Passer au playerPasser au contenu principal
Capital
  • il y a 9 mois

Catégorie

📺
TV
Transcription
00:00Bonjour à tous, nous concluons notre journée de table ronde avec le thème des infrastructures critiques,
00:16le thème le plus sensible pour la fin.
00:18Le thème est donc « Cybersécurité des infrastructures critiques, garantir l'avenir de nos sociétés ».
00:24Pour discuter de cela, j'accueille trois invités.
00:26Julien Dréano, responsable de la sécurité des systèmes d'information chez Framatome.
00:31Bonjour.
00:32Bonjour.
00:33Jean-Dominique Nollet, directeur cybersécurité chez Total Energy.
00:37Bonjour.
00:38Et Lilian Seigneur, directeur général des services cyber chez Thalès en France.
00:43Bonjour.
00:44Merci à tous.
00:46Alors première question, puisqu'on parle d'infrastructures critiques,
00:50comment vous évaluez la criticité de vos installations, peut-être chez Total pour débuter ?
00:58Peut-être chez Total pour débuter, l'évaluation de...
01:01On a plusieurs façons de travailler sur l'évaluation des risques,
01:06qui sont des méthodes plutôt internes en général,
01:08mais déjà on a des lois qui nous imposent notre criticité vis-à-vis de la société,
01:14c'est-à-dire quelle est notre criticité, nous, Total Energy,
01:17vis-à-vis de la société française, belge, luxembourg, quels seront les pays.
01:21Donc on a des lois qu'on doit suivre pour ces choses-là.
01:24Et ensuite, dans nos processus métiers, nous,
01:26arriver à avoir quelle est la criticité, par exemple,
01:30le fait qu'une raffinerie puisse s'arrêter,
01:32quel est son impact sur la société, sur les logistiques
01:34qui vont arriver pour l'énergie, pour mettre de l'énergie dans les foyers des gens qu'on doit distribuer.
01:41Chez Framatome, ce sont des réflexions similaires ?
01:43On a à peu près tous aujourd'hui ce type de réflexion.
01:46Et j'aime bien qu'on dissocie ce qui est critique de ce qui est sensible.
01:49Quelque chose peut être critique sans être sensible, et inversement.
01:52Donc il faut un peu faire attention à ça.
01:53Et je rejoins, j'ai une demi-midi,
01:54il y a suffisamment de réglementations, de méthodes,
01:56qui nous aident à déterminer ce qui est critique,
01:59ce qui est sensible au sein d'une organisation.
02:01Ce qui est sensible, c'est généralement le règlement qui va nous l'imposer.
02:03Ce qui est critique aussi.
02:05Nous, on a les méthodologies d'hénaïs de risque.
02:06Il y a un moment où toute entreprise doit piloter ses risques,
02:09d'une façon ou d'une autre, et via les risques.
02:11On va commencer à travailler autour des processus d'entreprise
02:14pour définir lesquels vont être critiques, lesquels vont être sensibles,
02:17et après, quelles méthodologies associer pour mettre les contre-mesures.
02:21Et vous appartenez à deux entreprises qui opèrent dans le domaine de l'énergie,
02:25donc un domaine assez sensible.
02:27C'est une vaste question, mais quels sont vos principaux défis
02:30en matière de cybersécurité aujourd'hui ?
02:33Je pense que les principaux défis, c'est de nous adapter aux changements
02:37qui arrivent dans nos métiers.
02:38De plus en plus, on va digitaliser nos usines.
02:41C'est-à-dire, il va y avoir besoin pour optimiser à la fois la production,
02:45automatiser aussi des parties safety, c'est-à-dire sécurité physique à bord,
02:51de faire descendre des nouveaux composants dans nos systèmes.
02:54Et cette descente de composants demande des réflexions adaptées.
02:58On parle évidemment de l'intelligence artificielle,
03:01on ne peut pas voir un journal sans qu'on parle d'IA,
03:03mais sans en faire une tarte à la crème,
03:05il y a des usages qui sont en train de changer,
03:07sur lesquels nous, on doit adapter nos postures de cybersécurité,
03:10savoir ce qu'on ouvre comme flux, ce qu'on laisse faire,
03:13par rapport à des usages qui sont complètement inoffensifs,
03:16et d'essayer de détecter s'il n'y a pas des usages,
03:18qu'ils soient des usages risqués en matière de cybersécurité,
03:21en disant, attention là, si un pirate exploite ça, ça, ça,
03:24ça peut arriver dans une chaîne de processus métier,
03:28et ça, ça serait grave, donc il faut absolument le faire.
03:32Oui, et je vais rebondir sur le défi,
03:35donc j'aime bien dire en rigolant en général à cette question-là,
03:37on essaie de survivre déjà, mais en étant sérieux,
03:40c'est un mélange, on se doit nous les industriels,
03:42de résorber nos dettes technologiques,
03:44on a du legacy, on va y revenir après,
03:47mais c'est un vrai sujet.
03:48On doit résoudre ce type de problématiques,
03:50absorber toutes les nouvelles vagues technologiques,
03:52on parle de convergence IT-OT,
03:54de digitalisation des processus d'entreprise,
03:57donc ça, ce n'est pas technologique,
03:58ce n'est pas unique, il y a l'iPhone, il y a l'IA qui arrive,
04:00donc il faut qu'on soit capable de gérer le passé,
04:02de gérer le futur,
04:04et tout ça avec l'équation budget constant, globalement.
04:08Donc voilà, c'est gérer ces différents axes en parallèle,
04:11et sans mettre une priorité l'un sur l'autre,
04:13mais il faut tous les combler d'une façon ou d'une autre.
04:15Donc ça, c'est un autre défi, en fait, en parallèle.
04:16Monsieur Seigneur, peut-être ?
04:19C'est vrai qu'on doit dresser en parallèle des accélérations,
04:22ça a été évoqué le sujet de l'IA,
04:24qui est en permanence au centre des communications et des médias.
