- il y a 4 mois
Vendredi 19 septembre 2025, retrouvez Séverine Denys (Membre du bureau, Hexatrust), Arnaud Lefebvre (Directeur commercial et marketing, Reevo France), Pascal le Digol (Directeur France, WatchGuard Technologies), Benoit Grunemwald (Directeur des affaires publiques, ESET France) et Maria Iacono (directrice, Assises de la cybersécurité) dans SMART CYBER, une émission présentée par Delphine Sabattier.
Catégorie
🗞
NewsTranscription
00:00Bonjour à tous, édition spéciale de SmartCyber, votre nouveau rendez-vous de la confiance numérique.
00:13On est ici à Paris au pavillon d'Armenonville pour un événement particulier, les palmarès de l'informaticien,
00:20avec des remises de prix aux meilleurs fournisseurs de produits de solutions IT, selon les lecteurs du magazine l'informaticien.
00:27Alors aujourd'hui à la une de SmartCyber, des questions. Est-ce que vous êtes prêt, par exemple, à parer une cyberattaque ?
00:34Comment le savoir d'ailleurs si vous êtes véritablement prêt ? Quels sont les contours de la fonction risque dans l'entreprise ?
00:41Est-ce que le LegalOps, ça vous parle, ça vous dit quelque chose ?
00:44Nous aurons un avocat, un expert de la gestion de crise et une représentante d'Exatrust en plateau
00:51qui vont débattre sur cette meilleure façon de se préparer à une attaque.
00:55Je recevrai également deux acteurs de la cyber pour parler des PME, PME en première ligne
01:00et aussi de cette réalité de la cybersécurité dans les entreprises.
01:04Et puis je vous proposerai une séquence, Culture C, pour se faire un peu sa culture générale en matière de cybersécurité.
01:11Mais d'abord, tout de suite, le point cyber.
01:17Édition spéciale de SmartCyber, aujourd'hui tournée en direct du palmarès de l'informaticien.
01:23On commence cette émission avec le point cyber et Benoît Grunemwald, bonjour.
01:29Bonjour.
01:29Benoît, merci de nous avoir rejoints, mais vous n'êtes pas là pour rien puisque vous êtes le directeur des affaires publiques
01:33et expert des laboratoires EZ, qui a reçu un prix que l'on voit positionné devant vous.
01:39Félicitations.
01:40Le prix de la rédaction dans la catégorie EDR.
01:43Super, bravo.
01:44Mais ce n'est pas de ça dont on va parler ensemble.
01:46Je vous ai convié parce que je voulais qu'on discute de ce premier ransomware piloté par l'IA,
01:52par l'IA génératif, capable de générer du code malveillant automatiquement.
01:57Alors, qu'est-ce qu'on a découvert ? Quand est-ce qu'on l'a découvert ?
02:00On l'a découvert fin août et c'est un logiciel qui effectivement utilise l'intelligence artificielle
02:04pour réagir en fonction de ce qu'il va trouver sur les machines qu'il a infectées.
02:09Il s'appelle comment ce nouveau méchant ?
02:11Il s'appelle PromptLock.
02:12D'accord. Et comment est-ce qu'on l'a découvert ?
02:14Eh bien, on l'a découvert parce qu'on fait des analyses, notamment sur VirusTotal,
02:18qui est un espace sur lequel les chercheurs, mais également les entreprises,
02:21peuvent partager des samples, des échantillons de virus.
02:25Et il se trouve d'ailleurs à posteriori qu'on avait deviné que c'était un proof of concept,
02:30donc un test, et un chercheur a effectivement affirmé la paternité de ce logiciel
02:37et il a déclaré que d'ailleurs il n'aurait pas dû se retrouver dans la nature.
02:41Malgré tout, quand on l'a analysé, on a été extrêmement surpris.
02:45C'est-à-dire ?
02:45C'est-à-dire que ce logiciel va créer des scripts en fonction de ce qu'il va trouver
02:51et va non pas télécharger l'intégralité d'un modèle d'intelligence artificielle
02:55sur toutes les machines qu'il infecte, ce qui serait impossible à faire tourner,
02:58mais il va utiliser des API, des API publiques, pour aller requêter des modèles d'intelligence
03:04qui sont dans le cloud, donc ceux que l'on peut utiliser nous au quotidien.
03:08Et grâce à ça, en ayant ces promptes et en ayant les réponses de la part de l'intelligence artificielle,
03:12il va pouvoir évoluer dynamiquement et en temps réel sur les machines qu'il infecte.
03:16En fait, c'est un malware qui utilise une IA générative, comme nous, pour trouver des solutions.
03:24Exactement.
03:25Alors du coup, le professeur, pas le cybercriminel, mais celui qu'il a créé,
03:29a anticipé quels étaient les cas d'usage qu'il allait rencontrer,
03:32a codé ces différentes questions, ces différents prompts,
03:36et grâce à ça, il va interroger cette IA au sein de cette intelligence artificielle.
03:41Donc ça, c'est vraiment une nouvelle génération, aujourd'hui, de menaces.
03:46Je voulais qu'on passe au conseil du pro.
03:47Vous êtes un pro de la cybersécurité.
03:49Benoît, qu'est-ce que vous nous conseillez face à cette nouvelle génération de menaces qui arrive ?
03:54Eh bien, il y a plusieurs aspects à considérer, notamment en fonction de sa taille et de sa maturité.
03:59En ce qui concerne la maturité, on voit qu'il y a certaines entreprises
04:02qui sont aujourd'hui soumises, notamment à Nice 2, bien entendu au RGPD.
04:07Donc ça veut dire qu'il faut prendre en considération la façon dont on va travailler avec son IT.
04:11Il y a un certain nombre de secteurs, notamment le secteur bancaire ou le secteur financier,
04:15qui est aussi soumis à DORA et d'autres réglementations.
04:18Et dans ce secteur-là, on a assez peu de place à la liberté.
04:22Ce qui veut dire que les collaborateurs, par exemple, ne vont pas être autorisés à utiliser ChatGPT
04:26ou d'autres modes d'intelligence artificielle.
04:29Et c'est ça qu'il faut contrôler.
04:31Comment les utilisateurs vont pouvoir sortir et où ce qui se passe sur notre réseau ?
04:36Parce qu'en l'occurrence, pour PromptLock, il se faisait passer pour un logiciel légitime sur la machine
04:41et communiquait comme si c'était un utilisateur vers une intelligence artificielle.
04:45On ne va pas interdire à tous les collaborateurs d'une entreprise de prompter pour aller chercher des réponses
04:50au risque d'être pris pour un malware ou non ?
04:53Non, c'est à réguler et à encadrer.
04:57Notamment, il y a des solutions qui sont internes à l'entreprise, qui peuvent très bien fonctionner.
05:01Des solutions qui sont encadrées dans des data centers, qui sont propres ou à l'entreprise ou en colocation.
05:08Et puis, si on utilise des GA génératives généralistes, il faut effectivement être conscient de ce que l'on peut faire ou pas avec.
05:14Vous pouvez nous parler aussi d'une autre menace, hybride Pétia-Rossomware.
05:21Alors, qu'est-ce qu'il a de spécifique ? Expliquez-nous parce que je vous le ferai mieux que moi.
05:24Alors, encore une fois, on l'a trouvé aussi sur VirusTotal.
05:28Et là, on ne pense pas que ce soit l'œuvre d'un chercheur, mais bien d'une menace qui évolue.
05:34Et ce qu'il faut se souvenir, c'est que notre Pétia avait fait plus de 10 milliards de dégâts.
05:41C'est un très mauvais souvenir.
05:43C'est un très, très mauvais souvenir pour toute la profession et pour tous ceux qui se sont fait attaquer par notre Pétia.
