46en Île-de-France pour l'instant,
46:47mais j'espère que ça sera dans toutes les régions
46:50l'année prochaine, par exemple.
46:51On l'espère bien aussi.
46:53Très bien.
46:54Et donc, est-ce qu'il y a des avantages, par exemple,
46:56s'il y a une collaboration entre les secteurs publics et privés,
46:58justement, pour renforcer la cybersécurité ?
47:01Je vais demander ça à Rodolphe.
47:03Alors, il y a une collaboration, de fait, à travers l'Annecy,
47:06qui est, je pense...
47:07Et le campus aussi.
47:09Alors, j'allais y venir.
47:11Mais historiquement, l'Annecy est présente depuis assez longtemps.
47:14Et je ne sais pas s'il y a un équivalent, peut-être à part aux Etats-Unis,
47:16à Singapour, dans quelques pays.
47:19Mais je ne pense pas qu'il y ait d'équivalent dans d'autres pays
47:20d'une organisation publique cyber aussi active
47:25et aussi importante que l'Annecy.
47:28Donc, je pense que l'Annecy a joué un rôle très important.
47:31C'est un peu...
47:32On a fait beaucoup d'autocritiques sur la France,
47:33mais objectivement, aujourd'hui, par rapport à la population
47:36à la taille du pays, je pense qu'en proportion,
47:38on doit avoir une des plus grosses expertises cyber, quand même.
47:42Nous, on le voit, désolé de tout ramener à Yaskouyak,
47:43mais sur le classement de la plateforme.
47:45Et même, je vais prendre un exemple qui n'a rien à voir avec nous,
47:46mais il y a eu un concours de hacking
47:48il n'y a pas très longtemps, organisé par une plateforme américaine.
47:50Et c'est encore des Français qui ont gagné.
47:52Donc, on est quand même conscients des risques de cybermenaces en France.
47:56Je pense que la France a un très bon niveau de naturité,
47:57un très bon niveau de compétence que nous vivent pas mal de pays.
48:00Et ça vient aussi, il faut le dire, de notre rendition d'ingénieur.
48:04Pour revenir à la question des partenariats publics privés,
48:08je pense que déjà, l'Annecy a joué un rôle essentiel en termes de sensibilisation.
48:11On l'a vu notamment avant les Jeux Olympiques.
48:13Elle a fait un énorme travail auprès des entreprises
48:15pour les « forcer » à prendre des mesures.
48:19Et d'une façon qui, à mon avis, ressemble,
48:21je pense qu'il n'y a qu'aux États-Unis ou une fois plus dans quelques pays
48:23qu'on peut voir ce type d'opérations.
48:26Donc, ça, c'est une première chose.
48:27Et puis, une autre chose, c'est que d'une façon générale,
48:30le gouvernement français ou l'administration est plutôt un adopteur précoce,
48:35pour parler pas en franglais, en matière de solutions cyber.
48:40On est deux représentants à cette table aujourd'hui de solutions
48:42qui sont utilisées depuis assez longtemps maintenant par les administrations
48:46et donc qui donnent l'exemple au reste des secteurs privés.
48:50Et ça, pareil, c'est quand même un atout très important
48:52parce qu'ils montrent la bonne direction.
48:55Yann ?
48:55Oui, complètement d'accord.
48:57Et c'est vrai que le modèle français est hyper intéressant.
48:59La maturité française, on a...
49:01C'est positif.
49:02...dissocié l'offensive du défensif.
49:05L'Annecy, c'est une agence qui est en défense et qui aide les entreprises.
49:10On a la chance, en France, d'avoir le Campus Hyver,
49:14qui est un peu la porte d'entrée vers l'écosystème français.
49:18C'est un lieu assez récent.
49:20On a trois ans.
49:22Trois ans après, on a plus de 6000 experts qui ont des accès.
49:24On a plus de 300 entreprises avec des super pépites
49:27comme Yasuya, comme E-Tracing.
49:29J'ai même une carte dans ma poche.
49:31Voilà.
49:33Et donc, pourquoi on a lancé ce Campus Hyver ?
49:38C'est une mission qui avait été confiée à Michel Vandenberghe,
49:40qui est un entrepreneur à succès.
49:42L'idée, c'était vraiment de...
49:43Le président du Campus Hyver.
49:44...qui est le président du Campus Hyver.
49:46L'idée, c'était vraiment d'essayer de créer beaucoup plus de synergie
49:50entre les acteurs publics et privés pour être plus forts ensemble
49:53et pour inverser le rapport de force vis-à-vis des attaquants
49:59et faire aussi rayonner l'excellence française.
50:01Et je peux vous dire que ça marche plutôt bien.
50:03On a beaucoup de délégations étrangères qui viennent nous voir.
50:06On inspire.
50:08Pour une fois, ça fait du bien de voir qu'en France,
50:10comme tu le disais, on a un écosystème qui est vibrant.
50:14On l'a vu pendant les JO.
50:16Même s'il y avait beaucoup d'inquiétudes,
50:17il y a eu une énorme préparation en amont.
50:19Et tout s'est bien passé.
50:21Et tout, dans l'ensemble, s'est à peu près bien passé de ce qu'on sait.
50:24Et donc, c'est quand même assez intéressant.
50:27Et on a...
50:28Moi, je suis assez persuadé qu'on a besoin de créer des écosystèmes fertiles
50:32pour que ces acteurs...
50:35Que ça s'emboîte correctement, finalement.
50:37Exactement.
50:37Ce n'est pas toujours simple de faire travailler des acteurs de la recherche.
50:40Avec des acteurs privés, le CAC 40, les start-up, tout ça, les écoles.
50:46On a tous ces acteurs-là.
