- il y a 7 mois
Lundi 7 juillet 2025, retrouvez Vanessa Chocteau (Directrice générale, Docaposte Institute) et Michel Van Den Berghe (PDG, Seclab) dans HR MAKERS, une émission présentée par Caroline de Senneville.
Catégorie
🗞
NewsTranscription
00:00Bonjour à toutes et à tous, bienvenue sur AdShare Makers.
00:11Aujourd'hui, nous allons parler de la cybersécurité et de la pénurie des talents qui demeurent dans un secteur pourtant devenu hautement stratégique.
00:18Experts en sécurité, analyses ingénieurs, les profils manquent à tous les niveaux.
00:23Nous en parlons aujourd'hui avec Vanessa Chocteau, directrice générale de DecaPost Institute. Vanessa, bonjour.
00:28Et Michel Vandenberg, fondateur du Campus Cyber et CEO de SecLab. Bonjour Michel.
00:35Première question, Michel, comment la perception des risques cyber a-t-elle évolué dans les comex qu'au dire des grandes entreprises ?
00:43Effectivement, le risque cyber aujourd'hui, c'est un des tout premiers risques externes identifiés par les entreprises.
00:48Je pense que toutes les entreprises ont été touchées par une cyberattaque, qu'elle soit grande ou petite, de différents types.
00:55Enfin, on peut avoir des attaques dont on parle beaucoup de rançons logicielles pour justement essayer d'extirper des données d'entreprise pour ensuite les faire chanter.
01:02Mais on voit qu'aujourd'hui, avec le contexte géopolitique, on a des problématiques comme le sabotage, l'espionnage qui commencent à venir justement aux oreilles de ces comex,
01:11qui veulent mesurer justement leur résilience, leur appétence par rapport à ce risque cyber.
01:17Donc effectivement, c'est aujourd'hui un sujet identifié.
01:19Et de plus en plus, de CIO ou de RSSI ont parfois une place aux comex pour pouvoir justement donner un peu la mesure aujourd'hui du danger pour ces grands dirigeants.
01:31Et je disais en introduction, vous êtes fondateur du campus cyber.
01:35Quel rôle joue ce campus dans la consolidation de l'écosystème français ?
01:40Effectivement, c'est une initiative du président de la République qui était de rassembler l'écosystème français dans un lieu totem pour essayer de faire travailler les gens ensemble,
01:47mais aussi pour donner de la visibilité justement à cet écosystème et attirer les talents.
01:52Je pense que c'est un peu le sujet qu'on va aborder aujourd'hui.
01:54Tout à fait.
01:54Vanessa, quels sont les enjeux de DocaPost en matière de cybersécurité et de protection des données là ces dernières années et actuellement ?
02:01Actuellement, DocaPost conçoit, développe et opère des parcours complets numériques et notamment avec des briques technologiques de confiance.
02:11Donc quand on dit confiance, c'est éthique, sécurisé notamment.
02:14Donc très important de travailler ce point-là, surtout que nos clients sont pour un grand nombre des clients venant de professions réglementées.
02:24Donc je parle du secteur financier, du domaine de la santé, particulièrement impacté parce qu'ils ont des architectures très sensibles.
02:31Et donc nous devons avoir les labels, les certifications et respecter bien sûr les réglementations et être conseil auprès de nos clients sur les réglementations et les normes à appliquer dans leur domaine.
02:42Et ça implique des gros enjeux de formation en interne, j'imagine.
02:47Quelle est votre approche en la matière et est-ce qu'il y a des types de populations que vous formez prioritairement ?
02:52Alors en fait, on forme à la fois, comme je représente l'organisme de formation, nos clients et également l'interne.
02:58En interne, oui.
02:59Alors il y a deux niveaux.
03:01C'est déjà la sensibilisation et la culturation pour tous parce que c'est vraiment l'affaire de tous.
03:05On sait que c'est le fameux man in the middle.
03:08C'est vraiment la faille humaine.
03:09Donc la sensibilisation est importante à tout niveau pour bien comprendre les enjeux parce que autant dans la vie au quotidien, on sait se protéger physiquement.
03:18On ferme sa serrure à clé, on ferme ses fenêtres.
03:21Autant dans la vie numérique et notamment avec la complexité des architectures d'entreprise, des fois, il y a un peu plus de mal à se repérer.
03:27Donc nous, on agit beaucoup avec des e-learning que l'on a conçus pour notre RSS-6.
03:31E-learning vraiment adapté sur comprendre et ensuite agir, notamment en cas de failles détectées.
03:39Donc ça, c'est le premier niveau.
03:40Sensibilisation et aussi réglementaire.
03:42Le RGPD appliqué pour tous, la compréhension, l'approchainement de DORA qui doit vraiment aussi s'appliquer dans certains secteurs.