05:50Déjà, ce qui est important de noter, c'est que dans cette nouveauté, ce hybride Pétia,
05:54il n'y a pas le mécanisme agressif qui a fait que notre Pétia s'est répandu à travers la planète.
05:59Donc, on peut déjà souffler un petit peu.
06:01Malheureusement, au sein de ce logiciel malveillant, il y a tous les éléments qui ont fait l'agressivité de l'attaque notre Pétia,
06:09avec notamment la possibilité de chiffrer la table de partition NTFS,
06:14ce qui veut dire que c'est l'endroit où le système va chercher des informations concernant les fichiers, d'une part.
06:19Et d'autre part, qu'elle est capable d'attaquer cette menace, l'UFI.
06:23Donc, l'UFI, c'est anciennement le BIOS.
06:25C'est ce qui va démarrer la machine et faire en sorte que la machine puisse évoluer.
06:27Sans ça, il n'y a pas de démarrage de Windows.
06:29Et alors, sans ça, il n'y a pas de démarrage de Windows, de Linux ou même d'un autre système parce qu'on est vraiment sur le démarrage, le cœur même de la machine.
06:37D'accord. Et là encore, un conseil peut-être à partager avec nous ?
06:40Oui, faire en sorte que ce qui s'installe sur le BIOS, l'UFI, soit contrôlé, d'éviter que l'on puisse mettre à jour et ou accéder à cette UEFI tout à chacun.
06:52Donc, des mots de passe.
06:53Et puis ensuite, faire en sorte que les solutions de sécurité que l'on utilise puissent contrôler elles aussi l'UFI que malheureusement, on a un peu trop tendance à oublier.
07:02C'est vrai ? Ah oui, c'est ce que vous constatez.
07:04Alors, EZET a aussi rejoint un groupe de travail Europol. Est-ce que vous pouvez nous en dire plus sur l'objet du travail cyber avec Europol ? Ce que vous en attendez ?
07:15Oui, l'objectif est de pouvoir participer à des démantèlements comme on a réalisé beaucoup en 2024 et 2025.
07:21Ces démantèlements ne peuvent pas se faire uniquement avec les forces de l'or.
07:24Démantèlements de quoi ? De crimes organisés ?
07:26Alors, de groupes d'attaquants et particulièrement des groupes d'attaquants de logiciels infostyleurs, logiciels voleurs d'informations.
07:33Et ces groupes fonctionnent finalement comme les groupes de rançongiciels.
07:35Donc, vous avez un éditeur malveillant, des affiliés.
07:38Et à partir de là, ils vont essayer de déployer au maximum ces logiciels malveillants.
07:42Et comme ils opèrent dans le monde entier, les forces de l'ordre doivent s'unir.
07:46Mais les privés, les entités privées comme nous, sont également de la partie.
07:51Notamment pour analyser à la fois les infrastructures, mais également les logiciels malveillants.
07:57Et donc, on va collecter. Dans le cas des infostyleurs, on a participé à plus d'une année de recherche dans le plus grand des secrets avec les forces de l'ordre
08:03pour collecter et analyser les infrastructures et le fonctionnement des cybercriminels.
08:08Pour ensuite donner ces éléments aux forces de l'ordre et à la justice pour qu'elles puissent, elles, mener leur propre action.
08:13Et vous en avez vu le résultat, en fait, des opérations derrière qui ont pu être menées de manière très concrète ?
08:19Oui. Et d'ailleurs, 2024 et 2025 ont été pour moi l'année sur lesquelles on a le plus lutté contre les infostyleurs.
08:27Et alors, l'univers, le monde n'aime pas le vide.
08:30Ce qui veut dire que dès qu'il y avait un démantèlement d'un groupe ou d'un autre,
08:34eh bien, un autre venait prendre la place et récupérer malheureusement les clients de ces groupes d'infostyleurs.
08:41Et donc, on a quand même réussi à démanteler un bon nombre de ces logiciels malveillants.
08:46Mais le travail est sans fin et on continue, c'est pour ça, à rejoindre des groupes de travail avec des forces de l'ordre,
08:53la police, la justice, pour être plus forts ensemble.
08:56Et c'est pour ça qu'il faut continuer à se préparer aux cyberattaques.
09:01On n'est jamais à l'abri.
09:02Et c'est notre sujet à la une à suivre tout de suite.
09:04On continue cette édition spéciale tournée à l'occasion du palmarès des palmarès de l'informaticien.
09:15Alors nous, on va s'intéresser à comment se préparer à une cyberattaque.
09:19Je ne sais pas si le mot « légalops » vous parle, par exemple, ça vous dit quelque chose, on va en parler.
09:23Les contours, les contours de cette fonction risque,
09:26toutes ces questions, on va se les poser avec mes trois intervenants, trois experts.
09:29Vincent Ballouet, bonsoir.
09:31Bonsoir.
09:31Vous êtes dirigeant de maîtrise-des-crises.com.
09:35Vous allez nous parler de tous ces nouveaux risques, cyber mais pas que,
09:39qu'il faut être capable aujourd'hui de prévoir en entreprise.
09:43Avec vous, Maître Astier, bonjour.
09:45Bonsoir.
09:45Vous êtes avocat à la cour, vous intervenez en droit du numérique,
09:49de la propriété intellectuelle et de la cybersécurité.
09:52On évoquera notamment des affaires que vous avez suivies de près, de cyberattaques.
09:57Et puis Séverine de Nice.
09:59Bonsoir.
09:59Je voulais terminer avec vous la présentation parce que vous êtes un peu la star de ce débat.
10:04Ce soir, vous êtes membre du bureau Exatrust qui fédère les acteurs français et européens de la cyber et du cloud de confiance,
10:11on le sait, mais vous êtes aussi la directrice des affaires institutionnelles et réglementaires de Docapost.
10:17Docapost qui a gagné un prix ce soir, ici même au palmarès de l'informaticien,
10:21prix de la rédaction Data Solutions d'archivage.
10:25Donc félicitations, un grand bravo.
10:28On commence notre débat.
10:29Donc comment se préparer au mieux à une cyberattaque ?
10:32Parce que de toute façon, on sait aujourd'hui qu'on n'a pas la parade suffisante pour éviter tout risque d'attaque.
10:39Mais est-ce qu'on peut véritablement dire qu'on peut être prêt à tout moment, à tout type d'attaque ?
10:44C'est possible ça ?
10:46Oui, c'est possible, à condition de s'y intéresser un peu.
10:49Malheureusement, on est souvent dans un pays où il faut avoir eu un gros incident pour que les décideurs et les dirigeants se mettent un peu au travail en disant « posons-nous pour réfléchir ».
10:59La notion de risque est consubstantielle à l'entreprise.
11:01Entreprendre, c'est prendre des risques.
11:03Donc ce n'est pas une notion qui vient d'ailleurs, c'est déjà dedans.
11:06Mais par contre, le risque cyber est un peu particulier parce que les cyberattaquants sont loin, ils travaillent de nuit, enfin bref.
11:13Les attaques sont multiformes.
11:14Et ils ne se font pas prendre.
11:15Et la volumétrie, un RSSI d'une banque, c'est 20 000 attaques par mois.
11:19Enfin, c'est de cet ordre-là.
11:20Donc la volumétrie est tout à fait différente.
11:22Et il n'y a que le DSI, celui qui porte l'informatique dans le COMEX, qui a une telle avalanche de malveillance sur lui.
11:29Il n'y a aucun autre membre du COMEX qui en prend plein la figure autant que lui.
11:33C'est vrai qu'il faut avoir quand même les nerfs très très solides.
11:37On peut vraiment se préparer à une cyberattaque ? C'est votre avis également ?
11:41Oui, bien sûr.
11:42Et non seulement on peut se préparer, mais il faut croire que chacun peut être équipé.
