00:00 Alors on avait une mission cyber, comment faire pour protéger mieux, protéger nos
00:07 PME face à la cyber menace.
00:09 On ne peut pas dire mission accomplie mais en tout cas mission remplie au sens où un
00:13 rapport a été rendu par Michel Vandenberghe qui est mon invité aujourd'hui.
00:17 Bonjour Michel.
00:18 Bonjour.
00:19 Vous êtes, je rappelle, le président du campus cyber qui est ce lieu totem de la cybersécurité
00:24 où l'on retrouve à la fois des acteurs publics et privés dans ce secteur.
00:29 Vous avez récemment, je le disais, remis à M. le ministre Jean-Noël Barraud un rapport
00:33 pour une plus grande cybersécurisation des TPE, PME, ETI.
00:38 Alors première question, quel est déjà le niveau de fragilité aujourd'hui des petites
00:43 entreprises en France face à la cyber menace ?
00:45 Effectivement cette mission on l'a faite en interrogeant l'écosystème, on est aussi
00:49 interrogé pour savoir ce qui se passe dans d'autres pays, les ambassades, etc.
00:52 Ce qu'on voit c'est que paradoxalement les patrons de TPE, de PME sont conscients du
00:57 risque cyber, plus de 70% disent effectivement qu'il y a un risque important.
01:00 Mais à l'inverse, ils estiment que ce ne sont pas des cibles en disant "moi j'ai rien
01:04 à protéger, j'ai rien de sensible donc je ne suis pas une cible".
01:06 C'est aussi des gens qui disent, comment dire ça, on a le sentiment de cyber sécurisé
01:14 parce que notre sous-traitant nous a expliqué qu'il y avait un antivirus, qu'on était
01:18 bien protégé.
01:19 Et puis le troisième point qui est le plus important c'est que surtout ils ne sont pas
01:23 conscients de leur dépendance au numérique, c'est-à-dire que ça a été tellement vite
01:26 cette numérisation, c'est qu'eux pensent que ça fonctionnera tout le temps, que c'est
01:30 complètement immatériel et c'est quand ça s'arrête, soit suite à une cyber-attaque,
01:34 soit tout simplement par une panne informatique, qu'ils s'aperçoivent que leur entreprise
01:37 ne fonctionne plus et que c'est là qu'elle est mise en danger.
01:40 Donc c'est ça, je dirais, la grande leçon du rapport c'est qu'ils sont conscients qu'il
01:44 y a des risques, mais ils ont l'impression que ça ne les concerne pas parce que ce ne
01:48 sont pas des cibles intéressantes pour les pirates.
01:49 Mais alors s'ils ont l'impression que ça ne les concerne pas, est-ce que ça veut dire
01:53 finalement que le niveau de menace n'est pas si élevé ?
01:54 Si, parce qu'effectivement les pirates ne ciblent pas.
01:57 Les pirates aujourd'hui lancent des campagnes et ça atterrit dans les endroits qui sont
02:03 les moins protégés et les plus fragiles.
02:05 Donc même si on ne se sent pas une cible précisément, on peut l'être par hasard
02:09 pratiquement, c'est ça ?
02:10 C'est exactement comme ça que ça se passe.
02:11 Le pirate lance des grandes campagnes de phishing sur toutes les adresses mail qu'il
02:15 a disponibles.
02:16 Si vous êtes dessus, vous cliquez sur le lien, vous cryptez l'ensemble de vos données
02:19 et c'est là que la catastrophe arrive.
02:21 Alors, venons-en à votre plan et les principales recommandations.
02:25 Qu'est-ce que vous pouvez nous dire ?
02:26 En fait, ce qu'on propose au ministre, la première chose, c'est donner de la lisibilité.
02:29 En fait, ce qu'on s'aperçoit, c'est qu'il y a plein d'entreprises, d'offreurs, des
02:34 régions, des CCI, le CIGREF, etc. qui ont dit qu'il faut s'occuper des maillons faibles
02:41 de l'économie française qui sont les 4 millions d'ETPE.
02:43 Donc tout le monde a créé des offres, des questionnaires, des diagnostics, etc.
02:47 Mais souvent un peu techniques et souvent pas forcément adaptés à la cible qu'ils
02:51 ont choisie.
02:52 Donc ce qu'on propose déjà, c'est de dire, essayons de donner beaucoup de lisibilité
02:56 et de faire des questionnaires qui soient adaptés au patron de PME.
02:59 Et au bout de la troisième question, on leur dit, est-ce que vous avez un VPN ? Est-ce
03:02 que vous avez fait un scan de vulnérabilité ? Ou effectivement, les gens arrêtent de
03:05 remplir le questionnaire parce que c'est trop technique pour eux.