03:49Donc ça, c'est le point crucial.
03:51Et ensuite, ça va être les expertises.
03:52Donc nos ultra-experts, donc CDSI, RSSI, architectes, développeurs, on a aussi les consultants qui interviennent chez nos clients.
04:02C'est comment on les maintient à un haut niveau d'expertise parce qu'on voit bien, et je pense qu'on va en parler, il y a une sophistication de plus en plus forte des attaques.
04:10Et donc, il faut vraiment se maintenir à niveau, avoir les bonnes certifications et puis pouvoir agir très vite.
04:17Donc voilà, c'est deux populations très différentes en entreprise, mais il faut bien penser les deux niveaux en formation.
04:23Et justement, du côté de vos clients, qu'est-ce que vous observez dans ces besoins de formation ?
04:28C'est identique.
04:30C'est vraiment qu'on va être sur cette approche à deux niveaux.
04:33Je rejoins aussi ce qui a été dit sur le COMEX, très important, parce que les dirigeants sont à sensibiliser, notamment pour se préparer.
04:40Et en fait, moi, ce que j'ai souvent constaté, c'est que hormis les ultra-experts, notamment les RSSI,
04:45il y a un peu une méconnaissance et un manque de lisibilité sur comment avoir accès à cette formation, cette connaissance.
04:53Et donc, ça a été très important pour nous.
04:55Et nous, on a beaucoup travaillé en écoutant et en co-construisant avec des clients une approche de formation qui va être classée.
05:03C'est-à-dire, est-ce qu'on touche bien tous les métiers ?
05:06Est-ce que chaque métier a un peu son label, sa certification, sa norme à appliquer ?
05:12Et est-ce qu'on coche bien toutes les catégories ?
05:14C'est-à-dire, est-ce que je me suis suffisamment préparée avec le point de vue juridique, normatif, etc. ?
05:20Est-ce que je me suis bien protégée ?
05:22Donc, j'ai mis en place tous les systèmes pour et puis j'ai les bons choix technologiques et je suis formée à ces choix technologiques.
05:28Et est-ce qu'ensuite, je suis en capacité de réagir ?
05:31Donc, vraiment compartimenter pour donner plus de lisibilité, c'est un point très important.
05:35Et ça, c'était vraiment une demande cruciale de nos clients, à la fois interne et externe.
05:39On l'a évoqué jusque-là, la cybersécurité est devenue hautement stratégique.
05:44Pour autant, il y a une pénurie énorme de talents dans ce secteur.
05:49Michel, quelle est votre analyse de la pénurie de professionnels en cybersécurité ?
05:53Le problème dont on souffre le plus, c'est un problème d'attractivité.
05:56Voilà, je pense qu'on a les bonnes écoles, les bonnes formations qui sont reconnues, même reconnues à l'international.
06:01Aujourd'hui, on n'arrive pas à attirer les jeunes pour aller vers les métiers de la cybersécurité.
06:05Pourquoi ? Parce que l'image qu'on en voit encore, c'est l'image extrêmement technique du hacker éthique,
06:12Guy Cacapuche, qui a toujours voulu faire de la cybersécurité, de sa plus jeune enfance,
06:16qui démonter la télé de ses parents, etc.
06:18Et c'est là-dessus qu'il faut absolument travailler pour pouvoir attirer, attirer d'autres talents,
06:23montrer qu'il y a plein d'autres métiers dans la cybersécurité.
06:26On a besoin de gens qui font des têtes d'intrusion, des gens qui font de la sensibilisation,
06:31on a besoin de commerciaux pour pouvoir aller travailler avec les clients et vendre les technologies de cybersécurité.
06:36On a besoin de gens de marketing, vu le contexte géopolitique,
06:40on a besoin aujourd'hui de gens qui travaillent sur l'intelligence économique,
06:43on a besoin de gens qui travaillent aujourd'hui sur la partie présentée,
06:46des choses au comex, etc.
06:48La partie juridique, avec la régulation qui est en train d'arriver, est extrêmement importante.
06:53Donc il faut faire savoir, et on ne fait pas assez faire savoir,
06:56et bravo pour votre émission, qu'il y a plein de métiers dans la cybersécurité.
06:59Et puis surtout, on se prive de la moitié de la population française,
07:02puisque quand on regarde le nombre de femmes qui pensent venir vers la métier de la cybersécurité,
07:08c'est catastrophique.
07:09Donc il faut vraiment qu'on travaille sur cette définition,
07:12sur créer des rôle-modèles qui attirent les jeunes.
07:14Ce qu'ils avaient beaucoup aidé à un moment, c'était le bureau des légendes,
07:16l'héroïne, c'était une femme.
07:18Voilà, paf, ça, les jeunes se sont dit, on peut pouvoir faire ça.