11:45Même la plus petite entreprise est en capacité, de manière simple et efficace, avec des tarifs qui sont tout à fait abordables,
11:53de pouvoir entrer dans une première démarche de cybersécurité.
11:57Et donc chacun peut se protéger de la plus petite à la plus grande entreprise.
12:01Et c'est vraiment important d'être dans cette démarche, parce que les plus petites entreprises qui sont très vulnérables aux attaques,
12:08qui sont des cibles, parfois ne se protègent pas, alors qu'il existe un ensemble, un panel de solutions qui leur permettent de s'équiper.
12:17On va avoir un focus après ce débat justement sur la vulnérabilité des PME, la manière dont elles se protègent ou pas justement aujourd'hui.
12:25Pour rester sur cette question, ce n'est pas juste un sujet d'équipement, de trouver la bonne solution pour se protéger,
12:33c'est une organisation, c'est aussi prédire le risque juridique quand on est face à une cyberattaque ?
12:39Oui, forcément le risque juridique doit être pris en compte, mais je pense que la question qui se pose réellement,
12:46la première des questions, c'est de savoir de quoi on parle.
12:49C'est-à-dire qu'aujourd'hui, qu'on soit PME, ETI, et même la plupart des dirigeants n'ont pas forcément conscience
12:56de leur niveau d'exposition au risque cyber, au risque cyber au pluriel, et de la capacité de résilience de leur organisation en cas d'intervention de ce risque.
13:08Et donc, se préparer et anticiper un risque cyber, c'est déjà comprendre de quoi il s'agit.
13:14Au travers d'une pédagogie que, effectivement, doit réaliser le RSSI, qui est responsable de la sécurité des systèmes d'information,
13:22mais aussi au travers, il faut bien le dire, des risques, y compris juridiques, qui pèsent sur l'entreprise.
13:28En cas de cyberattaque ?
13:29En cas de cyberattaque, absolument.
13:31Et sur quel ordre ces risques ? Qu'est-ce que ça veut dire, le risque juridique, une fois que je suis cyberattaqué ?
13:35Des sujets de conformité, c'est-à-dire que la première appréhension que l'on peut avoir en direction d'entreprise du risque cyber,
13:42c'est avant tout un risque d'exploitation, un risque financier, un risque de blocage, et c'est tout à fait naturel.
13:50Néanmoins, quand une attaque cyber intervient, au-delà de ce blocage, on peut retrouver beaucoup de scénarios à anticiper,
13:57comme des fuites d'informations qui concernent les salariés, et donc des tensions sociales qui peuvent en découler,
14:04des problématiques de gestion des relations avec les clients, des droits, des demandes d'accès,
14:10des demandes d'informations, et des difficultés rencontrées avec la CNIL, qui est la Commission nationale informatique et liberté.
14:18Tu as la question de quelles sont mes obligations, en fait, quelles sont mes responsabilités, aussi,
14:23vis-à-vis de mes clients, qui sont peut-être victimes aussi d'une fuite d'informations.
14:30Et tout ça, ça peut se préparer en amont.
14:33J'ai posé la question en introduction de la fonction risque.
14:37Qu'est-ce que c'est, cette fonction risque, qu'on doit avoir dans l'entreprise ?
14:40C'est un RSSI++ ?
14:42Alors, très souvent, d'abord, ce qu'on remarque, c'est que la fonction risque est assez souvent rattachée à la finance et au juridique,
14:48historiquement, on va dire.
14:51Pas le risque informatique, bien sûr, parce que c'est un métier épouvantablement technique et jargonneux à souhait,
14:55donc il n'y a que le DSI qui comprend.
14:57Parce que vous allez me dire que le juridique n'est pas jargonneux ?
14:59Pas du tout. Mais je viens de l'informatique, c'est pour ça. Enfin, j'ai fini par comprendre, mais j'ai eu du mal.
15:04Non, mais plus sérieusement, donc la fonction risque existe et elle est quelque part là où le patron veut bien le mettre.
15:10Et c'est vrai que selon les secteurs d'activité, et puis dans des toutes petites boîtes, le patron juridique et le patron du risque, c'est lui-même.
15:15C'est lui qui s'occupe un peu de tout.
15:18Bon, donc quelque part, ça existe dans l'ADN de quelqu'un.
15:21Bon, alors après, évidemment, on peut, ou on encaisse les coups sans les voir venir,
15:24et au bout d'un moment, on se fatigue parce que ça coûte cher et on finit par se préparer.
15:29Ou on dit, on va peut-être quand même se préparer un petit peu avant.
15:31Et grosso modo, il y a trois pieds pour bien se préparer.
15:35Un, sur la partie technique, et là les spécialistes le savent, de bien sécuriser, en gros, tout ce qui est entre la prise et le clavier,
15:42les infrastructures, les postes de travail, etc.
15:45Antivirus dans tous les sens, bref, des infrastructures solides.
15:47Deux, tout ce qui est entre la chaise et le clavier, les gens, parce que la vulnérabilité, c'est aussi les gens.
15:54Pour ne pas faire de bêtises, ne pas cliquer quand il ne faut pas, et ainsi de suite.
15:57Ne pas laisser le portable en l'air dans le TGV et aller boire un verre, et puis tout est ouvert dans la nature, et ainsi de suite.
16:03Mettre son filtre anti-espion.
16:04Par exemple, donc, voilà.
16:06Et troisièmement, les plans, c'est-à-dire de la préparation, de l'entraînement, des exercices,
16:11et une cellule de crise, qui est le machin qui pilote, pour, disons, prendre les manettes en manuel
16:16et sortir l'entreprise d'un mauvais pas si ça doit arriver.
16:19Voilà.
16:19Mais avec ces trois pieds-là, il n'y a rien de compliqué, y compris dans les petites boîtes,
16:22et on y arrive très très bien.
16:23C'est ce que vous dites, Séverine.
16:25Tout le monde peut commencer à se préparer, en tout cas se mettre en éveil sur ces nouveaux risques
16:31et cette montée en puissance, en fait, du risque cyber.
16:35On commence par quoi, quand même ?
16:39On commence...
16:39Est-ce qu'il y a une méthodologie ?
16:43Évidemment, on peut...
16:45Idéalement, il faudrait commencer par un audit de sécurité.
16:48Idéalement, il faudrait commencer par une analyse pour savoir où sont nos failles,
16:51où sont nos résistances,
16:54et pour pouvoir établir un plan d'action qui soit adapté à la taille de l'entreprise,
16:58à sa maturité aussi.
16:59Il n'y a rien de pire qu'un plan qui serait beaucoup trop ambitieux pour une structure
17:03qui ne serait pas prête du tout.
17:04Donc, en fonction de sa maturité,
17:06et dérouler ce plan dans le temps, étape par étape,
17:09pour réaliser de manière très concrète les actions,
17:13à la fois d'équipement, mais également de formation, comme on l'a dit,
17:15de sensibilisation de l'ensemble des collaborateurs,
17:18de formation des dirigeants,
17:20et dans certains cas, la réglementation nous oblige,
17:23comme c'est le cas avec Nice 2,
17:24à former les dirigeants.
17:25Après, il faut que ces formations soient très concrètes.
17:29Si on reste dans l'abstrait en disant,
17:31voilà, il y a trois types de grands risques aujourd'hui en matière de cyber,
17:35ce n'est pas comme ça qu'on va réussir à se préparer véritablement.
17:38On a plusieurs solutions.
17:39Oui, Sébrine et puis Maître Astier, je vous donnerai la parole.
17:42On a plusieurs solutions.
17:43On peut avoir des formations qui sont très formelles,
17:45qui vont expliquer ce qu'il faut faire, ce qu'il ne faut pas faire.
