00:00BFM Business Partenaires
00:02Hors série, les dossiers BFM Business, la cybersécurité au service des métiers.
00:09Frédéric Simotel
00:10Bienvenue dans ce hors série BFM Business, la cybersécurité au service des métiers.
00:16C'est désormais établi, vous savez que le mois d'octobre c'est le mois de la cyber.
00:18On n'en pense pas qu'on ne fasse pas les 11 autres mois.
00:21Mais en tout cas au mois d'octobre, on se concentre un peu sur tous les enjeux du secteur.
00:24Les nouvelles menaces, la réglementation, l'impact de l'IA, le rôle des RSSI, des responsables de la sécurité, la formation, la sensibilisation.
00:33Et puis c'est un mois qui est rythmé justement par de gros événements dont l'un des principaux, l'un des principaux en France, voire même en Europe,
00:40parce que c'est très important au Grimaldi Forum de Monaco, 8 au 11 octobre, les assises de la cybersécurité.
00:46L'occasion de retrouver tout le gratin de la profession, les fournisseurs d'un côté, les consultants, les services.
00:51Et puis ces fameux RSSI des grandes entreprises, mais aussi de beaucoup d'ETI, de PME qui se représentaient là-bas.
00:57On va en parler dans ce hors-série BFM avec nos invités.
01:00Maria Iacono, bonjour.
01:01Bonjour.
01:02Maria, merci de travailler avec nous, directrice des assises de la cybersécurité.
01:05Et Fabrice Brut, bonjour Fabrice.
01:07Bonjour Frédéric.
01:07Avec plusieurs casquettes, vous êtes directeur de la cyber et des architectures pour le groupement des Mousquetaires,
01:12avec la marque que l'on connaît évidemment, Intermarché, qui est la plus connue.
01:15Président du CESAIN, qui est cette association qui regroupe tous ces RSSI, 1200 membres à une centaine d'entreprises représentées.
01:23800 entreprises représentées et coordinateurs de la programmation des assises de votre présence aujourd'hui.
01:30Alors, je vais démarrer justement avec vous Fabrice.
01:32Les principales menaces, on les connaît aujourd'hui, les ransomware, on en parle souvent, la fuite de données.
01:36Il y a beaucoup aussi, on parle d'ingérence, de déstabilisation.
01:40Nous avons beaucoup de grosses attaques cet été, on ne va pas toutes les citer,
01:43mais c'est vrai que tous les deux, trois jours, on voyait des grandes marques, des grandes enseignes qui étaient piratées.
01:49Qu'est-ce qui ressort de tout cela selon vous ?
01:52Et puis, est-ce que le message qui est passé aujourd'hui à travers ces attaques,
01:56à travers le fait que l'on doit davantage se défendre, est-ce que ça passe bien au niveau des Comex ?
02:01Alors, déjà sur la première question, oui, il y a eu des attaques cet été évidemment,
02:05et des fuites de données malgré tous les efforts déployés.
02:10Alors, on constate en fait l'augmentation cybercriminelle spécialisée.
02:14On voit que toutes ces attaques sont souvent organisées par des organisations qui ciblent un secteur particulier,
02:19et je crois que c'est ça qui est aussi un petit peu nouveau, de plus en plus.
02:23Donc voilà, on a vu cette année, par exemple, le secteur du retail qui a été touché,
02:27en particulier au Royaume-Uni, Mark Spencer, Rhodes et d'autres enseignes.
02:32Alors, est-ce que les comités de direction, les comités exécutifs sont sensibilisés au risque cyber ?
02:38La réponse, bien sûr, est oui. Ils sont évidemment très sensibilisés.
02:42Alors, dans les grandes entreprises, beaucoup de mes homologues et moi-même avons l'occasion
02:46de rencontrer le comité exécutif, de leur parler du risque cyber.
02:50Je rappelle que le risque cyber est toujours classé dans le top 10 des risques par le World Economic Forum.
02:57Donc, c'est vraiment un sujet de préoccupation pour eux.
03:00Ce travail, il reste encore à perfectionner, évidemment, dans un certain nombre d'autres entreprises.
03:06On réussit à sortir un peu du discours technique ?
03:09Alors, effectivement, en fait, dans les grandes entreprises, on est plutôt sur les enjeux métiers
03:13et en quoi l'événement numérique peut impacter la stratégie de l'entreprise.