07:20Voilà, donc il faut qu'on arrive justement à essayer de montrer les différentes facettes
07:26du métier de la cybersécurité.
07:29On l'a fait avec le Campus Cyber et la DGESCO.
07:31On avait créé une campagne d'affichage dans le métro, le francilien et le RER,
07:35avec tous les métiers qui existaient.
07:37Ça nous a permis de voir justement sur le site du Campus Cyber pas mal de jeunes filles,
07:41ou de jeunes qui n'y pensaient pas, qui se sont dit,
07:44tiens, comment on fait pour faire un métier de cybersécurité ?
07:46Voilà, c'est ça le travail qu'on a à jouer.
07:48C'est l'attractivité, créer des rôles-modèles pour que les jeunes puissent s'identifier.
07:52En fait, c'est un métier qui est extraordinaire,
07:54puisqu'on est un peu des pompiers du numérique,
07:57où on aide justement à éteindre les incendies,
07:59mais aussi à sensibiliser pour que les gens ne mettent pas le feu n'importe comment.
08:02Vanessa, est-ce que vous voulez réagir à ce que Michel a dit ?
08:05Peut-être en complément, je souscris tout à fait.
08:07Il y a une pénurie, il y a une très belle étude au PIEC,
08:10donc l'Observatoire des métiers du numérique,
08:12qui montre ce qu'il en est et qui fait ce constat.
08:16Je pense qu'effectivement, sur la formation initiale,
08:18il faut penser au-delà des formations classiques que l'on a en ingénierie.
08:23Bien penser effectivement aux formations, par exemple, dans le droit,
08:26dans le management, dans le commerce,
08:28quand on forme les UX, UI designers de demain.
08:32Bien penser à chaque fois à avoir cette partie sécurité numérique au programme,
08:36parce que trop souvent, malheureusement, ça ne l'est pas.
08:40Donc voilà, en formation initiale.
08:42Et moi, ce que je vois en formation continue,
08:43c'est effectivement, on était jusqu'à présent sur des formations très monolithiques, inaccessibles.
08:49Il va falloir faire le parcours pour devenir un expert cybersécurité.
08:54Et là, on passe vraiment à une approche beaucoup plus modulaire.
08:57Un développeur qui fait déjà des tests d'intrusion
09:01va avoir besoin de comprendre la dernière faille et de savoir réagir.
09:04Ça peut être un e-learning en 10 minutes et ça lui suffira.
09:08Et à contrario, il y a un nouveau RSSI qui va devoir bien gérer le management complet
09:14et tout le système intégré et qui va devoir se reformer et s'acculturer,
09:19enfin même plus se certifier à DORA ou autre.
09:22Et donc à tout ce qui va être environnement, risque management.
09:25Donc voilà, c'est bien penser la modularité pour rendre ça plus attractif et plus accessible.
09:29Finalement, vous pouvez parce que vous êtes tous acteurs et vous êtes dans des métiers de confiance.
09:36Vous êtes là pour rassurer et sécuriser.
09:38Et répondre aux besoins du marché, justement, Michel,
09:40est-ce que vous observez que les formations actuelles collent parfaitement aux besoins du marché ?
09:44Est-ce qu'il y a des choses à améliorer, un peu comme ce qu'évoquait Vanessa ?
09:47Moi, je pense que je dis que les formations en France, en tous les cas, sont de qualité
09:51et qu'on a aussi beaucoup poussé pour faire des formations en alternance,
09:57donc en mettant très très vite les jeunes ingénieurs dans les entreprises,
10:00ce qui fonctionne extrêmement bien.
10:02Par contre, je pense que toutes les formations aujourd'hui en cybersécurité ne sont pas remplies,
10:06toujours par ce problème d'attractivité.
10:07Donc ce n'est pas un problème de qualité des formations.
10:09Ce n'est pas... Il y a même... On se forme tout le temps à la cybersécurité.
10:13Le numérique évolue tout le temps. Et au campus cyber, on a des entreprises aujourd'hui
10:16qui forment les professionnels de la cybersécurité, comme HS2, etc.
10:20Voilà, c'est rempli, ça fonctionne et ça fonctionne plutôt bien.
10:22Oui, ce n'est pas le problème du contenu.
10:23Le problème n'est pas le contenu. Le problème aujourd'hui, en tous les cas,
10:26pour les jeunes diplômés, pour attirer les jeunes, c'est ce problème d'attractivité
10:30sur lequel il faut absolument qu'on travaille.
10:32On a fait une étude au tout début du campus avec les jeunes qui suivaient une formation au numérique
10:36en Ile-de-France, disant, est-ce que la cybersécurité est quelque chose qui vous intéresse ?
10:40Et c'était moins de 10% des jeunes qui, pourtant, sont dans le monde du numérique
10:44pensaient faire de la cybersécurité.