17:48On a aussi des mises en situation, des exercices de crise,
17:51qui vont permettre de réaliser par l'expérience,
17:54en ayant peur et en étant bombardé d'informations,
17:58qu'on ne sera pas en capacité de réagir correctement
18:01si on n'a pas été préparé, si on ne réalise pas,
18:04qu'on sera vraiment dans la panique.
18:05Il faut s'entraîner.
18:06Oui, tout à fait, j'abonde.
18:08C'est Stéphane Astier.
18:10En fait, la partie prévention au risque cyber intègre des formations
18:14et ces formations doivent être adaptées, bien entendu, au public.
18:18Et le premier des publics, ce sont les directions.
18:21Et par expérience, les cellules de crise fictives,
18:24les exercices de cellules de crise,
18:26où on place un board dans une pièce
18:29et on les met en situation d'une réelle crise de cybersécurité,
18:33on utilise des stimuli, des faux mails,
18:37des faux coups de fil, des faux articles de journaux
18:40qu'on va distribuer au fur et à mesure de la journée
18:42avec un temps qui est accéléré,
18:44permet en fait aux dirigeants d'être mis en situation
18:47et d'identifier les trous dans la raquette, parfois.
18:51Et ce type de sensibilisation va permettre aussi d'identifier,
18:54on n'en a pas parlé et c'est pourtant très important,
18:57sur la couverture assurancielle,
18:58sur les contrats avec les prestataires clés,
19:01d'où peuvent provenir les crises cyber.
19:05Tous ces éléments-là qui vont permettre aux dirigeants
19:08derrière de dérouler sur un plan d'action
19:11et de retraduire d'un point de vue du dirigeant
19:14et des investissements que doit mettre en place le dirigeant aussi,
19:18parce qu'il y a une question de coût là-dedans,
19:20adapter à ce que peut proposer d'un point de vue technique
19:23le résultat d'un audit de sécurité
19:25qui va là impliquer à la fois l'organisationnel
19:28et puis bien entendu le côté solution technique
19:30de réponse à incident.
19:31Donc c'est une approche du risque,
19:34d'un point de vue juridique,
19:35qui est quand même très opérationnelle.
19:36Je dévoile le LegalOps,
19:38c'était un peu mon teaser en introduction,
19:41est-ce que ça vous parle,
19:42est-ce que vous voyez à peu près ce que ça veut dire LegalOps ?
19:44C'est une approche plus anglo-saxonne du risque.
19:46Je ne sais pas si d'ailleurs on gère le risque
19:49de la même façon en France, en Angleterre,
19:53ailleurs aux Etats-Unis, en Asie ?
19:55Non, alors juste pour revenir sur l'autre point,
19:59il y a un bon moyen pour inviter les patrons d'un comex à bouger,
20:03c'est de faire un appel d'offres
20:05pour faire venir un assureur, un cyberassureur.
20:07Et le cyberassureur, de toute façon,
20:08il va dérouler un audit rapidement
20:09pour savoir l'écart qu'il y a,
20:10parce que sinon il n'assure pas.
20:12Et donc le fait que l'assureur dise
20:13il y a tout ça à faire,
20:14permet de dire au dirigeant
20:16vous êtes inassurable.
20:17En général, il n'y a même pas trop.
20:18Et donc il se met au boulot pour combler l'écart.
20:20Et c'est aussi comme ça qu'on avance.
20:22Alors pour répondre à la question,
20:23l'approche du risque...
20:24Notre façon de gérer le risque ?
20:25Oui, alors on a un petit problème d'ADN en France.
20:28Pourquoi ?
20:28Alors pourquoi ?
20:29On est plus aventureux ?
20:31Non, c'est le contraire,
20:32on est beaucoup plus frileux.
20:33Ah oui ?
20:33Et donc on a un rapport...
20:35C'est plutôt bien dans la cybersécurité, ça ?
20:36Oui, enfin là je parle d'obscurité,
20:38donc je ne suis pas certain que ce soit une bonne...
20:41Et ça, ça vient,
20:42alors après avoir fait quelques recherches
20:43et avoir discuté avec des gens qui s'intéressent,
20:45pas que sur la cyber,
20:46mais en France, historiquement,
20:49on a l'impression qu'on est dans un pays ultra confortable
20:51du fait de nos conditions climatiques générales.
20:53La France est un pays au 45e parallèle
20:55avec un océan atlantique qui est tiède,
20:58qui nous amène des hivers pas trop sévères,
20:59la nature se régénère,
21:00les champs de patates ça pousse bien,
21:02il n'y a pas de tempête,
21:03pas de séisme,
21:04pas de tout ce qu'on voudra,
21:05pas de tsunami.
21:06Bref, la France est un très joli pays
21:08et on traverse l'Atlantique dans le monde anglo-saxon,
21:11ça tremble, ça bouge,
21:13quand il y a de la neige,
21:13c'est 3 mètres d'un coup,
21:14le volcan du Yellowstone qui menace de péter
21:17et la faille de Sant'Andreas qui va craquer.
21:19Les risques sont beaucoup plus sévères là-bas,
21:22la nature est violente,
21:22pas chez nous,
21:24les risques d'environnement.
21:26Et on s'est développé dans cet environnement.
21:28Et par ailleurs,
21:29nos distances sont faibles,
21:30quand on appuie sur un bouton service public,
21:32les pompiers sont là en pas longtemps,
21:34même dans la Cambrousse,
21:35alors qu'aux Etats-Unis,
21:36il leur faut 3 jours de cheval pour venir,
21:38on est en caricature un peu.
21:39Autrement dit,
21:40le risque là-bas,
21:41on le prend en compte et on se débrouille,
21:43chez nous,
21:43c'est le problème de l'assistance.
21:45On appuie sur un bouton
21:47et on va venir nous aider.
21:49Et ça, ça fait,
21:49je ne dis pas des siècles.
21:50Quand vous dites qu'on est frileux,
21:51c'est plutôt l'inverse,
21:52c'est-à-dire qu'on n'est pas suffisamment prudent.
21:54On est inconscient.
21:57Inconscient.
21:58Et donc,
21:58on attend que ça vienne.
21:59Donc, pas préparé, finalement.
22:01Et c'est vrai,
22:02non seulement dans la cyber,
22:03mais sur les risques climatiques,
22:04c'est vrai sur toute forme de risque.
22:06On attend que ça vienne de l'État.
22:07Et quand l'État a confirmé
22:08que c'était un vrai risque,
22:10alors on s'y met.
22:11La cybersécurité,
22:12l'ANSI n'existe que depuis pas très longtemps.
22:14Avant l'ANSI,
22:15ça s'appelait le SSSI,
22:16mais on en parlait moins.
22:18Et avant,
22:18avant,
22:18il n'y avait que le Clusif.
22:20Quand le Clusif,
22:21tout seul,
22:21en 1985,
22:23à l'initiative des assureurs,
22:25a dit,
22:25attention,
22:25il y a un risque informatique,
22:27ils se sont dit,
22:27c'est du business,
22:28on n'y va pas.
22:29Quand l'ANSI est arrivé,
22:30grâce au travail de Guillaume Poupard,
22:31quand il a mis tout ça sur pied,
22:34il a validé le risque.
22:35L'État dit,
22:36c'est vrai,
22:37ça existe,
22:37tout le monde se met au travail.
22:39Donc on attend une sorte de feu vert en France
22:41et on ne l'a pas du tout dans les pays anglo-saxons,
22:44pas plus en Angleterre qu'en Europe du Nord au passage.
22:46Mais là, maintenant,
22:46ça y est,
22:47le chemin est fait.
22:48La cybersécurité,
22:49ce n'est plus une option.
22:50Ce n'est plus une option.
22:51Mais la relation risque est fondamentalement différente
22:54dans nos ADN à nous.