03:17On n'est pas du tout sur de la sensibilisation technico-technique sur des outils, etc.
03:23On parle vraiment du risque cyber.
03:24Ce qui a longtemps été le cas.
03:25Ce qui a longtemps été le cas, effectivement.
03:27Aujourd'hui, on est plus sur, par rapport à une stratégie édictée, effectivement,
03:32c'est de voir, est-ce qu'il y a un événement numérique ?
03:34Est-ce que cette stratégie va nécessiter du numérique ?
03:36Si oui, il y a un risque cyber et on l'explique.
03:38Alors, il y aura beaucoup de sujets du 8 au 11 octobre aux assistes de la cybersécurité.
03:45Il y a un sujet particulier, c'est la data, mise encore plus en évidence avec l'intelligence artificielle.
03:51C'est des données qui deviennent de plus en plus fragiles.
03:54Fragiles.
03:55Et justement, comme Fabrice le disait, dans un contexte de crise économique
03:59où la cybersécurité doit contribuer à l'apport pour les métiers, pour la productivité,
04:03comment freiner l'apport de l'IA qui doit aider à renforcer de plus les économies des organisations.
04:12Or, le problème est complexe et il y a vraiment des dilemmes.
04:14Parce que d'un côté, il faut effectivement contribuer à apporter par l'IA plus de productivité,
04:20aider la productivité.
04:21Mais de l'autre côté, il faut quand même regarder cette technologie avec les vulnérabilités qu'elle amène.
04:27Et surtout, ce qu'il faut vraiment tenir en compte, c'est que l'intelligence artificielle a énormément aidé nos attaquants.
04:36Les frappes sont d'une force inédite.
04:41Ils ont pu très vite maîtriser ces outils.
04:43Très rapidement.
04:44Parfois plus vite que dans les entreprises.
04:45Il faut apprendre justement par eux.
04:48Tu citais le World Forum Economic Center qui disait, vraiment cette année,
04:52qui citait 200 millions de dollars dépensés en perte de données sur les territoires américains.
05:01L'origine est quoi ? C'est des fraudes au président, les fausses attaques au président générées par l'IA.
05:09Donc le constat, il est vraiment encore tout récent, très impressionnant.
05:13Avec des attaques très structurées.
05:14Alors, autre sujet, Maria, qui fera partie des discussions au sein des assises de la cybersécurité,
05:20tout ce qui concerne les nouvelles directives réglementaires.
05:24On parle de Nice 2, mais dans l'univers des banques, il y a Dora.
05:28Alors, on se demande toujours si ces réglementations, elles vont bien répondre aux attentes.
05:33C'est une question qu'il faut se poser.
05:36Mais avant tout, il faut vraiment se rappeler qu'il faut saluer ces directives.
05:40Parce qu'elles aident nos organisations à évoluer dans la démarche de maturité de la cybersécurité.
05:46Nissan a démarré en 2016.
05:49Elle a concerné un premier cercle de structures.
05:52Avec Nice 2, on passe à l'étape supplémentaire.
05:54Oui, on dit entre 15 et 15 000.
05:56Ah ben, 15 000 sociétés et organisations concernées en France.
06:00Donc, c'est vrai, c'est énorme.
06:02Mais il faut passer par là.
06:04Et ce qu'il faut saluer, c'est surtout la volonté de l'Europe, de notre Union européenne,
06:08et apporter ces sujets de cybersécurité, non plus comme des sujets IT,
06:13mais vraiment à un niveau stratégique, de gouvernance,
06:16où on sensibilise justement nos dirigeants pour être en première ligne dans la lutte contre les attaquants.
06:21Donc, il faut saluer.
06:22Certes, j'avoue, la mise en œuvre n'est pas évidente, facile.
06:28Il y a un gros travail.
06:29Dans certaines entreprises, un groupement mousquetaire ou dans d'autres,
06:32il y a des structures de sécurité, mais il y a des plus petites entreprises,
06:36ça devient un peu plus compliqué.
06:37Le budget, les bonnes compétences aussi, c'est important.
06:40La taille de l'équipe.
06:41La taille de l'équipe, oui.
06:43Donc, certes, la mise en œuvre n'est pas facile, n'est pas évidente,
06:47mais le travail collectif doit être mené.
06:49On ne peut pas baisser les bras et ne pas suivre.