50:47C'est plus de 300 entreprises ou organisations qui sont au campus
50:50et qui mettent leur force ensemble pour inverser le rapport de force,
50:53mieux protéger notre société et faire rayonner l'excellence française.
50:56C'est intéressant, les campus cyber régionaux.
51:00Parce que ça pourra territorialiser et sortir que de Paris.
51:05Moi, je constate que beaucoup d'entreprises françaises de taille...
51:11Enfin, je suis désolé, je m'occupe plus des ETI et des très grosses entreprises,
51:17ont pris le risque cyber au bon niveau de l'importance.
51:24C'est un risque qui est vu par les COMEX, par les directions générales.
51:28C'est pour ça que je parlais du fait que les DIC sont vraiment en première ligne maintenant.
51:32Ce n'est plus uniquement une question de responsables sécurité et système d'information.
51:36Et on voit que le sujet est vraiment traité.
51:39Il faut que ça descende.
51:40Mais les grandes entreprises et les grosses ETI dans tous les domaines d'activité,
51:43dans tous les secteurs, que ce soit industriel, que ce soit service, etc.
51:48Et le secteur public, d'ailleurs, on parlait de Jeux Olympiques.
51:51On travaille pour tout ce qui est Île-de-France Mobilité et Comititre.
51:55Ce sont des, je les cite, ce sont des gens qui investissent dans la cybersécurité.
52:01Et ce n'est pas pris à la légère.
52:03J'ai une dernière question pour vous quatre.
52:05Je vais vous parler du futur et de la cybersécurité et de l'innovation.
52:08Et je voudrais que, en un point, c'est une minute chacun.
52:11Qu'est-ce que vous pouvez me dire sur l'innovation en cybersécurité ?
52:13Quel va être le futur de la cybersécurité ?
52:18Qui commence, Yann ?
52:20Moi, je pense qu'on parle beaucoup d'IA,
52:21mais l'IA va beaucoup impacter tous les secteurs, y compris la cybersécurité.
52:25Elle devrait nous aider à automatiser et s'améliorer dans le temps de réaction,
52:30dans le temps de détection des attaques,
52:33et aussi à automatiser la réponse aux attaques.
52:36Et donc, on attend énormément de progrès au niveau de l'IA,
52:41mais c'est aussi des nouvelles menaces.
52:43Et donc, c'est des choses sur lesquelles...
52:46Juste pour compléter et répondre à ça,
52:48le problème, c'est qu'il y a aussi une...
52:49Enfin, l'IA est aussi utilisée par les attaquants.
52:51Il y a plusieurs cas d'usage qu'on a vu.
52:52L'IA, aujourd'hui, c'est quoi le cas d'usage ?
52:54C'est simplement tout ce qui est facile à faire,
52:56de l'automatiser pour le rendre plus rapide.
52:58Et les attaquants le font.
52:59Et donc, malheureusement, comme toujours en cyber,
53:02c'est un peu la parabole de la cuirasse et du glaive.
53:06L'un rattrape l'autre.
53:08Jean-Philippe ?
53:09Alors moi, du coup, je vais prendre le contre-pied.
53:11Je ne parlerai pas d'innovation au sens produit,
53:14je parlerai de...
53:17remédiation rapide.
53:19Se fixer des objectifs de quel temps d'arrêt, selon mon activité, je tolère ?
53:25Et en combien de temps je dois m'entraîner
53:28pour atteindre la remise d'aplomb sur ce temps d'arrêt-là ?
53:32Parce qu'à la fin, même les grandes entreprises ou les ETI qui ont des incidents,
53:38quand on regarde le nombre de jours qu'elles mettent,
53:40voire le nombre de semaines ou de mois à se remédier,
53:44la protection, oui.
53:46Peut-être penser mettre un peu plus d'efforts de pragmatisme et de méthode
53:50sur la réduction d'impact en se fixant des objectifs.
53:56Les outils, après, ça aide, mais...
54:00Moi, je suis complémentaire à tous les trois, si je peux me permettre.
54:05Non, c'est beaucoup de demander.
54:06Non, je pense que la notion de service,
54:10elle est extrêmement importante dans la cybersécurité.
54:13Les systèmes d'information sont complexes.
54:16On a besoin d'une démarche transverse, vraiment transverse.
54:20Ça demande bien sûr de l'IA dans le service,
54:22ça demande bien sûr à organiser, à structurer, à identifier les temps, etc.
54:27Mais on est sur une notion de surveillance,
54:30on est sur une notion de vision globale du système d'information
54:34avec toute l'empreinte qui peut être vulnérable.
54:37On peut avoir des vulnérabilités dans les différentes plaques,
54:40régions, métiers, applications.
54:42Donc, c'est vaste, c'est très vaste.
54:44Mais cette notion globale transverse de surveillance,
54:49d'intervention, de détection,
54:51elle est basée sur le service humain.
54:54Que le service humain utilise de l'outillage, l'IA,
54:57bien sûr, tant mieux, c'est génial.
55:00Mais l'IA est utilisée par tout le monde.
55:02Donc voilà, l'humain et la notion de service, elles sont quand même transverses.
55:06Très bien, on finira sur cette belle parole.
55:08C'est la fin de cette émission.
55:10La cybersécurité est un domaine plus que crucial dans notre société numérique.
55:15Merci à nos experts pour leur analyse éclairée.
55:17Merci à vous, téléspectateurs, de nous suivre.
55:20Et ensemble, ensemble, continuons à nous informer,
55:22à nous former et à renforcer notre cybersécurité
55:26pour faire face aux défis d'aujourd'hui et de demain.
55:28À très bientôt sur Be Smart For Change pour une prochaine émission.
55:32Et surtout, restez vigilants dans l'univers numérique.