04:28Les systèmes industriels, ils ont une durée de vie
04:30qui n'est pas tout à fait la même que ce qu'on va trouver
04:33dans les technologies grand public.
04:35Julien a parlé de la partie d'aide technique,
04:37aujourd'hui, on doit gérer ces deux fronts en parallèle,
04:40sachant que la digitalisation,
04:42elle amène aussi une convergence des systèmes industriels
04:44et des systèmes informatiques,
04:46tout à l'heure, on a parlé des comportements ou des flux.
04:49On va avoir des équipements qui sont de plus en plus connectés,
04:52mais pour les connecter, ça veut dire qu'il y a des gens qui y ont accès.
04:55Il faut qu'on mette une vigilance accrue sur qui y a accès,
04:59pour quoi faire et quelles sont les données qui vont transiter.
05:03Juste pour rebondir et parler du cycle de vie.
05:06Alors, dans notre industrie nucléaire,
05:08pour la précision, notre produit, c'est une centrale,
05:10c'est du à vie, c'est un siècle.
05:11Donc, il faut que toute l'usine et que toute l'organisation
05:14et l'entreprise travaillent de cette façon-là,
05:15c'est-à-dire 30 ans de design et de construction,
05:1840-60 ans de production pour la centrale,
05:20il n'y a pas le décommissionnement.
05:21À l'instant T, nos produits, c'est un cycle.
05:23Quand dans une technologie, le cycle de vie d'une technologie,
05:26c'est ça.
05:27Donc, on se doit de traiter le passé,
05:29de traiter le futur, c'est l'ensemble de nos défis.
05:31Et l'industrie nucléaire est particulière.
05:33L'aéronautique, c'est des cycles longs,
05:35le nucléaire encore plus long,
05:36le retail, c'est des cycles rapides.
05:38Ça veut dire que c'est une superposition aussi
05:41de différentes générations de systèmes d'information ?
05:44Ça s'appelle de l'outil, en fait.
05:46Quel que soit le domaine industriel,
05:48l'outil, qui est l'informatique industrielle,
05:50a ses empilements de couches,
05:52normales et légitimes,
05:53parce qu'il ne faut pas non plus...
05:55On pourrait se dire, tiens, la priorité est à la top cyber,
05:58on va changer tous les systèmes informatiques,
06:00mais ça ne marchera peut-être pas
06:01avec le système analogique qui est derrière.
06:03Donc, il y a tout plein de nous.
06:05Des calculs à faire, des redesigns à faire.
06:08Alors, 100 ans, ils sont un petit peu assez normal,
06:10et c'est leur métier.
06:11Nous, on a des arrêts de tranche
06:13sur nos énergies carbonées
06:15qui sont à peu près tous les 7 ans.
06:17On a une opportunité de refaire des designs,
06:19mais on ne peut pas tout redesign nous non plus.
06:21Juste pour prendre nos camarades du domaine médical,
06:24c'est pareil.
06:25Vous arrivez, il y a des objets
06:27qui arrivent actuellement dans certains hôpitaux,
06:30cliniques, qui sont déjà by design,
06:32déjà obsolètes.
06:33Parce que la priorité, c'est quand même la santé des gens,
06:36ce n'est pas forcément la cybersécurité.
06:38Donc, c'est aussi des équilibres de sécurité
06:39qu'il faut savoir mener avec transparence et intelligence.
06:43Vous avez des bonnes pratiques là-dessus
06:44à partager pour réussir à...
06:46On se voit souvent pour partager
06:48les bonnes pratiques, nous deux,
06:50et il y a des normes.
06:52Il y a l'IEC 62-440 qui guide...
06:55C'est une norme internationale,
06:56ce n'est pas une loi,
06:57ce n'est pas un texte qui s'impose,
06:58mais qui permet d'évaluer nos risques
07:00et la façon, nous, par exemple,
07:02comme chez Framatome,
07:04la priorité, c'est la safety,
07:05c'est-à-dire que la cybersécurité,
07:07des automates de sécurité,
07:09les boutons rouges sur lesquels on va appuyer
07:11si on a un problème grave,
07:13doivent fonctionner quoi qu'il se passe.
07:15Sachant qu'on a déjà,
07:16pas chez nous,
07:17sur la planète,
07:19retrouver des malwares étatiques
07:22dans ce système de safety.
07:23Donc, c'est des choses qui sont déjà présentes.
07:26Sachant que, ça veut dire que,
07:29en plus, chaque secteur d'activité,
07:31on a évoqué le domaine de la santé,
07:34a, en plus de la partie cyberprotection,
07:36la réglementation qu'on pourra observer
07:39dans le cadre cyber,
07:40a aussi des réglementations
07:42dans leur propre secteur,
07:43dans leur propre métier.
07:45On parlait de la santé,
07:45un medical device,
07:46il a suivi un processus d'homologation,
07:49de certification.
07:50Ça veut dire que,
07:51si on veut modifier à l'intérieur,
07:52pour le rendre, par exemple,
07:53plus sécurisé,
07:54ça voudrait dire que le constructeur,
07:56il doit recertifier son produit.
07:59Aujourd'hui, ça prend déjà un temps certain,
08:01par exemple, de fabriquer un produit de santé.
08:04Alors, c'est pour ça que,
08:04quand il arrive sur le marché,
08:05parfois, il y a déjà des technologies
08:07qui existent,
08:08qui sont plus novatrices.
08:09Oui, mais, ces technologies-là,
08:11elles ne peuvent pas être intégrées telles quelles.
08:12Il faut repasser un processus.
08:14Donc, il faut aussi qu'on garantisse bien
08:15l'objectif de chaque secteur d'activité,
08:18de produire de l'énergie,
08:19de soigner des personnes.
08:20Donc, il faut aussi faire attention
08:21à l'évolution trop rapide des technologies.
08:24Il faut qu'elles ne soient pas au détriment,
08:25aujourd'hui, de l'usage.