06:51À travers le CESA, je rappelle, ce groupement,
06:551 200 membres, 1 800 entreprises sont concernées.
06:57Il y a plein de sujets, plein d'études.
06:58Enfin, vous travaillez tout au long de l'année sur tout ce qui concerne cette cyber.
07:03C'est quoi le ressenti des RSSI par rapport à ces réglementations ?
07:07Est-ce qu'on en fait passer ?
07:10Qu'est-ce qu'il voudrait faire de plus ?
07:13Fabrice, vous voulez insister aussi sur le rôle des tiers de confiance.
07:17Oui, alors en fait, d'abord, la position du RSSI s'agissant de la directive NIS2,
07:23c'est qu'on considère que c'est une superbe opportunité
07:25pour élever la maturité du niveau cybersécurité des entreprises.
07:29Ça, on tient vraiment à le souligner.
07:32En plus, c'est normé, c'est une excellente directive.
07:36Ça peut donner, évidemment, plein d'opportunités, encore une fois,
07:39pour progresser et protéger les actifs de son entreprise.
07:43Donc, vraiment, nous, ce que l'on souhaite au niveau du CESA,
07:45et ce que l'on fait, c'est qu'effectivement,
07:47on essaye d'accompagner au maximum ce processus en travaillant.
07:49Finalement, on a été entendu par la commission parlementaire
07:53sur ce projet de loi de traduction de la directive NIS2,
07:57mais également d'Orin.
07:59On a créé aussi, au sein du CESA, des groupes de réflexion avec les RSSI
08:04pour savoir comment on allait mettre en œuvre, finalement, ces différents contrôles.
08:08Oui, qui est d'abord, c'est de collaboration, de fluidité.
08:10Exactement, sachant que vous avez des experts qui ont l'habitude d'être régulés,
08:16de mettre en œuvre des plans de contrôle,
08:18qui peuvent donner, finalement, des trucs et astuces
08:20à d'autres membres qui ont des tailles beaucoup plus modestes
08:23ou qui découvrent un petit peu le sujet.
08:25Donc, ça, c'est vraiment au cœur de nos sujets.
08:28Ensuite, effectivement, l'autre ressenti que l'on a,
08:31notamment au travers de la directive NIS2,
08:33c'est quand on regarde un petit peu dans le détail,
08:35parce que souvent, le diable se cache dans le détail.
08:37En fait, aujourd'hui, il y a encore beaucoup de questions
08:40qui vont mériter des réponses.
08:44Je vais vous prendre des exemples très concrets.
08:46Dans nos membres, on a des RSSI qui sont des RSSI de grands groupes.
08:50Qu'est-ce que ça veut dire ?
08:51Ça veut dire qu'ils ont plusieurs entités juridiques
08:53dans plusieurs pays de la communauté européenne.
08:56Ce qu'on s'aperçoit, c'est que les retranscriptions,
08:58puisque c'est une directive,
08:59les retranscriptions nationales de cette directive
09:02ne sont pas totalement les mêmes,
09:03selon que vous êtes en Italie.
09:05Il faut réussir à homogénéiser tout ça.
09:06Comment on essaye d'homogénéiser ?
09:08Ensuite, des questions très concrètes.
09:11Vous avez acheté un service SAS qui est en Irlande, par exemple,
09:15où vous contractez un service cloud en Irlande.
09:20Est-ce que c'est la loi irlandaise qui va s'appliquer ?
09:22Est-ce que c'est la loi française qui va s'appliquer ?
09:24Qui est habilité à contrôler ?
09:26Est-ce que l'autorité de contrôle irlandaise
09:29pourra faire confiance à l'autorité française
09:31si c'est la loi française qu'on applique ?
09:33Et réciproquement, il y a encore beaucoup de sujets à revoir.
09:37Alors, vous employez un terme de la confiance,
09:38justement, rapidement, Maria,
09:40c'est un sujet qu'on n'évitera pas non plus aux assises de la cybersécurité,
09:44autour de la souveraineté dans son sens large,
09:46parce qu'on peut parler de patriotisme technologique,
09:49de confiance numérique.
09:51Et puis, il y a encore beaucoup d'instabilité.
09:53Plus que dans les autres éditions,
09:55vraiment, je remarque cette croissance des préoccupations
09:58de la confiance numérique.