10:45Oui, donc ont une appétence.
10:46Je crois qu'il y a trois filles qui avaient répondu pourquoi pas.
10:48Voilà, donc il faut vraiment qu'on travaille sur ce sujet aujourd'hui du rôle modèle,
10:52de montrer que la cybersécurité, c'est un métier qui peut aussi permettre
10:56une évolution assez importante des carrières.
10:59Aujourd'hui, on parle du métier du RSSI.
11:02Le RSSI, avant, c'était un peu le gars coincé dans le fond du placard du monde numérique.
11:07Aujourd'hui, il intervient au COMEX et il est responsable de gérer les risques liés au numérique.
11:12Comme toutes les entreprises sont numérisées, aujourd'hui, il a un rôle extrêmement important.
11:15Donc on a tout pour attirer.
11:17Il faut le faire savoir.
11:19Il faudrait peut-être le faire savoir le plus tôt possible dans l'enseignement.
11:22Justement, parce que vous évoquiez ces biais qui font que peu de femmes vont faire ces métiers-là.
11:27Est-ce qu'il ne faut pas intégrer davantage la cybersécurité dès le secondaire, dès le collège,
11:31dès le primaire, pour expliquer aux petites filles que c'est des métiers vers lesquels elles peuvent tout à fait aller ?
11:36Il y a encore du travail en France là-dessus.
11:38Effectivement.
11:38Quand on voit que nos ministres disent qu'il faut limiter l'accès aux écrans,
11:42le terme écran, déjà, c'est ridicule.
11:45Donc il faut se positionner de façon très claire.
11:48C'est vrai qu'hier soir, j'étais au restaurant.
11:51Souvent, il y a le couple qui déjeune et l'enfant qui a fallé sur sa chaise à jouer avec un iPhone.
11:59Donc de toute façon, ils sont plongés dans le numérique dès le début.
12:02Voilà.
12:03Donc c'est à nous, justement, d'en profiter pour justement expliquer qu'il y a un côté aussi obscur dans le monde du numérique,
12:09que tout ce qui est mis sur Internet restera sur Internet et pourra servir à des gens à faire des choses pas forcément sympas.
12:17Voilà.
12:17Et les former le plus tôt possible parce qu'aujourd'hui, c'est un phénomène de société.
12:20Ils l'utilisent dès leur plus jeune âge.
12:24Et c'est vraiment important aujourd'hui de pouvoir justement les sensibiliser et de leur montrer justement qu'il y a des métiers aujourd'hui
12:29qui permettent justement de protéger des enfants, de protéger des adultes des risques d'Internet.
12:34Vanessa, sur ces enjeux de féminisation de ces métiers, qu'est-ce que vous observez chez Deca Post Institute ?
12:39Quelles sont un peu les répartitions hommes-femmes ?
12:42Alors, sur la féminisation, alors effectivement, dans les métiers du numérique ou les formations numériques,
12:46on a une proportion moindre de femmes.
12:49En revanche, on est par exemple, nous, référencés auprès de l'Opco Atlas et de France Travail pour les formations de reconversion.
12:55Donc, on a un certain nombre de formations de reconversion.
12:57En ce moment, par exemple, on en a d'ouvertes, notamment en développeurs cybersécurité.
13:01On en a aussi en data analystes et autres.
13:04Il faut savoir que comme on travaille en amont, donc déjà plus France Travail est au courant des métiers,
13:09des évolutions, des imbrications, par exemple, un data analyst peut aller vers de la cybersécurité et inclure ça.
13:15Parce qu'avec la sophistication des attaques, l'IA est au service aussi.
13:18Voilà. Donc, un data analyst doit intégrer ça.
13:21Un développeur peut devenir aussi un développeur spécialisé en cybersécurité.
13:25Donc, on peut avoir des passerelles.
13:26Ça, c'est important de le faire savoir à des gens qui sont déjà en place dans un métier numérique.
13:31Et on le voit, quand France Travail source les personnes en recherche d'emploi qui seraient susceptibles d'aller en reconversion,
13:37nous, on est passé sur des taux qui sont supérieurs à 25% de femmes.
13:41Alors, sur développeurs cyber, qui est la formation la moins féminisée, c'est aussi un constat.
13:47Toutes les autres formations, data analystes, testeurs logiciels, techniciens et le PEDESC,
13:52sont des formations où on a quasiment la parité.
13:55Donc, on voit bien qu'effectivement, la cybersécurité attire moins.
13:57Mais quand on travaille avec l'écosystème, c'est-à-dire que les personnes qui envoient et qui conseillent pour aller vers telle ou telle formation de reconversion,
14:06et puis nous, les organismes de formation et tout l'écosystème avec le campus cyber, etc.,
14:11quand on éclaire, qu'on rend plus claire cette offre et cette capacité d'aller, d'évoluer ou d'intégrer dans son métier cette partie cybersécurité,
14:21eh bien, les ratios augmentent.