08:26On revient au sujet de quel est l'usage
08:29de ce qu'on veut proposer sur le marché.
08:32Et une autre particularité de vos entreprises,
08:34c'est que vous travaillez avec des réseaux
08:35de sous-traitants quand même assez vastes,
08:38éclatés à l'international.
08:41On a vu à l'étranger que ça pouvait être
08:43une source de vulnérabilité, parfois.
08:44Comment vous faites pour intégrer cette chaîne de sous-traitance
08:48dans vos efforts en matière de cybersécurité ?
08:51Je pense qu'on n'est pas les seuls.
08:54Ce n'est pas une particularité.
08:56Je pense que le monde actuel,
08:57tout le monde a des chaînes de sous-traitance
08:58qui sont assez énormes.
09:00Donc, déjà, il faut identifier
09:02chez les chefs de sous-traitance,
09:04évaluer un risque dans la sous-traitance,
09:05évaluer.
09:06Quand vous entrez une entreprise,
09:08quand vous avez un appel d'offres,
09:10vous dites, est-ce qu'il a le bon niveau ?
09:12En plus, c'est le moment où on peut tenir,
09:14je dirais, la personne qui veut rentrer chez vous
09:16parce qu'elle veut le contrat chez vous
09:17en lui disant, c'est bien, tu as fait ça, ça, ça,
09:20mais pour faire le contrat chez nous,
09:21il va falloir faire plus.
09:23Il y a toute cette partie-là.
09:24Il y a la partie suivie dans la vie aussi
09:26de la sous-traitance,
09:27puisque une société peut être rachetée,
09:29peut avoir des difficultés.
09:31Un de vos sous-traitants peut avoir des difficultés.
09:33Il ne faut pas étrangler ses sous-traitants.
09:35Il faut faire très attention au fait
09:36qu'il faut vérifier la santé financière
09:39de son sous-traitant.
09:40Sinon, il va faire des bêtises.
09:41Et il faut aussi, moi, dans mes contrats,
09:43j'ai des contrats qui prévoient en sous-traitance
09:45des red teams toujours autorisés.
09:47C'est-à-dire qu'on arrivait à les faire
09:49des red teams chez nos sous-traitants
09:50pour essayer de remonter la chaîne de valeur,
09:52savoir si en piratant le sous-traitant A,
09:55on n'arrive pas à remonter chez Total Energy.
09:56Quand vous dites red team, pardon, vous pouvez...
09:58C'est des simulations d'attaques réelles.
10:01D'accord.
10:01C'est le fait d'aller pirater la personne,
10:03c'est dans nos contrats.
10:05On se donne le droit d'aller tester
10:06de manière offensive la sécurité de nos sous-traitants
10:09pour savoir s'ils sont bien fiables.
10:11Donc c'est des tests d'intrusion informatique.
10:14Oui.
10:14Est-ce que ça peut impliquer des opérations physiques aussi ?
10:16Je sais que des fois, les...
10:17Oui, c'est dans les contrats.
10:18D'accord.
10:19Il y a plusieurs axes dans la réponse
10:23pour continuer sur cette vidéo, Jean-Dominique.
10:26Il y a bien les contrats.
10:27On signe avec le fournisseur,
10:28on peut injecter les clauses
10:29pour commencer, nous, à nous protéger.
10:31Après, il y a ce qu'on appelle
10:31les plans d'assurance-sécurité.
10:33C'est plus dans le domaine IT,
10:34mais c'est un des premiers axes
10:35où on travaille tous nos fournisseurs.
10:37De la même façon avec des clauses d'audite,
10:38en l'occurrence,
10:39pour mieux sécuriser le contrat.
10:40C'est le premier axe.
10:41Le deuxième axe, c'est aussi,
10:42il faut considérer,
10:43on considère maintenant que nos sous-traitants
10:45devraient faire partie un peu de nos lignes de défense.
10:47Je m'explique, ça devient un de nos maillons faibles
10:48en termes de cyber.
10:50C'est-à-dire, c'est dur de rentrer
10:51chez Total, chez Framato,
10:53parce qu'on a des grosses équipes,
10:54on a des budgets.
10:55Et c'est plus simple de rebondir
10:56à travers nos fournisseurs.
10:57Il faut aussi que nous,
10:58les RSC des grands groupes,
10:59on les accompagne, les sous-traitants,
11:01parce qu'ils ne sont pas tous très grands.
11:02Généralement, il y a des sous-traitants,
11:03c'est des TPE.
11:04C'est à la fois et le patron,
11:05et le DSI, et l'ivre.
11:08Le directeur financier, souvent,
11:10c'est l'expert cyber
11:10de certaines petites boîtes
11:12avec l'aigle en bas.
11:13C'est normal, c'est même plaisant,
11:14parce qu'on arrive à avoir des discussions
11:16qui sont très sympas
11:18avec ces gens-là
11:18qui veulent bien tout faire,
11:20qui savent par quel bout le prendre.
11:21Ils sont démunis face aux réglementations.
11:23Ce n'est pas leur métier.
11:24Nous, c'est notre métier,
11:25on fait ça à longueur de journée.
11:27Les fournisseurs, pour certains,
11:29c'est une acculturation.
11:30Il faut les faire monter en maturité.
11:31C'est aussi notre travail,
11:32nous, les grands ponts,
11:33de les accompagner là-dessus.
11:35Puis après,
11:35il y a la capacité de les auditer,
11:38très offensivement,
11:39il y a la capacité de les ranker aussi,
11:41de les scorer,
11:41d'avoir des notes,
11:42un peu comme les AAA
11:43en termes financiers,
11:44ça commence à arriver
11:45dans le domaine cyber.
11:46Donc voilà,
11:47c'est plusieurs axes
11:47pour travailler nos fournisseurs,
11:49c'est via les contrats,
11:50c'est via de la sensibilisation
11:51et après,
11:52peut-être via du ranking demain.