22:55Oui,
22:55c'est très intéressant.
22:57Ce n'est plus une option.
22:58On a réalisé,
22:59parce qu'on a aussi réalisé des risques importants en cybersécurité,
23:04notamment dans les établissements hospitaliers
23:07où on en a tous entendu parler
23:09ou sur des ransomware
23:11qui ont mis des entreprises à genoux.
23:14Et donc la réalisation du risque
23:15nous incite à mettre en place des mesures adaptées
23:19pour protéger les données
23:21à la fois de l'entreprise elle-même
23:23mais de ses clients ou de ses usagers.
23:25Et ça, ce n'est pas négociable.
23:26Ce n'est pas négociable.
23:28Et en plus,
23:29nous avons une réglementation
23:31qui vient s'appliquer à nous.
23:33Actuellement,
23:33on devrait avoir un projet de loi de résilience
23:36qui va finir par arriver d'ici la fin de l'année.
23:38C'est en bonne voie, quand même, visiblement.
23:41Ça y arrivera.
23:42Mais nous avons un ensemble de réglementations européennes
23:44qui viennent s'imposer à nous
23:45et qui augmentent le nombre d'entreprises
23:47qui doivent légalement mettre en place
23:49des mesures de cybersécurité.
23:51Je dis que c'est en bonne voie
23:52parce qu'il y a quand même un consensus.
23:54Ça a été adopté en commission spéciale
23:56à l'unanimité par les députés.
23:58Donc il y a un consensus quand même
23:59sur la nécessité de renforcer
24:03ces réglementations,
24:04ces obligations finalement de cybersécurité.
24:06Alors je voulais qu'on parle quand même
24:07de ce légalops avec vous,
24:09Maître Astier.
24:10Je précise que vous êtes intervenu
24:11sur des affaires sensibles,
24:12notamment auprès des laboratoires
24:14du Grand Ouest
24:14ou de France Travail
24:16qui ont été victimes
24:17d'importantes fuites de données
24:20et d'attaques.
24:21Ils se retrouvaient dans ce questionnement,
24:23j'imagine,
24:23de leur responsabilité,
24:25de la manière dont on doit communiquer,
24:26comment on réagit dans ce moment-là.
24:29Qu'est-ce que ça veut dire
24:30utiliser cette approche légalops ?
24:33Alors le légalops dépasse le sujet
24:36de la cybersécurité.
24:37C'est une manière de pratiquer le droit
24:39qui se veut plus opérationnel,
24:41plus au contact de la réalité
24:43d'une organisation
24:44et plus dans le suivi des recommandations.
24:47C'est-à-dire, il y a dire le droit,
24:50dire la règle,
24:51identifier les risques,
24:53sensibiliser sur ces risques
24:54qui est proposé non pas des problèmes
24:56mais des solutions, n'est-ce pas ?
24:58Et surtout, derrière,
25:00avoir cette compétence
25:03de se déployer,
25:05cette volonté de se déployer
25:06en entreprise
25:07pour surveiller que les plans d'action
25:10qui vont avoir été définis
25:11suite à un audit de sécurité
25:13ou des décisions
25:14qui vont avoir été prises
25:15suite à des préconisations juridiques
25:17sont effectivement mises en œuvre.
25:20Et dans le sujet réglementaire
25:22que vous venez d'exposer, Madame,
25:23qui est tout à fait exact,
25:25avec quelques acronymes
25:26qu'on peut citer comme ça à la volée,
25:28RGPD,
25:29NIS2,
25:29DORA,
25:30CRA,
25:31IAC,
25:32et j'en passe,
25:33on va retrouver effectivement
25:34des blocs d'obligation de sécurité
25:37avec des spécificités.
25:39Mais finalement,
25:41quand on parle de certification ISO 27001
25:44qui est, on va dire,
25:45la norme internationale,
25:46quand on regarde
25:47les obligations générales du RGPD
25:49ou des autres textes plus spécifiques,
25:52on va retrouver quand même
25:53systématiquement
25:53le même schéma
25:55qui est un schéma
25:56de formation des équipes,
25:58des dirigeants,
25:59un schéma de mesures organisationnelles,
26:01c'est-à-dire de définir
26:02des politiques internes
26:04qui doivent être effectivement
26:05mises en place.
26:06Ce que je dis souvent,
26:06c'est pas,
26:07on n'écrit pas des choses
26:08pour que ça aille caser,
26:10caler l'armoire au fond de la cave.
26:11On reste bien dans l'opérationnel.
26:12L'opérationnel, effectivement,
26:13c'est-à-dire de réaliser des tests,
26:15d'utiliser en fait ces procédures
26:17pour qu'elles soient effectivement déployées
26:19et à côté de ça,
26:20au-delà de ces mesures organisationnelles,
26:22des réponses techniques
26:23qui permettent à la fois
26:24de répondre à une obligation
26:25de conformité,
26:26de répondre aux exigences
26:28toujours plus nombreuses
26:28des assureurs.
26:29Vous l'évoquiez,
26:30c'est très important aujourd'hui
26:31parce qu'il y a un durcissement
26:32des compagnies d'assurance
26:34pour plein de raisons,
26:35mais ça,
26:35on pourra y revenir peut-être plus tard.
26:36Mais voilà,
26:37ces sujets-là, en fait,
26:38qui sont au cœur
26:39de l'approche LegalOps
26:40qui est d'aller un peu plus loin
26:42que la simple recommandation
26:44et analyse des risques
26:44et d'aller voir justement
26:46comment concrètement
26:47dans l'entreprise,
26:48dans l'organisation,
26:49les plans d'action
26:50et les préconisations
26:51sont mis en place
26:52et d'accompagner
26:53cette mise en place.
26:54Eh bien,
26:54j'espère que tout le monde
26:55a été convaincu
26:56par vos propos,
26:57par votre nécessité
26:58d'avoir une approche
26:59très opérationnelle finalement
27:00du risque
27:01et de la cybersécurité.
27:03Merci encore Vincent Malouet
27:04de maîtrise des crises.com,
27:06Stéphane Astier,
27:07donc avocat en droit
27:08du numérique
27:09et de la cybersécurité
27:10et Séverine Denis,
27:12membre du bureau Exatrust.
27:13Merci à tous les trois.
27:15On continue ce Smart Cyber
27:17en s'intéressant
27:17à la question des PME,
27:19des petites entreprises
27:20et de leur niveau d'exposition.
27:26On continue cette édition spéciale
27:28de Smart Cyber.
27:30Je suis en compagnie
27:30d'Arnaud Lefebvre.
27:31Bonjour Arnaud.
27:32Bonjour.
27:33Vous êtes directeur commercial
27:34et marketing
27:34chez Revo France.
27:36C'est un fournisseur européen
27:37de services intégrés
27:38de cloud
27:39et de cybersécurité.
27:40Je voulais qu'on parle ensemble
27:41de la question
27:42des cybermenaces
27:43et des PME.
27:44On a commencé à l'évoquer
27:45dans le débat précédent
27:47en disant
27:48qu'aucune entreprise
27:49n'était à l'abri,
27:50que toutes devaient
27:51se protéger.
27:52Mais aujourd'hui,
27:53quel impact
27:54vous constatez
27:56sur les PME,
27:57les impacts
27:57des cybermenaces ?
27:59Alors,
28:00tout d'abord,
28:01effectivement,
28:01les PME
28:02et les ETI
28:02sont particulièrement
28:03ciblées
28:04par les hackers,
28:05alors même qu'elles pensent
28:05qu'elles ne le sont pas.
28:07Oui,
28:07ça,
28:08c'est assez paradoxal.
28:08Voilà,
28:09c'est effectivement
28:09très paradoxal.