10:00C'est-à-dire que nos décideurs à Haïti,
10:02avant, ils achetaient tout d'abord pour la performance technologique.
10:07Ça n'est plus le cas, ça ne suffit plus.
10:09Aujourd'hui, nos décideurs vont demander,
10:11OK, tu es performant, mais où est-ce que tu mets ma data ?
10:14Où vont mes données ?
10:16Et non seulement où elles vont,
10:18mais quels sont les moyens de protection de ces données
10:21que toi, offreur de solutions, tu m'apportes quelle est cette confiance ?
10:26Donc, il y a beaucoup d'échanges, il y a beaucoup de travail à faire.
10:29Il y a vraiment cette question qui remonte
10:33dans un marché des offreurs de la cybersécurité,
10:37un marché qui est encore très dynamique,
10:39marqué énormément par les récompositions,
10:41par les fusions, par les rachats, encore,
10:44mais avec cette demande de plus en plus prédominante
10:47de la part du marché français et européen.
10:49Et bien évidemment, il y a beaucoup de travail encore
10:51pour la France, pour l'Europe.
10:53Ce que veulent les Français et les Européens,
10:55c'est des alternatives, en fait.
10:56Parce que, oui, les acteurs américains sont là,
10:58ils ont le plus des solutions performantes,
10:59il ne faut pas se cacher, mais voilà,
11:01c'est pouvoir avoir le choix.
11:02Exactement, c'est vraiment avoir le choix.
11:04C'est-à-dire qu'effectivement, aujourd'hui,
11:06pareil, si vous êtes dans une grande entreprise
11:09avec des filiales à l'étranger,
11:10vous avez des solutions,
11:12et même nous, d'ailleurs, en Europe,
11:14on est très contents d'avoir des solutions
11:16qui ne sont pas européennes.
11:17Effectivement, là, il y a, malgré tout,
11:20un contexte géopolitique qui fait qu'on se dit
11:23que ce serait bien d'avoir une alternative
11:24pour avoir un choix,
11:26et que cette notion, finalement,
11:29puisse devenir aussi un critère de choix
11:30qui, parfois, dans certaines entités,
11:32peuvent être publicités.
11:33Alors, je lisais, enfin, j'avais assisté,
11:37j'ai lu, pardon...
11:38Rapidement, il nous reste peu de temps.
11:39D'accord, mais très rapidement, en fait,
11:41un point qui était intéressant,
11:42c'était les rencontres économiques
11:44d'Aix-en-Provence du 4 juillet
11:46qui ont mis, effectivement,
11:48un certain nombre d'acteurs économiques
11:50qui ont annoncé la création
11:52d'un indice de résilience numérique
11:53et auquel le Cézain souhaiterait contribuer
11:55sur son volet cyber
11:56qui permet de mesurer, finalement,
11:58notre dépendance à une solution.
12:00En tout cas, on voit que c'est un sujet
12:01qui intéresse tout le monde.
12:02Un dernier mot, pour rester sur une note positive,
12:06Maria, donc...
12:07La collaboration, les échanges.
12:09Moi, je reviendrai sur le fait
12:10que le marché français de la cybersécurité,
12:12des décideurs, mais aussi des offreurs
12:14qui y sont, étant des marchés
12:15les plus performants en Europe,
12:17ne serait-ce qu'en Europe.
12:18Donc, il faut garder ce cap positif.
12:22Il faut rester vraiment
12:23dans une posture de confiance.
12:25On est bon, mais il faut être encore meilleur.
12:27Et pour y arriver, il faut être ensemble.
12:29Et un niveau de maturité qui augmente.
12:31Et un niveau de maturité qui augmente.
12:32Donc, effectivement, soyons collectifs
12:34et rendez-vous aux assises.
12:35Eh bien, voilà.
12:35Rendez-vous aux assises de la cybersécurité.
12:37C'est 8-11 octobre au Grimaldi Forum de Monaco.
12:40Merci à tous les deux.
12:41Maria Yacono, on vous retrouvera évidemment
12:43directrice des assises de la cybersécurité.
12:45Et Fabrice Brut, directeur de la cyber
12:48et des architectures pour groupements mousquetaires,
12:50président du CESAIN
12:51et coordinateur de la programmation des assises.
12:53À très bientôt pour un nouveau hors-série
12:55BFM Business sur la cybersécurité.