14:23Donc, c'est important de jouer là-dessus.
14:24Est-ce que le lien, justement, entre, on parlait du monde académique, les passerelles, vous l'avez un peu évoqué,
14:32entre le monde académique et les entreprises sont suffisamment bien articulées ?
14:37Quelles sont les marges de progression là-dessus ?
14:40C'est là, justement, on parlait de 60 000 postes ouverts.
14:43Bon, moi, je conteste toujours un tout petit peu ce chiffre.
14:45En fait, les entreprises veulent recruter des experts en cybersécurité de 5 à 6 ans d'expérience.
14:50Et effectivement, ce qui se passe, c'est qu'il y a un turnover assez important de ces experts qui sont demandés par les entreprises,
14:57qui est bon pour personne, parce qu'effectivement, le gars, il a 4-5 offres qui lui sont proposées, il joue un peu la surenchère, etc., etc.
15:05Par contre, et moi, je l'ai vraiment vu, c'est extrêmement compliqué pour les jeunes de trouver leur alternance, de trouver leur premier emploi,
15:12parce qu'effectivement, il y a encore un travail, en tous les cas pour ceux qui ont besoin d'alternance, de formation, d'intégration dans l'équipe, etc., etc.
15:22Et pour les sociétés de services, le gars, on ne peut pas l'envoyer directement et le facturer chez les clients.
15:27Donc, il faut qu'on travaille justement pour pouvoir attirer plus facilement ces jeunes.
15:32Enfin, pas les attirer, en tous les cas, les faire venir, les embaucher, etc., leur donner leur chance et le faire beaucoup plus vite.
15:37Parce qu'effectivement, moi, je recevais beaucoup, en tant que président du Campus Cyber, de jeunes qui m'écrivaient en disant,
15:41voilà, on m'a dit, il manque 60 000 postes et je n'arrive pas à trouver mon stage, je n'arrive pas à trouver mon alternance, je n'arrive pas à trouver mon premier boulot.
15:48C'est là-dessus qu'il faut qu'on travaille.
15:49Donc, envoyer des chiffres en disant, venez, c'est open bar, vous avez fait pâtissier, vous faites une formation, vous pouvez faire maintenant cybersécurité.
15:56Non, c'est un métier technique aussi, sur lequel il faut se former.
16:00Mais voilà, il faut que l'écosystème aide ces jeunes à démarrer, à créer leur premier job, etc.
16:08Ça, c'est extrêmement important.
16:10Parce que sinon, si on attire, qu'on devient attractif, mais qu'on ne sait pas les embaucher, ça va être un tout petit peu compliqué.
16:15Oui, il faut que les entreprises jouent leur part et misent sur l'alternance.
16:19Vanessa, quelle est votre vision un peu de ces enjeux-là ?
16:22Alors, je valide tout à fait.
16:24Il y a toujours ce décalage parce qu'on sait très bien qu'un expert, il faudra 10 ans de pratique pour arriver à un très haut niveau d'expertise.
16:29Et les alternants arrivant n'ont pas ces 10 ans de...
16:32Oui, mais en même temps, il faut bien les faire, ces 10 ans de pratique.
16:35Donc, c'est très important.
16:36Et je pense qu'on revient un petit peu au sujet abordé au tout démarrage.
16:40C'est l'acculturation aussi de l'ensemble des dirigeants.
16:43Parce qu'on ne parle pas que des grands groupes, on parle aussi des ETI, des PME, des TPE françaises.
16:47Et si un patron, un dirigeant n'a pas la connaissance d'un système de management intégré qui sécurise son système,
16:53parce qu'il est de plus en plus avec des solutions SaaS, avec des clouds, avec maintenant le recours à l'IA.
16:59Enfin, il a besoin de comprendre comment cela se configure et quels sont...
17:04Alors, il sait qu'il faut sécuriser, mais il ne sait pas comment.
17:07Donc, difficile de recruter un jeune sortant tout juste de l'école en se disant qu'il ne peut pas itérer avec ce jeune
17:15dans la mesure où il manque les expertises en interne.
17:18Donc, c'est ça qu'il faut aussi travailler. C'est vraiment ce vernis extrêmement important de nos dirigeants
17:24et rendre accessibles justement ces formations au niveau des branches professionnelles.
17:29Je suis complètement d'accord avec vous. On avait fait une étude avec le campus sur les toutes petites entreprises
17:35et leur connaissance du risque cyber. Et en fait, ils ne sont même pas conscients de leur dépendance au numérique.
17:42C'est-à-dire qu'eux se disent, ça fonctionne. Effectivement, ils utilisent du cloud, des SaaS, des applications qui sont partout.