28:12D'autant plus
28:13que ces entreprises,
28:14malheureusement,
28:15et je l'ai encore constaté
28:16cet après-midi
28:17en rendez-vous,
28:18n'ont pas forcément
28:19des équipes qui sont formées,
28:20des équipes informatiques
28:21qui sont formées,
28:21n'ont pas forcément...
28:22Formées à la cyber.
28:23À la cyber,
28:24oui, bien sûr,
28:25puisque le sujet,
28:25c'est la cyber,
28:26effectivement,
28:26formées à la cyber.
28:28Elles n'ont pas
28:29les ressources
28:29et ni le temps
28:30à consacrer
28:31à ces sujets-là
28:32parce qu'elles sont prises
28:33par le quotidien,
28:34elles sont prises
28:34par les outils de production,
28:36par le support
28:36aux utilisateurs.
28:38Et donc,
28:39malheureusement
28:40et malgré elles,
28:41elles font que les entreprises
28:41sont exposées
28:42à ces attaques.
28:44Mais comment vous expliquez
28:45justement qu'elles n'en est pas
28:46suffisamment conscience ?
28:49Conscience,
28:50je pense qu'elles le sont,
28:51mais malheureusement,
28:53comme parfois
28:54sur d'autres risques de fraude,
28:55on sait qu'on est à risque,
28:56mais on se dit
28:57que ce n'est pas pour moi.
28:58C'est peut-être mon concurrent
29:00ou une autre entreprise
29:01qui va être ciblée
29:02et moi,
29:03PME,
29:03qui va vouloir venir
29:04me hacker,
29:06alors même qu'en fait,
29:07si,
29:07et on le constate régulièrement
29:09avec des impacts
29:09qui peuvent être très très forts.
29:11Jusqu'à la cessation d'activité.
29:14La cessation d'activité.
29:14Absolument, absolument.
29:16Moi, j'ai quelques exemples
29:17assez incroyables
29:18sur ce sujet.
29:19Et vous voyez
29:20une progression
29:21de cette menace ?
29:23Il y a une progression
29:24de cette menace.
29:24C'est-ci particulièrement,
29:25je veux dire,
29:25les PME ?
29:27Les PME, oui,
29:28d'autant que,
29:29comme je le disais,
29:30elles ne se croient pas forcément,
29:32elles ne se pensent pas à risque,
29:34donc elles ne prennent pas forcément
29:35toutes les mesures nécessaires
29:36pour se protéger.
29:37Il faut bien dire,
29:38aujourd'hui,
29:39la situation géopolitique
29:40rend à risque
29:42encore plus
29:43les entreprises
29:43et ça,
29:44c'est important
29:45parce qu'on l'a constaté,
29:47il y a des attaques
29:47qui proviennent de pays
29:48quand même.
29:49Aujourd'hui,
29:49on est vraiment
29:49sur une guerre cyber
29:50et ça,
29:51il faut en être conscient.
29:52Donc oui,
29:53clairement,
29:53il y a des risques.
29:54Et une guerre cyber hybride
29:56qui ne vise pas
29:57que les grandes organisations.
29:58Qui ne vise pas
29:59que les grandes organisations
30:00et qui sont massives
30:01avec l'apport
30:02de l'intelligence artificielle.
30:03Mais ça,
30:03il faut expliquer pourquoi
30:04parce que souvent,
30:05justement,
30:06on se dit,
30:06moi,
30:06je ne suis pas une cible
30:08parce que je ne représente
30:09pas d'enjeu majeur.
30:11Expliquez-nous pourquoi
30:12toute entreprise,
30:14finalement,
30:14est un enjeu
30:15aujourd'hui en matière
30:16de cyber.
30:17Déjà,
30:18tout simplement,
30:18il n'y a pas du gain
30:19pour les hackers
30:20de venir chercher
30:21même quelques centaines
30:22de milliers d'euros.
30:23ça se cherche
30:24et on peut aller chercher ça
30:25dans les entreprises,
30:27même des PME.
30:28On peut aussi utiliser
30:30les PME
30:30comme un point d'entrée
30:31pour attaquer
30:31les plus grands groupes.
30:33Et c'est là aussi
30:33que les hackers
30:34sont très intéressés
30:35par les PME.
30:37Comment vous analysez
30:38l'utilisation
30:39de l'intelligence artificielle
30:40par les cyberattaquants ?
30:42C'est une préoccupation
30:43importante,
30:43j'imagine.
30:44En fait,
30:46l'arrivée
30:48de l'intelligence artificielle
30:49a permis aux cyberattaquants
30:50d'industrialiser
30:51leurs attaques.
30:52Aujourd'hui,
30:52on n'est pas obligé
30:53d'être un expert en cyber
30:54pour pouvoir organiser
30:55des cyberattaques
30:55de masse
30:56et très personnalisé.
30:58À titre personnel,
30:59je suis certain
30:59que vous avez déjà reçu
31:00des e-mails
31:01et des courriers.
31:02On se pose la question
31:02de savoir
31:03si c'est des vrais
31:04ou des faux.
31:05Imaginez un directeur
31:06d'entreprise,
31:06un dirigeant d'entreprise
31:07qui est pourtant,
31:07on l'a vu tout à l'heure,
31:08responsable pénalement,
31:10qui reçoit un e-mail
31:12avec une pièce d'attaché.
31:13Il est dans le rush,
31:13il ne fait pas attention,
31:14il clique
31:15et c'est parti.
31:16L'attaque est lancée
31:18et il ne s'en est peut-être
31:19même pas aperçu.
31:20C'est ce que vous constatez
31:22quand vous allez
31:22à la rencontre des clients ?
31:24C'est qu'aujourd'hui,
31:25ils sont en situation
31:26de fragilité ?
31:28Oui,
31:28mais comme un malade,
31:30parfois,
31:30on n'est pas conscient.
31:31En fait,
31:31quand on est malade,
31:32alors nous,
31:32ce qu'on fait parfois,
31:33c'est...
31:33quand vous leur dites,
31:35quand vous leur dites,
31:35attention,
31:36qu'est-ce qu'ils répondent ?
31:38Ils peuvent dire,
31:40comme je le disais tout à l'heure,
31:41oui,
31:41mais moi,
31:42je ne suis pas concerné.
31:44C'est le deuxième,
31:44vous voulez dire,
31:45en fait,
31:45ma question,
31:46c'est est-ce que ça reste difficile
31:47aujourd'hui
31:48de convaincre les PME
31:49de se protéger ?
31:50Oui,
31:51alors qu'on a l'impression
31:52que c'est un sujet
31:52qu'on aborde partout,
31:53tout le temps,
31:54y compris dans les informations
31:56au très grand public.
31:57Bien sûr,
31:58bien sûr,
31:58mais ça reste quand même
31:59malgré tout un enjeu
32:00parce que les entreprises
32:01peuvent faire l'acquisition d'outils,
32:03très bien,
32:04ils vont avoir un antivirus,
32:05ils vont avoir des fireballs,
32:06etc.
32:07Mais en fait,
32:08ils se disent que grâce à ça,
32:09ils sont protégés.
32:10Mais si c'est mal administré
32:11et si ce n'est pas administré
32:13en continu,
32:14comme nous,
32:14on le propose,
32:15c'est-à-dire 7 jours sur 7
32:16et 24 heures sur 24,
32:17parce que le hacker,
32:18il ne s'arrête pas
32:19de bosser le week-end
32:19ou la nuit.
32:20Donc,
32:20on peut avoir des outils,
32:22mais ce qui sont bien paramétrés,
32:23les équipes,
32:24elles n'ont pas le temps
32:24forcément d'avoir
32:26ce niveau d'analyse
32:27que nous,
32:28on peut avoir
32:28et de suivi au quotidien.
32:30Et là,
32:30on est très exposés
32:32aux risques dans ce cas-là.