11:53Une bonne identification
11:55du risque sous-traitant.
11:57L'entreprise de maçonnerie
11:58qui vient chez nous,
11:59elle n'est peut-être pas super critique
12:00en matière de risque cyber.
12:03Il ne faut pas non plus
12:03faire du one-size-fit-all
12:05parce qu'on fatigue les gens.
12:06Donc, il faut vraiment arriver
12:07à trouver en disant
12:08que les gens qui font
12:08des actes informatiques chez nous
12:10ou ils ont des privilèges élevés
12:11dans le truc,
12:12là, c'est le top risque.
12:13Moi, je ne sais pas
12:14combien de clauses
12:15et là, c'est audit total.
12:17Et après, dans d'autres,
12:18tel que le maçon
12:19et le plombier,
12:20c'est moins grave
12:20en matière d'impact cyber.
12:22Si eux sont impactés,
12:24ils sont tapés en cyber.
12:25Et pour les fournisseurs
12:26un peu plus sensibles,
12:27comment vous les embarquez ?
12:28Ça passe par des formations
12:29avec eux ?
12:30Alors, moi, comme on a
12:32une culture safety
12:33qui est assez forte
12:33chez Total Energy,
12:35quand vous rentrez
12:35sur un site industriel
12:36chez Total Energy,
12:37vous avez une vidéo
12:38d'onboarding.
12:39Vous rentrez sur n'importe
12:39quelle raffinerie,
12:40vous avez la vidéo
12:41ce qu'il ne faut pas faire,
12:42ce qu'il faut faire
12:43ou vous rassembler
12:43les équipements de protection
12:45obligatoires.
12:46On a la même chose
12:47en matière cyber,
12:48c'est-à-dire qu'un sous-traitant
12:49qui vient faire des actes
12:50informatiques chez nous,
12:51on a une vidéo d'onboarding
12:52avec des questions derrière
12:53dans laquelle on va lui dire
12:55chez Total Energy,
12:57tes clés,
12:57tu les stocks
12:58dans un qui vole
12:59de tels moyens,
13:00si tu es dans le cloud,
13:00tu fais comme ça,
13:01pour accéder à des VPN,
13:02tu ne mets pas de clés de VPN
13:03sur ton OneDrive,
13:05des choses qu'on répète
13:06qui sont de l'hygiène
13:07mais surtout adaptées
13:08à la façon de comment
13:09on fait de la cyber
13:10chez Total Energy.
13:13Alors, chez Thales,
13:14on a également
13:14un programme d'évaluation
13:15qui, je pense,
13:16se rapproche
13:17de ceux de Total,
13:18de Tramatome,
13:19de la maturité
13:20de nos sous-traitants
13:21et je vais donner
13:22juste une précision,
13:23dans certains cas,
13:24en tout cas,
13:24sur certains niveaux
13:25de sensibilité,
13:26on peut aussi fournir
13:26des moyens
13:27pour travailler
13:28avec nos sous-traitants
13:29parce que, dans certains cas,
13:30c'est aussi la façon
13:31dont on va échanger avec eux
13:32et, à ce moment-là,
13:33on peut leur faire bénéficier
13:34d'un environnement
13:35où, peut-être,
13:36vu leur taille,
13:37ils ne vont pas créer
13:38une infrastructure
13:39ou acheter des outils.
13:40Dans certains cas,
13:41on leur fournit
13:41une capacité d'accès
13:42à nos outils
13:43pour être,
13:44en tout cas,
13:44pour assurer au maximum
13:46la garantie de sécurité
13:47des données
13:48qu'on va leur partager
13:48ou du travail
13:49qu'on va faire en commun.
13:50Donc, il y a aussi
13:51cet angle-là.
13:52Dans certains cas,
13:52notre rôle de grand groupe,
13:53c'est aussi de les assister
13:54ou de leur fournir
13:55des moyens
13:55qu'ils ne peuvent pas
13:56forcément mettre en place
13:57tout ça.
13:59En coulisses,
14:00vous me décriviez
14:00un autre défi.
14:01Pour vous,
14:01c'est l'essor...
14:02Ah, je n'étais pas là
14:02au début des coulisses.
14:03Je suis désolé.
14:04En coulisses,
14:05il y a quelques jours,
14:06c'était l'essor
14:07de l'Internet des objets.
14:09En quoi ça crée
14:11de nouveaux défis
14:12en termes de cybersécurité ?
14:14Ce n'est pas si nouveau,
14:16mais c'est des choses
14:16très intéressantes.
14:17C'est-à-dire qu'on va avoir
14:18de plus en plus
14:19des sites industriels
14:20qui vont essayer
14:21d'optimiser leur fonctionnement,
14:22leur fonctionnement de safety aussi,
14:24sur des usages
14:25de systèmes
14:26fondés sur des capteurs
14:28ou des actionneurs
14:29avec des systèmes LoRa,
14:31avec des protocoles
14:32un peu identifiés
14:32avec de la 5G.
14:34Donc, ça paraît super bien
14:35quand on va avoir la boîte
14:36localement,
14:37le directeur d'usine,
14:38il voit son P&L,
14:39il dit,
14:39je vais gagner tant de millions
14:40dans l'année
14:41parce que je vais faire ça.
14:42Après,
14:43il faut que nous,
14:43on puisse regarder en centrale
14:45en disant,
14:45très bien,
14:46mais pour te sécuriser,
14:47il faut faire ça,
14:48ça, ça et ça.
14:49Donc, nous,
14:49on se fonde
14:50sur des use case.