03:08 Donc se mettre à leur niveau et donner de la lisibilité.
03:10 Le deuxième point qu'on dit, c'est qu'il y a plein d'initiatives qui ont été faites.
03:14 Vous pouvez créer une place de marché qui serait aubergée au campus cyber où vous
03:18 renseignez, je suis boucher charcutier dans la Drôme et j'ai 8 salariés.
03:22 Ça vous donne le bon questionnaire.
03:24 En fonction de votre degré de maturité, ça vous oriente vers les solutions simples
03:28 à mettre en œuvre.
03:29 Et si votre région, parce qu'il y a des régions qui le font, finance votre sécurisation,
03:33 parfois à 50, à 60, à 70 %, ça vous l'indique et vous explique comment faire pour justement
03:38 donner beaucoup de lisibilité et que quand il décide de faire des marches, on puisse
03:41 les accompagner.
03:42 Mais cette plateforme de marché, ça veut dire quoi ? Ça veut dire qu'il y aurait
03:44 une sorte de labellisation des offres vraiment capables de cyber sécuriser les petites entreprises
03:50 françaises ?
03:51 Plutôt un portail qui recense l'ensemble des offres qui ont déjà été faites, ne
03:54 pas réinventer ce qui a déjà été fait.
03:55 Et en fonction, s'il y a quelque chose qui a été fait.
03:57 On puisse aller faire notre marché sur cette plateforme.
03:59 Exactement.
04:00 Si la Bretagne a développé un portail dédié aux entreprises bretonnes, effectivement
04:03 si la personne va sur le portail national, ça l'oriente directement vers les bonnes
04:07 solutions, vers les acteurs de proximité.
04:09 Avec des coûts adaptés aussi, parce que ça c'est un sujet quand même.
04:13 C'est les budgets que les PME peuvent consacrer aujourd'hui à la cybersécurité.
04:16 Par exemple, on a lancé un projet avec la région Île-de-France où le diagnostic
04:21 et la partie accompagnement est gratuit et financé par la région Île-de-France.
04:25 Et si la petite entreprise décide d'installer des solutions pour mieux sa cybersécurité,
04:31 il y a la moitié des coûts qui sont pris en compte par la région.
04:33 Voilà, donc il y a vraiment une volonté d'être fait.
04:35 Ce qu'il faut faire aujourd'hui, c'est faire à ce qu'on puisse donner cette information
04:39 de façon extrêmement simple au patron qui a envie de pouvoir y accéder.
04:43 Et aujourd'hui, il n'y a pas une plateforme qui recense de façon nationale ce qui pourrait
04:49 être fait et mis en place aujourd'hui.
04:50 Puis le troisième point, c'est justement enlever cette image de dire "je ne suis pas
04:54 une cible".
04:55 Donc sensibiliser les patrons de PME que la cybersécurité, effectivement, ils ne sont
05:00 pas ciblés, mais ça peut leur tomber dessus à tout moment.
05:03 Et que quand ça s'arrête, effectivement, une entreprise sur deux qui ne paye pas la
05:07 rançon dépose le bilan.
05:09 Et ça, ça veut dire que c'est extrêmement grave.
05:12 Et nous, souvent, quand on est contacté, les experts, les patrons de PME, ce n'est
05:15 pas pour les aider à réparer, c'est pour nous dire "on demande de payer en bitcoin,
05:19 comment je fais pour payer la rançon ?" Parce que eux, ils ont décidé de payer, parce
05:22 que de toute façon, ils n'ont pas l'intention de laisser crouler leur entreprise.
05:25 Voilà.
05:26 Merci, merci beaucoup.
05:27 Oui, Fabien.
05:28 Peut-être un dernier point, c'est de servir aussi des connecteurs, des gens de proximité,
05:32 par exemple les opérateurs, quand ils vont installer Internet, une box pro auprès de
05:37 ces professionnels, peut-être qu'ils puissent remettre un petit fascicule pour leur dire
05:40 "voilà, vous allez maintenant être connecté au grand monde immatériel en faisant 3-4
05:46 points, vous pouvez vous protéger".
05:47 Merci beaucoup, Michel Vandenberghe, président du campus cyber, qui pourrait héberger, pourquoi
05:50 pas, cette plateforme d'offre de marché qui donnerait de la lisibilité à ces PME
05:54 qui veulent se protéger des cybermenaces.
05:56 Merci encore.
05:57 Merci.
05:58 A suivre, on va s'intéresser à la réglementation autour du cloud, parce que ça bouge en France.
Commentaires