32:33Bon,
32:33peut-être qu'on en aura convaincu
32:34quelques-unes.
32:35Je le souhaite,
32:36je l'espère.
32:37En vous écoutant,
32:38Arnaud Lefebvre,
32:38je rappelle que vous êtes
32:39le directeur commercial
32:40et marketing
32:41de Révo France.
32:42Merci beaucoup.
32:43Merci beaucoup pour l'invitation.
32:44Je vous en prie,
32:45on continue les interviews
32:46cyber tout de suite.
32:51On continue nos interviews
32:52dans Smart Cyber,
32:54dans cette édition spéciale
32:55avec Pascal Ledigol.
32:56Bonjour.
32:57Bonjour.
32:57Vous êtes directeur France
32:58chez WatchGuard Technologies.
33:00où vous avez publié
33:01un sondage réalisé
33:02auprès de 120
33:03de vos partenaires MSSP.
33:05Ce sont en fait
33:05ceux qui opèrent
33:06la cybersécurité
33:07pour des entreprises.
33:09Pourquoi est-ce que
33:09vous êtes allé chercher
33:11ces intermédiaires
33:12pour sonder
33:13la cybersécurité
33:14auprès des PME ?
33:16On avait déjà fait
33:17un sondage
33:17il y a un an
33:17en direct
33:19avec des PME,
33:20des PME
33:21de 100 à 300 postes.
33:23Et justement,
33:24le sondage
33:25s'était terminé
33:25sur une question
33:28vis-à-vis
33:30de leurs prestataires
33:30et ces entreprises
33:32avaient répondu
33:33à 97%
33:34qu'elles faisaient
33:34confiance
33:34à leurs prestataires
33:35pour la cyber.
33:36Et donc,
33:36elles passent
33:37en majeure partie
33:38par des prestataires
33:39externes
33:40pour la cybersécurité.
33:41Oui,
33:41quasi toutes.
33:42Et donc,
33:43c'était tout à fait
33:44naturel de se dire
33:44dans un deuxième temps
33:45on va faire un sondage,
33:46on va interroger
33:47des MSP
33:48qui font la sécurité
33:49en PME,
33:50nos partenaires,
33:50mais aussi certains
33:51ont répondu
33:52qui ne sont pas
33:52nos partenaires.
33:53Ça nous intéressait aussi
33:54d'avoir les deux avis.
33:55Ok,
33:56très bien.
33:56Alors moi,
33:56j'étais étonnée
33:57par ce chiffre.
33:5880% des PME
33:59ne sont pas conformes
34:00au RGPD.
34:02C'est la vision
34:03des MSP
34:04dans la PME.
34:05Pour eux,
34:06leurs clients,
34:07effectivement,
34:07ne sont pas conformes
34:08à la RGPD.
34:09C'est vertigineux.
34:10Oui.
34:11Alors après,
34:11c'est une de leurs estimations
34:13à eux,
34:14c'est leur angle de vue.
34:16À titre personnel,
34:17je pense qu'ils ne sont
34:17pas très loin
34:18de la réalité.
34:20Parce qu'effectivement,
34:22alors dans le sondage précédent,
34:23on avait un peu malicieusement
34:25posé la question
34:26si les gens allaient
34:27se mettre en conformité
34:28avec la RGPD.
34:29Et 60% nous ont répondu
34:30oui.
34:31Oui,
34:31donc ça voulait dire
34:31que ce n'était pas fait.
34:32Ça veut dire
34:32qu'ils n'y étaient pas déjà.
34:33Alors,
34:34autre enseignement,
34:3550% des PME
34:36n'investissent en cybersécurité
34:37qu'après avoir subi
34:38une attaque.
34:39Oui,
34:40ça c'est un comportement
34:41qu'on voit très souvent.
34:42Tant que la PME
34:43est passée entre les gouttes,
34:44elle se dit qu'elle va continuer
34:45à passer entre les gouttes.
34:46Et par contre...
34:48Il faut avoir survécu
34:48à la cyberattaque.
34:49Il faut avoir survécu,
34:50il faut qu'il n'y ait pas
34:50trop de dommages,
34:51il faut pouvoir investir derrière.
34:53Mais effectivement,
34:54souvent,
34:55il faut ce comportement-là,
34:56cette attaque
34:56qui génère le comportement
34:58d'investir
34:58qui n'est pas forcément
34:59le bon réflexe.
35:00Est-ce que ces PME
35:02ont tendance
35:02à plus facilement
35:03payer des rançons
35:04quand on leur demande
35:05via un logiciel malveillant
35:06que des grandes organisations
35:08ou pas forcément ?
35:09Alors,
35:10c'est une des questions du sondage.
35:11Oui.
35:12Et les MSP nous disent
35:13que pour eux,
35:14c'est à peu près une sur 4
35:15qui paye la rançon,
35:16ce qui est loin
35:17de ce qu'on peut se dire.
35:18Alors,
35:19une fois de plus,
35:19c'est une question posée,
35:21ce ne sont pas des statistiques,
35:23donc il faut le prendre
35:23avec des pincettes,
35:24mais ça veut quand même dire
35:26que nos MSP voient quand même
35:27beaucoup de PME
35:28qui payent les rançons.
35:29Beaucoup,
35:30oui.
35:32Ces menaces justement
35:33par rançon logiciel,
35:34ça fait partie des choses,
35:35j'imagine,
35:36les plus redoutées
35:37par les petites
35:38et moyennes entreprises
35:39parce que ça touche
35:40directement au porte-monnaie
35:42de l'entreprise
35:43qui peut être fragile.
35:45C'est celle qui a
35:46le plus d'impact.
35:47Oui.
35:47C'est celle qui va bloquer
35:50le système
35:50parce qu'on a chiffré
35:51les données
35:51et qu'on ne peut plus
35:52utiliser les machines.
35:54C'est celle où il va y avoir
35:55cette fameuse demande de rançon
35:56et on ne pourra en route.
35:57avec la pression financière ?
35:58Avec la pression financière
35:59mais aussi la pression
36:00sur la production
36:00parce que tant qu'on n'a pas
36:01remis en route,
36:02une PME,
36:03ça lui coûte très très cher
36:04de ne pas se remettre en route.
36:06Donc effectivement,
36:07c'est la menace numéro une.
36:10Dans le sondage,
36:10on voit la menace qui est à 10%,
36:13c'est l'espionnage industriel
36:14ce qui pourtant est assez grave
36:16et pourtant n'est qu'à 10%.
36:18Derrière,
36:20c'est les fuites de données
36:21qui sont particulièrement redoutées
36:23parce que là,
36:24c'est la question
36:24de la responsabilité
36:25aussi vis-à-vis de leurs clients.
36:26Tout à fait.
36:27Mais c'est bien de le voir
36:28en deuxième position
36:28parce que pendant longtemps,
36:29les fuites de données,
36:30on ne voulait pas les voir.
36:31D'accord.
36:32Donc,
36:33on avance dans la prise de conscience
36:35sur les cyber-risques.
36:36Est-ce que vous voyez des freins
36:38justement à une meilleure protection
36:39des PME ?
36:40Oui, plein.
36:44Les MSP nous ont répondu sur ce sujet.
36:48En fait, la cyber dans la PME,
36:51c'est la chose la plus compliquée à faire
36:52parce qu'on essaye de faire comprendre
36:54à des gens qui n'ont pas
36:55la connaissance cyber
36:56ce qu'il leur faut.
36:58Donc, c'est toujours compliqué forcément.
37:00Il n'y a pas la connaissance,
37:01il n'y a pas assez de budget,
37:03aussi bien dans la PME
37:04mais parfois aussi
37:04chez les prestataires de services
37:06qui ont énormément de mal
37:08à recruter les talents
37:09qui vont bien aussi.