14:51On essaie d'avoir
14:52toujours des use case
14:53qui viennent du terrain
14:54en disant,
14:55telle usine a eu tel besoin
14:57mais on ne savait pas
14:57comment faire
14:58et je dirais
14:59qu'on généralise
15:01le use case
15:01et les gens peuvent
15:02venir les chercher
15:02en disant,
15:04tu peux acheter
15:04dans certains cas,
15:05on leur dit,
15:05vous pouvez acheter
15:06la techno que vous voulez,
15:07par contre,
15:07dans d'autres,
15:08non,
15:08il n'y a que tel et tel techno
15:09qui nous paraît
15:10suffisamment stable,
15:11tel protocole
15:12et telle manière
15:13de le déployer.
15:13C'est un des défis,
15:16l'IoT,
15:16mais en fait,
15:17c'est amené
15:17par la convergence
15:18IT-OT.
15:20Donc, ça,
15:20c'est un premier point.
15:21Le deuxième point,
15:21c'est l'IoT,
15:23moi, j'appelle ça
15:24du shadow-OT.
15:24C'est toute l'informatique
15:25industrielle métier
15:26qui est cachée
15:27de la DSI,
15:28qui est achetée
15:28dans notre dos
15:28dont on n'a pas conscience.
15:29On en avait déjà avant
15:30sur les secteurs IT,
15:31à titre d'exemple.
15:33Généralement,
15:33un site web acheté
15:34par la communication,
15:35si nous,
15:35on ne connaît pas la DSI,
15:36on ne sait pas le protéger.
15:37Voilà, ça,
15:38c'est du shadow.
15:38Il y a du shadow IT,
15:39du shadow-OT
15:40et il y a du shadow-IoT.
15:42Maintenant,
15:42les IA,
15:43elles rentrent dans l'entreprise,
15:44on n'a pas la visibilité là-dessus.
15:45Et l'IoT,
15:46l'usage n'est pas très nouveau.
15:48C'est des technos anciennes,
15:49il y a l'aura,
15:50il y a le 100G.
15:51C'est récent,
15:51mais c'est vrai
15:52que ça rentre partout
15:52dans nos usines
15:53sans forcément
15:54qu'on soit au courant.
15:55C'est là où je rejoins
15:55Jean-Dominique.
15:57On ne sait pas le protéger
15:58si on n'a pas connaissance.
15:59Et ça ouvre
15:59toutes nos usines
16:07donc c'est ça notre défi.
16:09C'est de mieux travailler
16:09avec nos métiers,
16:10mieux les éduquer
16:11et refaire notre rôle
16:12de DSI,
16:13c'est-à-dire qu'on doit
16:14les accompagner
16:14sur ce type de technologie
16:15que je veux.
16:17Dans l'actualité,
16:19on voit aussi
16:19qu'il y a une pression
16:20réglementaire
16:20de plus en plus forte
16:21sur les infrastructures
16:22critiques en matière cyber.
16:25Il y a la transposition
16:26en cours
16:26de la directive européenne
16:27NIS 2
16:28dans la loi française.
16:30L'ANSI parle
16:31d'une opportunité.
16:31Encore ?
16:31Je ne l'ai pas vu voter.
16:33Oui, c'est toujours encore.
16:34Peut-être une volonté,
16:35on verra ce que dit le peuple.
16:36Moi, j'attends.
16:37En tout cas,
16:38ça fait déjà des balles.
16:39NIS parle d'une opportunité unique.
16:41D'autres s'inquiètent
16:42d'un millefeuille réglementaire.
16:45Quel est votre point de vue
16:46là-dessus ?
16:47Chez Total Energy,
16:49on est dans 130 pays.
16:50On respectera toujours
16:51les lois des 130 pays.
16:53Et à partir du moment
16:53il y a une loi,
16:54on la respecte.
16:55Après, ce qu'on en pense
16:56dans l'efficacité,
16:57je pense que NIS 2
16:57sont dévoilés
17:00de secrets d'État
17:01et fait plus
17:02pour sécuriser
17:03une masse de sociétés
17:05mais on est passé
17:06d'une sécurisation
17:07d'acteurs un peu essentiels
17:11avec des lois
17:12que je ne dois pas nommer
17:13et la NIS 1.
17:15La NIS 2,
17:15c'est de la sécurisation de masse
17:17où les entreprises
17:17de taille intermédiaire,
17:18les grosses sociétés
17:19sont soumises
17:20à une sécurisation de base.
17:22Moi, je n'attends pas
17:23que la NIS 2
17:24me permette
17:24de faire de la nouvelle sécurité.
17:26s'il y a une mesure
17:27dans NIS 2
17:28que je n'avais pas mise en œuvre,
17:30j'en serais triste.
17:32C'est que je n'aurais pas fait
17:33mon travail avant
17:33de sécurisation.
17:38Je pense qu'aujourd'hui,
17:39en tout cas,
17:40en tant que grand groupe
17:40et du coup,
17:41je parlerai juste pour
17:43Thalès en tant que grand groupe,
17:45il y a déjà un certain nombre
17:46de choses sur lesquelles
17:47on a été préparés
17:48notamment à travers la LPM
17:50et d'autres réglementations
17:51qui ont déjà été évoquées.
17:52En tant que grand groupe,
17:53il y a déjà des choses
17:54qu'on a faites aujourd'hui.
17:57Il y a des choses
17:57qui vont continuer à évoluer.
17:59C'est à nous de nous conformer.
18:00C'est à nous de nous organiser.
18:02Maintenant,
18:04en tout cas,
18:04pour un certain nombre
18:05de structures,
18:06on est arrivé
18:06à un niveau de maturité
18:07où on sait adresser
18:08ces éléments réglementaires.
18:11Il y a peut-être
18:12d'autres structures
18:13aujourd'hui
18:13qui vont devoir faire
18:14un effort
18:14plus conséquent
18:16mais en attendant
18:17de voir ce qui sera là.
18:20Il y a trois pays
18:21qui vont sortir
18:21jusqu'en Europe
18:22pour l'instant.
18:23Belgique,
18:23l'Italie et l'Espitalie.
18:26Donc,
18:26malgré cette incertitude-là,
18:28on a déjà
18:28des réglementations
18:30qui assurent la...