17:50Ils se disent, voilà, ça fonctionne tout le temps. Donc, ils n'imaginent pas que ça puisse s'arrêter.
17:55Et c'est quand ça s'arrête qu'ils s'aperçoivent que l'entreprise ne fonctionne plus du tout parce que sans le numérique,
18:00elle ne peut plus fonctionner. Et c'est vraiment là-dessus qu'il faut qu'on travaille pour, pareil qu'on fasse au niveau des jeunes,
18:06le faire aussi des responsables d'entreprise en disant, voilà, travaillez sur votre résilience.
18:09Il faut que vous ayez dans vos plans aujourd'hui de sauvegarde de votre entreprise de dire, voilà, si le numérique s'arrête,
18:15comment je peux faire pour pouvoir redémarrer un minima pour pouvoir continuer à facturer mes clients,
18:19à faire fonctionner mon entreprise, etc. Là aussi, il y a toute une problématique de formation à mettre en place.
18:24Puis je reviens sur ce qu'il a dit tout à l'heure, c'était la faille humaine. La faille humaine, effectivement,
18:28tout le monde dit la cybersécurité, c'est le problème entre le clavier et la chaise. L'utilisateur parle lui-même.
18:34Oui, c'est vrai. Mais de toute façon, ce sera tout le temps le cas. Et il faut qu'on trouve des solutions pour que ce ne soit plus le cas.
18:38Ce qu'on vient aussi, c'est l'automobile à la prévention routière. Tout le monde dit, moi, je conduis bien.
18:44Même bourré, je conduis bien. C'est les autres qui ne savent pas conduire. Donc les gens, voilà, se disent, moi, je ne suis pas un danger public, etc.
18:50Qu'est-ce qu'on a été fait dans l'automobile ? On a obligé les gens à mettre une ceinture de sécurité.
18:53S'ils ne la mettent pas, ça bip. On a créé des véhicules de plus en plus sûrs.
18:57Il y a dix ans, vous prenez votre voiture, vous foncez dans un mur, vous étiez certain d'y passer.
19:01Aujourd'hui, votre voiture, grâce à l'IA, elle va détecter que vous arrivez à trouver sur le mur.
19:05Elle va arrêter votre voiture. Et si jamais vous tapez un peu, il y a l'airbag qui va vous protéger.
19:09C'est ça qu'on doit mettre en place. C'est-à-dire des solutions qui protègent l'utilisateur sans qu'il le sache.
19:14Peut-être même contre lui, en l'obligeant justement, pour utiliser l'application,
19:17à prendre un minimum d'hygiène informatique et d'hygiène en termes de cybersécurité.
19:21C'est comme ça qu'on va y arriver. Et donc pour y arriver, effectivement, on va devoir recruter pour créer ces outils.
19:26Parce que je pense que jamais, même malgré la meilleure sensibilisation, nous, on l'a fait quand j'étais chauveurant dans ma carrière précédente,
19:34on faisait des campagnes de sensibilisation. On expliquait.
19:38Deux jours après, on envoyait un e-mail malveillant et paf, les mecs qui cliquaient dessus.
19:41Donc voilà, il y a du travail.
19:44Et est-ce que les dirigeants de plus petites structures prennent la mesure de la sophistication des attaques ?
19:49Vous avez évoqué plusieurs fois l'arrivée de l'IA qui va sûrement jouer là-dessus.
19:52Est-ce que vous avez le sentiment qu'ils prennent la mesure ?
19:57Non, ils ne le prennent pas du tout parce que pour eux, ils ne sont pas concernés.
19:59Ils se disent, moi, je ne suis pas une cible.
20:01Moi, aujourd'hui, je travaille dans tel domaine, je ne suis absolument pas une cible.
20:04Sauf qu'aujourd'hui, les attaques dont on parle de crypto local, etc., ils ne ciblent pas.
20:09Ils lancent des attaques sur le réseau massif partout.
20:13Et puis où ça rentre, et ça rentre facilement, effectivement, les gens se refont à voir.
20:17Et moi, j'ai accompagné des chefs d'entreprise qui étaient dans des arrois le plus complets.
20:21C'est-à-dire, venant nous voir en disant, mais je n'ai plus rien.
20:24C'est-à-dire, même mes sauvegardes sont crypto-loquées, je ne peux plus rien faire.
20:29Et pour être très transparent avec vous, le seul moyen dans ces cas-là, c'est de négocier avec les pirates
20:32pour que la rançon soit la moins importante possible.
20:36On va me dire, là, c'est péché, il ne faut pas négocier avec les pirates, etc.
20:38Mais quand vous avez votre entreprise de 30-40 salariés qui ne pouvaient plus rien faire,
20:43ben oui, à ce moment-là, il faut...