37:11Donc, si on veut aider
37:12la PME sécurisée,
37:13il va falloir aussi aider les MSP
37:14à se développer
37:16et à monter leur niveau
37:17de cybersécurité.
37:18Bon, j'étais quand même
37:19beaucoup moins étonnée
37:20par votre résultat
37:22sur la directive NIS2
37:23parce que je me suis dit
37:25bon, si 80% des PME
37:26ne sont pas conformes au RGPD,
37:28ça ne m'étonne pas tellement
37:29qu'elle soit 86%
37:31à ignorer complètement
37:33cette directive
37:33qui va bientôt être
37:35adoptée à priori
37:38en France,
37:38en tout cas dans sa version
37:40transposée.
37:42Ce n'est pas une grande surprise.
37:43Ce n'est absolument pas une surprise.
37:44On le constate.
37:45Alors, en vrai,
37:47moi sur le terrain,
37:47je le constate auprès des entreprises.
37:48non concernées,
37:49très compliquées aujourd'hui
37:50à savoir si on entre dans le champ
37:52direct de NIS2.
37:53Il y a 160 000 PME en France.
37:55Donc, il y en aura peut-être,
37:58allez, au grand maximum,
37:5920 à 30 000 de touchés.
38:01Donc, c'est vrai qu'il manque
38:01un gap.
38:04Après, on le constate,
38:06quand on parle NIS2,
38:07une entreprise,
38:08on voit ce résultat-là,
38:09mais parfois même
38:10à des prestataires informatiques
38:11qui ne se sont pas penchés
38:12sur NIS2.
38:13Merci beaucoup,
38:15Pascal Ledigold,
38:16d'avoir été avec nous
38:17et de nous ouvrir les yeux
38:18comme ça, de cette façon.
38:19Je rappelle que vous êtes
38:19le directeur France
38:20de WatchGuard Technologies.
38:22On termine cette édition Smartech
38:24avec notre rendez-vous Culture C.
38:31On termine notre Smart Cyber
38:33avec le rendez-vous Culture C,
38:35Culture Cyber.
38:35On va découvrir des lieux,
38:37des événements,
38:38des livres.
38:39Et puis, les assises,
38:40c'est notre sujet aujourd'hui,
38:41les assises de la cybersécurité
38:42qui vont avoir lieu
38:43à Monaco du 8 au 11 octobre 2025.
38:47Bonjour, Maria Iacono.
38:48Merci beaucoup d'être avec nous.
38:50Vous êtes la patronne
38:51de ces assises.
38:53Comment est-ce que vous définiriez
38:54ce rendez-vous annuel ?
38:56Un vrai incontournable.
39:00On va dire plus.
39:02Au-delà du site,
39:04au-delà du contexte,
39:05c'est vraiment l'opportunité
39:06de réunir vraiment
39:08nos experts français,
39:10notre force de frappe française,
39:12nos partisans,
39:14nos guerriers de la pré-français.
39:16Et on sait très bien
39:17que cette année complexe,
39:20on compte beaucoup sur eux.
39:21Complexe,
39:22parce que complexe de guerre hybride,
39:25de contexte géopolitique,
39:26c'est ça que vous voulez dire ?
39:27Multifactoriel.
39:29Multifactoriel.
39:29On a démarré cette année,
39:31je ne vais pas faire un petit peu
39:32un retour en arrière,
39:33mais c'est important
39:34parce que c'est le rendez-vous
39:34de rentrée.
39:35Les assises sont toujours vécues
39:36comme un rendez-vous de rentrée
39:37pour les experts de la cybersécurité.
39:40Et donc,
39:40il est important,
39:41avant de se projeter sur le rendez-vous,
39:42pour se projeter,
39:43préparer la nouvelle année scolaire,
39:46quelque part,
39:47mais il est important
39:47de revenir un petit peu
39:48pour bien préparer ce bon,
39:50cette rentrée.
39:51On a démarré l'année
39:53avec une guerre économique
39:56qui est loin d'être cessée
39:58parce que les négociations,
39:59malheureusement,
40:00sont encore en cours
40:01entre deux continents
40:02qui ont été historiquement amis.
40:05Les tensions sont là.
40:07Les contextes géopolitiques
40:09sont de plus en plus extrêmes.
40:13Notre ciel se complexifie
40:16et le ciel informatique
40:18encore davantage.
40:20Et dans tout cela,
40:22on a un contexte français,
40:24je ne veux pas être rabat-join,
40:26mais on a un contexte français
40:27assez spécifique.
40:28D'instabilité politique.
40:29D'instabilité politique
40:30qui, forcément,
40:32donne un réflet
40:33sur l'économie française,
40:35l'économie qui se répercute
40:37dans les budgets des organisations.
40:39Donc, ce n'est pas simple.
40:41Alors, 25 ans,
40:43les assises de la cybersécurité,
40:45déjà 25 ans.
40:46Donc, vous avez cité le contexte
40:47très récent,
40:50très compliqué.
40:52Comment est-ce que ce rendez-vous évolue
40:54et sous quel signe
40:55vous allez placer en particulier
40:57cette année ?
40:57Est-ce qu'il y a des grandes thématiques
40:58que vous allez aborder ?
41:00Eh bien, en fait,
41:01si je n'avais pas été là
41:03pour les 25 ans,
41:04toutes ces 25 ans,
41:05bien évidemment,
41:06on ne m'en voudra pas,
41:07même si beaucoup de participants
41:09ont fait quand même
41:10toutes les 25 éditions.
41:12Ce qui a fait la force
41:14des assises,
41:16mais surtout
41:16de la communauté
41:18de la cybersécurité française,
41:20est vraiment
41:21le fait d'avoir,
41:22ne pas jamais été
41:24sur le passé,
41:25mais sur un côté futur.
41:27Or, la ligne éditoriale
41:30qui nous a été inspirée
41:31vraiment par nos membres
41:34des comités éditoriaux
41:36divers qu'on a aux assises
41:37a été celle
41:38de se projeter
41:39sur les futurs.
41:40La ligne,
41:41le message
41:42de ces 25 années
41:43est certes
41:44d'apprendre
41:45de toutes les conquêtes
41:46et les succès
41:47de ces 25 ans,
41:49mais surtout
41:49de se projeter
41:50dans le futur.
41:52Et la particularité
41:53de cette thématique,
41:55c'est qu'on a ajouté
41:56exprès un S,
41:57un très fort S
41:59un futur
42:01parce que nous sommes
42:03dans une réalité
42:04où il est impossible
42:05de dessiner un futur,
42:07mais il faut voir
42:08dans ces diverses facettes
42:11les divers futurs
42:13qu'on va pouvoir
42:14co-construire
42:15ensemble
42:16au sein de la communauté
42:17des experts
42:18de la cybersécurité,
42:19bien évidemment.
42:20Du 8 au 11,
42:20vous conseillez
42:21de venir tous les jours,
42:23une journée,
42:23deux journées ?
42:24Il ne faut rien loper.
42:25Oui, il ne faut rien rater,
42:26mais je m'en doutais.
42:27Maria Iacono.
42:28Mais je ne suis pas
42:28impartielle.
42:30Merci beaucoup.
42:31Merci.
42:32Je rappelle donc
42:32que vous êtes la directrice
42:33des Assises de Monaco
42:34et évidemment,
42:35avec SmartCyber,
42:36on y sera.
42:37Avec grand plaisir.
42:37Rendez-moi quand on a...
42:38Merci.
42:39Merci à tous
42:39d'avoir suivi
42:40cette édition spéciale.
42:42On se retrouve très vite
42:42dans SmartCyber.
42:43Merci.
42:44Merci.
42:45Merci.
42:46Merci.
Commentaires