18:32Enfin,
18:32chaque pays,
18:33je rappelle que le système
18:34fait que chaque pays
18:34fait ses propres règles.
18:37Déclinaisons.
18:37Déclinaisons de réglementations.
18:39Donc,
18:40pour un directeur
18:42de cybersécurité,
18:42c'est toujours des...
18:44Voilà,
18:44ça fait des tableaux Excel
18:46avec beaucoup d'entrées.
18:47Et parlons un peu
18:52des chantiers d'avenir.
18:55Chez Thales,
18:55on fait face
18:56à des systèmes embarqués
18:57de plus en plus connectés.
18:59Comment gérer ça ?
19:01Quels sont les défis
19:01liés à ça ?
19:02Aujourd'hui,
19:03on l'a évoqué tout à l'heure,
19:04on revient aussi
19:05sur le sujet de l'IoT
19:07parce qu'en fait,
19:08le sujet,
19:08c'est l'intercommunication
19:11entre des systèmes
19:12qui sont plus ou moins
19:13autonomes
19:13ou plus ou moins embarqués.
19:14donc il faut qu'on renforce
19:17et on a déjà
19:18ces capacités
19:19dans le groupe,
19:20on renforce en fait
19:21nos capacités
19:22pour pouvoir faire,
19:25mettre en œuvre
19:26ces éléments de sécurité
19:27dans les produits.
19:28Donc,
19:28c'est un complément.
19:29Il y a le sujet
19:29de l'IT,
19:31donc c'est les systèmes
19:32d'information
19:32des entreprises,
19:33le système de l'OT
19:34pour les éléments
19:36de production
19:36ou les systèmes industriels
19:37qui produisent,
19:38mais il y a aussi
19:39la façon dont on protège
19:40les produits
19:40qui sont aujourd'hui
19:42déployés pour nos clients.
19:44Donc ça,
19:44aujourd'hui,
19:45on a l'ensemble
19:45des compétences
19:46pour le faire.
19:47C'est une question
19:47d'hygiène
19:49et de gouvernance.
19:52Il n'y a pas de point particulier
19:54sur ces éléments embarqués.
19:57Il faut juste
19:57qu'on y fasse attention.
20:00En toile de fond,
20:01on a aussi beaucoup parlé
20:02de l'intelligence artificielle.
20:06Est-ce que c'est une source,
20:07j'imagine que c'est une source
20:08de nouvelles menaces ?
20:09Comment vous faites
20:10pour...
20:11Comment vous réagissez ?
20:12Je pense que
20:13l'intelligence artificielle,
20:14il y a plusieurs sujets
20:15qui sont évoqués.
20:16Il y a la gouvernance
20:18de l'utilisation
20:19de l'intelligence artificielle
20:20dans les structures,
20:21dans l'organisation
20:21à travers nos personnels.
20:23Et en effet,
20:23il faut qu'on puisse maîtriser.
20:25Donc là,
20:26il y a des initiatives
20:26qui sont pilotées
20:27par le groupe
20:28pour mettre à disposition
20:30des employés
20:30dans un certain nombre
20:31de cadres.
20:32Puisqu'après,
20:32il y a une question
20:33de pour faire quoi,
20:34dans quel type d'environnement,
20:36avec quel type
20:36de confidentialité.
20:37on doit mettre
20:38des solutions
20:39qui sont adaptées
20:40aux besoins
20:41et à l'exposition
20:42des données
20:42qu'on veut intégrer.
20:44Dans certains cas,
20:45en tout cas,
20:45chez Thales,
20:46on a des systèmes
20:46suffisamment sensibles
20:48pour qu'on puisse développer
20:49nous-mêmes les modèles
20:50dans nos environnements,
20:51avec des partenariats,
20:53sans ne pas nommer
20:54de structure,
20:54mais on fait des partenariats
20:55pour pouvoir nous-mêmes
20:57entraîner les modèles
20:59avec nos propres données,
21:00puisque ces données
21:01sont suffisamment confidentielles.
21:03Il y a ensuite
21:03l'utilisation
21:04de l'intelligence artificielle
21:05pour faire de la cybersécurité.
21:07Et là,
21:07c'est encore un autre sujet,
21:08c'est comment est-ce
21:09qu'on utilise
21:09l'intelligence artificielle
21:11pour faciliter le travail,
21:12par exemple,
21:12de nos analystes.
21:13Je ne peux pas développer
21:14parce qu'il y a probablement
21:16plein d'idées
21:16sur ces sujets-là.
21:18Et la troisième chose,
21:19c'est, en tout cas,
21:20chez Thales,
21:20à travers notamment
21:21l'initiative qu'on appelle Cortex,
21:23c'est comment est-ce
21:23qu'on intègre
21:24l'intelligence artificielle
21:25à l'intérieur
21:26des produits de Thales.
21:28Donc là,
21:28on est dans un travail
21:30plutôt de recherche
21:31pour pouvoir améliorer
21:33l'usage
21:34des produits de Thales
21:35à travers l'intelligence artificielle.
21:38Et là,
21:38après,
21:38il y a différentes étapes,
21:39je ne vais pas rentrer
21:39forcément dans le détail.
21:41Donc on voit
21:41que l'IA,
21:41il faut faire attention
21:42à quel usage,
21:44au quel type de population
21:45à travers une structure
21:46et ce n'est pas forcément
21:47les mêmes moyens de protection
21:48et ce n'est pas forcément
21:49les mêmes objectifs.
21:51Dans vos services,
21:51chez Framatome,
21:52vous autorisez
21:53l'utilisation de l'IA ?
21:55Oui,
21:55on va revenir aux usages.
21:57Donc effectivement,
21:57il y a plusieurs IA
21:58pour plusieurs usages.
21:59D'un point de vue entreprise,
22:00on va en consommer
22:01deux principales
22:02d'IA,
22:03ou d'usage.
22:05Allez discuter
22:06avec ChatGPT.