20:44Mais par contre, il faut que ça serve de leçon et que derrière, les entreprises travaillent justement...
20:50Il ne faut pas demander aux chefs d'entreprise et des petites de devenir des experts en cybersécurité,
20:54de savoir détecter les attaques, etc.
20:56Non, mais de bien s'entourer, en revanche.
20:58Entourez-vous bien pour être résilient, c'est-à-dire de dire, OK, j'ai subi une cyberattaque.
21:03Ça arrivera, ça arrive même aux plus grandes entreprises.
21:05J'ai prévu un plan pour pouvoir dire, au moins, par exemple, mes sauvegardes, tous les jours,
21:10je les emmène chez moi.
21:11Et je sais qu'effectivement, elles ne sont pas connectées au réseau
21:13et que, quand j'ai besoin, je pourrais au moins récupérer cela.
21:16C'est de l'hygiène informatique.
21:20Si on revient sur cet enjeu de pénurie,
21:23le reskilling est-il un levier intéressant à explorer au sein des entreprises ?
21:29Et voilà, quel type de profils un peu non-tech peuvent être efficacement formés ?
21:33Je sais que Microsoft a mis en place un programme, justement, de reskilling
21:37pour détecter des talents qui vont emmener vers ces métiers de la cyber.
21:42Voilà, Vanessa, quelle est votre vision de cette option, si je puis, dans cette méthode ?
21:47C'est vraiment ce dont je parlais tout à l'heure, les reconversions possibles.
21:51Dès lors qu'on a déjà les prérequis techniques,
21:55donc dans les métiers de développeurs, de data analystes, de testeurs,
21:59ils peuvent effectivement aller vers les métiers de la cybersécurité.
22:04Et il faut de plus en plus les hybridations.
22:06Et même pour des profils qui sont très éloignés de ça,
22:08qui peuvent bénéficier de programme sur 6-9 mois pour aller vers ces métiers ?
22:11Oui, alors surtout que maintenant, on a des formations qui peuvent être très très longues.
22:14Les formations de reconversion, c'est souvent 3 mois intensifs,
22:18qui peuvent être en plus complétées par des périodes de stage en entreprise et de pratique.
22:24Donc c'est relativement accessible.
22:27Donc il y a énormément maintenant de dispositifs pour donner les moyens aux entreprises
22:30de financer cela pour leurs salariés.
22:32Et il faut y aller aussi par étapes.
22:34Très difficile aujourd'hui d'accepter en tant que manager de laisser partir son salarié
22:39pour une formation de 11 jours, 20 jours, etc.
22:42Or, on peut étaler.
22:44Donc les parcours modulaires sont extrêmement importants.
22:47Je vous donne un exemple.
22:48Un développeur, effectivement, ça va être peut-être 2 jours dans l'année
22:52pour avoir une mise à niveau sur le pen test.
22:56Un jour pour revoir les fondamentaux de la cybersécurité
22:59parce qu'il y a des nouveautés en vulnérabilité.
23:02Et puis un autre jour pour être à même d'envisager,
23:08parce que ça va arriver, la crypto-agilité dans son code
23:12pour être beaucoup plus robuste.
23:14Et il faut étaler ça dans le temps.
23:16Donc l'upskilling est possible, mais en pensant les choses non pas de manière monolithique.
23:20Ce n'est pas on fait partir quelqu'un pendant 3 mois, on ne le voit plus.
23:24Ce n'est plus cela.
23:25C'est vraiment par petites touches et en fonction aussi de l'évolution du marché et l'évolution des attaques,
23:31parce que ça évolue tous les jours.
23:33Maintenant, on vend même...
23:34Enfin, on peut acheter des kits d'attaques.
23:37On peut...
23:38C'est maintenant des techniques as-the-service.
23:41Là-dessus, les hackers ont bien innové pour le coup.
23:45Et puis l'IA, j'en parlais tout à l'heure, très difficile même pour des ultra-experts
23:49de détecter maintenant un vrai d'info grâce à l'IA générative.
23:53Avant, on repérait les adresses et on repérait les fautes d'orthographe.
23:56Enfin, là, des fois, c'est très, très surprenant.
23:59Oui, et puis je suis d'accord avec vous.
24:01Si on prend le sujet particulier de l'intelligence artificielle,
24:03non seulement ça peut se retourner contre nous,
24:07mais même, encore une fois, le problème qu'on a de la cybersécurité,
24:10c'est souvent on arrive après la bataille.
24:11C'est-à-dire qu'il y a des grandes mutations technologiques,
24:14des grands mouvements technologiques,
24:16et la cybersécurité n'est pas prise en compte.
24:18Et à la fin, on vient pour mettre des pansements ou rafistoler, etc.
24:22L'IA, ça arrive, et on voit qu'on repart dans le même phénomène.