22:07Globalement,
22:08tout le monde y va.
22:09Là,
22:09il n'y a rien de nouveau
22:10en tant que tel,
22:12c'est-à-dire qu'on a
22:12des règles
22:13dans les entreprises
22:13de confidentialité,
22:15de classification
22:15de l'information.
22:16Parce qu'on dit
22:16C1,
22:17C2,
22:17C3.
22:18Hier,
22:18c'est interdit
22:19de mettre
22:19des données C2
22:20sur Internet.
22:21Vous n'avez pas le droit
22:22de faire traduire
22:22un document
22:23sur Google Translate
22:24s'il est de C2.
22:25C'est pareil
22:26pour ChatGPT.
22:27C'est exactement
22:28les mêmes règles.
22:29D'un point de vue usage,
22:30c'est un nouvel usage
22:30qui arrive chez ChatGPT
22:31discuter avec une IA
22:32et un agent.
22:33Mais ça,
22:33on s'est l'encadré
22:34comme avant.
22:35Par contre,
22:35ça introduit
22:36des nouveaux systèmes
22:36d'un point de vue informatique
22:38dans notre système d'entreprise.
22:40Est-ce qu'on va mettre
22:40un LLM ?
22:41Est-ce qu'on va mettre
22:41une IA ?
22:42Est-ce qu'on va vouloir
22:42l'entraîner ?
22:43Et ça,
22:43on retombe sur des problématiques
22:45connues de systèmes,
22:46de construction de systèmes
22:47ou logiciels.
22:49Ça va introduire
22:50une nouvelle menace
22:50ou un nouveau risque
22:51mais pour autant,
22:51c'est déjà y répondre.
22:53Et c'est maintenant
22:53à nous l'entreprise
22:54d'accompagner
22:55comme toujours
22:55ce que je dis,
22:56il faut accompagner
22:56les innovations
22:57et ne pas les empêcher.
22:58Sinon,
22:59notre interne
22:59va nous bypasser,
23:00nous contourner.
23:01Mais là-dessus,
23:02il n'y a rien de nouveau.
23:03C'est juste à nous
23:03de reformaliser un peu
23:05les règles,
23:05de recommuniquer là-dessus
23:06pour accompagner
23:07la transformation.
23:08Des rappels de bon sens
23:10qu'on met aussi en place
23:11chez Total Energy ?
23:12Alors,
23:12chez Total Energy,
23:13on a fait un gros gros bond
23:14en matière
23:15d'intelligence artificielle générative
23:17puisqu'on a acheté
23:18plus de 30 000 licences
23:20de copilots
23:21qui sont dédiées
23:23au profit de nos collaborateurs
23:25qui ont été désignés.
23:26C'est une grosse,
23:27grosse formation,
23:27parce qu'il ne faut pas
23:28obliger non plus
23:29la formation des gens
23:30sur l'intelligence artificielle.
23:32On peut gagner
23:32énormément de temps,
23:33mais on peut aussi
23:33avoir des réponses
23:34incohérentes
23:35liées de temps en temps
23:36à des réponses
23:39qui sont totalement
23:39incohérentes.
23:40Donc, c'est déjà
23:42être en appui
23:43de la formation
23:44sur l'intelligence
23:45artificielle générative
23:46pour les collaborateurs
23:47qui ont été désignés
23:48pour recevoir
23:49Open AI version interne,
23:53copilote.
23:53Et aussi,
23:55regarder
23:55sur ces visages
23:56que tu évoquais
23:57qui sont
23:57« je vais en ligne
23:58partager de la donnée »
23:59qu'on ne se retrouve pas
24:00comme Samsung
24:01qui a perdu pas mal
24:02de secrets
24:03parce que les gens
24:03allaient taper des secrets.
24:05Mais comme disait Julien,
24:06c'est la même chose,
24:07on ne doit pas faire
24:08la même chose,
24:08c'est des rappels.
24:09J'ai un petit warning
24:10en disant
24:11« tu vas sur GROC,
24:12tu vas sur LGBT,
24:13attention,
24:14la donnée
24:15que tu vas partager,
24:16la personne en face
24:16dans les conditions
24:18a accès à ces données. »
24:20Et après,
24:20on a toute l'intelligence
24:21artificielle qu'on génère.
24:22Au profit de nos métiers,
24:24je pense beaucoup
24:24à la géoscience chez nous,
24:26je pense beaucoup
24:26à la sous-surface
24:27où on va avoir
24:28un accompagnant
24:29qui nous permet
24:29d'optimiser nos travaux,
24:31de les sécuriser.
24:32Et aussi,
24:32les maires
24:32qui ont conformité
24:33réglementaire
24:34parce qu'il ne faut pas
24:34oublier qu'il y a
24:35une grosse conformité
24:36réglementaire
24:36sur l'IA
24:38qui nous arrive dessus.
24:39Et là,
24:40quand même,
24:40c'est assez nouveau.
24:41Donc,
24:41autant en cyber,
24:42on peut faire les malins
24:43parce qu'on le connaît.
24:45Autant en IA,
24:45il faut regarder un petit peu
24:46plus dans la loupe
24:47les IA interdites,
24:48les IA au risque,
24:49les IA avec une surveillance
24:52particulière.
24:53À la fois,
24:54nous,
24:54LLM importés,
24:55à la fois les modèles
24:56qu'on entraîne nous
24:56avec du LAMA,
24:58du Mistral,
24:59tout ce qu'on peut déployer.
25:01On en a une Digital Factory
25:02et c'est à peu près simple
25:03que la Digital Factory
25:05nous connaît bien.
25:06On est rentrés
25:06dans ce processus-là
25:07avec eux,
25:07avec le responsable
25:09cyber de la Digital Factory
25:10pour essayer
25:11d'accompagner ça au mieux.
25:14Outre l'intelligence artificielle,
25:15est-ce qu'il y a
25:15d'autres chantiers d'avenir
25:17qui vous occupent
25:17dans vos métiers
25:19dans vos infrastructures
25:20critiques ?
25:23Tu vas dire quantique.
25:24Tu vas dire quantique.
25:25Oui,
25:26le quantique,
25:26pas tout de suite,
25:27mais dans pas longtemps.
25:29Et il va y avoir
25:29un virage sur le quantique.
25:31Voilà.
25:32Et les ordinateurs
25:34vont être commercialisés.
25:35D'ici 10 ans,
25:35ça arrivera sur le marché.
25:37La théorie veut
25:38que ça remette en cause
25:39les pics cryptographiques
25:40Legacy
25:40avec l'arrivée du quantique.
25:42Il va falloir se préparer
25:43et c'est un bon
25:44à 5,
25:44dix ans,
25:45plutôt un disque 5.
25:46Il va falloir changer
25:47nos algorithmes
25:49cryptos internes
25:50pour être sûr
25:51que ces algorithmes
25:52sont résistants
25:53à du calcul quantique.
25:56Donc ça va être
25:56un changement d'algo
25:57principalement
25:58dans les couches d'authent,
25:59dans l'actif d'érectorie,
26:02dans les OTAN,
26:02dans toutes ces choses-là.
26:03Ça va se faire doucement
26:05et en fonction du risque.
26:07Le quantique,
26:08c'est aussi un domaine
26:09qui occupe Thalès,
26:10je crois.
26:10En fait,
26:11une des équipes de Thalès
26:12a déjà transmis
26:14un algorithme
26:15post-quantique
26:16qui a été validé.
26:17et il y a déjà
26:19des produits
26:19qui sont en cours
26:20de commercialisation
26:21dans les activités
26:22notamment
26:22de data protection
26:23de Thalès
26:24qui sont déjà
26:25robustes
26:26et qui sont déjà
26:27dans ce qu'ils appellent
26:28PQC,
26:29donc post-content
26:29ou cryptographie.
26:31Donc il y a déjà
26:31des produits
26:32qui sont en train
26:32d'émerger.
26:33En tout cas,
26:33chez Thalès,
26:34il y a déjà été
26:34investissement
26:35depuis plusieurs années.
26:36Donc les premiers produits
26:37vont être commercialisés.
26:39très bien.
26:42Écoutez,
26:43nous arrivons
26:43au bout de notre temps
26:44mais merci à vous trois
26:45d'avoir échangé
26:46sur ce sujet.
26:47Merci à tous
26:48d'avoir suivi
26:48nos tables rondes
26:49sur la cybersécurité.
26:51On se reviendra très vite.
26:52Merci.
26:52Merci.
Commentaires

Recommandations

Renforcement de la cybersécurité : Résilience des infrastructures critiques et renforcement de la cybersécurité - Mardi 9 septembre 2025
Assemblée nationale
il y a 5 mois
Renforcement de la cybersécurité : Résilience des infrastructures critiques et renforcement de la cybersécurité (suite) - Mercredi 10 septembre 2025
Assemblée nationale
il y a 5 mois
Renforcement de la cybersécurité : Résilience des infrastructures critiques et renforcement de la cybersécurité (suite) - Mardi 9 septembre 2025
Assemblée nationale
il y a 5 mois
Theo Francken : "On doit sans cesse renforcer nos capacités en cybersécurité"
Sudinfo.be
il y a 5 mois
LMSI : artisans de la cybersécurité, au plus près des entreprises
Capital
il y a 7 mois
"Je trouve que c'est formidable": Pierre Sablé devient papa à 90 ans pour la 7e fois, il témoigne sur BFMTV
BFM
il y a 4 heures
LE CONSEIL CONSO - Moins cher, plus écologique: Leclerc va proposer du chocolat sans cacao sous sa marque distributeur
BFM
il y a 5 heures
"Je regarde mon téléphone pour avoir l'heure": les enfants ne savent plus lire l'heure
BFM
il y a 5 heures
Jutta Leerdam, la patineuse néerlandaise qui enflamme les Jo de Milano Cortina 2026
info24fr
il y a 2 jours
Charles Alloncle se fait brusquement interrompre en commission d’enquête alors qu'il évoque les liens du président de la commission avec Mediawan
info24fr
il y a 6 jours
Je deviens chef de mes anciens collègues
Capital
il y a 2 heures
Épargne Salariale : Nouveautés 2026
Capital
il y a 2 heures
Après le «No Kids», le «No Senior» : ces lieux interdits aux plus 40 ans
Capital
il y a 3 heures
Léa Salamé et la Commission d'Enquête : Salaire et Avenir
Capital
il y a 19 heures
Vacances d’été : le ministre de l’Éducation plaide pour une durée limitée à «4 à 6 semaines»
Capital
il y a 1 jour
Renforcement de la cybersécurité : Table ronde réunissant des experts de la cybersécurité - Jeudi 5 juin 2025
Assemblée nationale
il y a 8 mois
Résilience industrielle : le nouveau critère de puissance économique [Anaïs Voy-Gillis]
Xerfi Canal
il y a 9 mois
Les métiers de la cybersécurité
Letudiant_TV
il y a 2 ans
Le marché de la cybersécurité en pénurie de talents
Mot 2 Passe
il y a 3 ans
Cybersécurité, espionnage… Toutes les entreprises sont menacées
Capital
il y a 2 ans
Cyberattaques contre les entreprises en 4 questions
Le Point
il y a 8 ans
Le mochi, ce dessert japonais qui cause plusieurs décès chaque année
Gentside Voyage
il y a 3 ans
Deux lutteurs se font attaquer par un grizzly en pleine forêt
Gentside Voyage
il y a 3 ans
Un pêcheur affirme avoir croisé un crocodile dans une rivière
Gentside Voyage
il y a 3 ans
Crédit immobilier en 2026 : ces régions où emprunter coûte moins cher
Capital
il y a 2 jours