24:26C'est-à-dire que les gens ne comprennent pas que quand on utilise
24:29des moteurs d'intelligence artificielle générative,
24:32on fournit de l'intelligence et de la data,
24:35parce que de toute façon, une IA, son seul carburant, c'est la data.
24:39Donc elle a besoin de beaucoup d'informations.
24:41Et chaque fois que vous vous allez l'interroger, que vous lui posez des questions,
24:44vous la rendez plus intelligente, etc.
24:46Et parfois, vous ne vous apercevez pas que vous êtes en train de renseigner vos concurrents.
24:51Voilà, donc il faudrait aussi un peu cadrer tout ça,
24:54protéger des IA un peu...
24:58pour des gens qui ont des métiers un peu sensibles.
25:01La dernière fois, on a vu un membre du COMEX aller présenter son plan
25:05et le faire revoir son PPT par chaque GPT.
25:09Oui, mais ça existe.
25:12Oui, il faut encore sensibiliser aux données qu'on peut introduire.
25:15Encore une fois, les gens pensent que Internet, c'est le pays de Candie
25:19et que tout le monde est gentil et tout le monde est content.
25:21Non, aujourd'hui, il faut faire extrêmement attention.
25:24Il faut s'assurer de...
25:27Comment on peut appeler ça ?
25:29Acculturer, en tous les cas, les gens au fait que les choses sensibles,
25:35aujourd'hui, n'ont rien à faire sur les moteurs d'intelligence générative payants.
25:38Oui, et même au plus haut niveau de l'entreprise,
25:40il faut revenir constamment sur ces enjeux de protection des données
25:42pour ne pas aller alimenter une IA qui va s'entraîner à partir des données qu'on lui fournit.
25:47Bien sûr.
25:47On arrive à la fin, mais je voulais vous poser une dernière question.
25:51Est-ce qu'on perd des compétences à l'international ?
25:54Est-ce que les meilleurs talents sont tentés, en cybersécurité, d'aller en dehors de la France ?
25:59Voilà, qu'est-ce que vous observez ?
26:02C'est un fait, effectivement.
26:03Si je prends, par exemple, le monde de l'édition de logiciels en cybersécurité,
26:07donc des gens qui fournissent des solutions,
26:10on ne peut pas lutter entre les salaires qui sont fournis par les grands acteurs américains,
26:15même pour les gens qui restent en France.
26:16Voilà, donc on le sait, on ne pourra pas lutter.
26:20Donc on revient au problème, il faut former plus pour justement faire à ce que,
26:23oui, effectivement, on perd nos bons experts qui vont aller vers des grands acteurs américains.
26:27Pas tous, il y en a aussi qui ont un peu de sentiments patriotiques et qui restent avec nous.
26:32Mais en tous les cas, il faut qu'on forme beaucoup plus pour pouvoir justement faire à ce que,
26:36on sait qu'il y aura du turnover, on sait qu'il y a des gens qui vont nous quitter,
26:40mais qu'on a déjà des gens pour pouvoir remplacer.
26:42Comme dans le sport, effectivement, les très bons, à un moment, ils vont jouer dans les très grands clubs.
26:45Et si on a un institut de formation qui forme beaucoup de jeunes et qui sont très, très vite,
26:49ces jeunes intégrés dans les équipes, effectivement, ça fonctionnera bien.
26:53Vanessa, un mot pour la fin ?
26:54C'est vrai que c'est une question d'équilibre parce qu'il faut développer les rôles modèles pour attirer
26:58et légitimer en fait l'accès à ces formations et à ces métiers numériques.
27:03Et en même temps, ces rôles modèles, forcément, il y a des gens qui se font recruter par les grands internationaux.
27:10Donc voilà, c'est le jeu. Il faut faire avec.
27:13Maintenant, ce qui est important et c'est ce qui est en train de se passer en ce moment en France et en Europe,
27:17et on l'a vu à Viva Technologies la semaine, au mois de juin,
27:21ce qui est très important, c'est de voir qu'il y a vraiment une vague de souveraineté numérique.
27:25Repenser effectivement nos systèmes, réinternaliser, enfin réinternaliser,
27:29quand je pense internaliser, c'est remettre nos technologies souveraines
27:33et les héberger en France, les protéger en France ou en Europe.
27:37Et je pense que ça peut attirer aussi des jeunes qui sont en quête de sens
27:40et qui ont envie d'œuvrer pour, justement, un numérique souverain.
27:45On est en retard, je dois conclure, mais merci beaucoup pour vos éclairages.
27:49Vanessa Chocteau, directrice générale de DocaPost Institute,
27:52et Michel Van Der Berg, fondateur du Campus Cyber et CEO de SecLab.
27:57Merci beaucoup et à très bientôt sur Bsmart.
Écris le tout premier commentaire