- il y a 5 semaines
Ce mardi 16 décembre, Frédéric Simottel a reçu Eric Haddad, président exécutif de Numspot, Alix Mirshams, directeur marketing & achats chez Opteamis ; Vincent Gayrard, directeur des systèmes d'information et du numérique d’EDF Power Solution ; Pascal Le Digol, directeur France de WatchGuard Technologies ; Benoît Grunemwald, expert en cybersécurité chez Eset France ; Michel Juvin, ecosystem advisor chez Alliancy ; Adrien Merveille, directeur technique France de Check Point Software Technologies, dans l'émission Tech&Co Business sur BFM Business. Retrouvez l'émission le samedi et réécoutez la en podcast.
Catégorie
📺
TVTranscription
00:00BFM Business présente Tech & Co Business, le magazine de l'accélération digitale, Frédéric Simotel.
00:13Bonjour et bienvenue dans Tech & Co Business, on est ensemble pendant une heure sur BFM Business,
00:17on va parler de cloud de confiance avec le président de NumSpot.
00:20NumSpot, vous savez, c'est ce cloud qui est propriété de Docapost, de Bouygues Télécom,
00:25de la Banque des Territoires et de Dassault Systèmes, ils font une évolution majeure de leur plateforme,
00:30on en parlera dans un instant.
00:32On va revenir aussi sur les métiers, quels métiers pour une urbanisation du SI plus efficace,
00:37rapprocher l'IT du business métier, c'est avec notre partenaire Optimis,
00:42ils seront là, et avec le patron des SI et du numérique d'EDF Power Solutions,
00:47on verra comment tous ces métiers travaillent ensemble, et avec l'IT bien entendu.
00:51Et puis, deuxième partie d'émission, notre décryptage sur l'actu cyber,
00:56et là, il y a beaucoup de choses à dire, vous avez nos quatre experts,
00:59donc plein de sujets à partager avec vous.
01:00Allez, c'est tout de suite, restez avec nous, on est ensemble pendant une heure sur BFM Business.
01:07Et on démarre avec notre premier invité, Eric Haddad, bonjour.
01:12Bonjour.
01:13Eric, président exécutif de NumSpot, c'est la plateforme de cloud de confiance
01:17du groupe d'OkaPost, associé à Bouygues Télécom, à la Banque des Territoires,
01:21et à Dassault Systèmes, cloud public, respect des standards,
01:25alors bientôt, c'est que NumCloud, on va en parler.
01:28Tiens, je regardais alors dans votre parcours, Eric, vous avez participé au développement,
01:32même à la création de Google Cloud en France, c'est pendant dix ans, c'était 2011...
01:38À 2020.
01:392010 à 2021, voilà, après vous êtes allé chez IBM et aujourd'hui chez NumSpot.
01:43Qu'est-ce qui vous frappe le plus entre ces dernières années, le move to cloud,
01:47et puis là, en ce moment, ce que l'on vit, est-ce que c'est l'accélération,
01:51est-ce que c'est ces multiples technologies ?
01:53Qu'est-ce qui vous marque par rapport à quand vous êtes arrivé en 2010 ?
01:55Enfin, quand vous avez créé Google Cloud en France en 2010 ?
01:58Ce qui me marque, c'est au moins deux enjeux importants aujourd'hui,
02:03qui sont de constat.
02:06Premièrement, le géopolitique, donc il y a un changement géopolitique qui est majeur,
02:10et donc il y a une accélération, et le deuxième, c'est l'IA.
02:13Le fait, effectivement, d'avoir une accélération d'IA, des usages de l'IA,
02:16et donc intrinsèquement de la gestion de la donnée, donc de la donnée sensible,
02:20c'est un sujet aussi d'autonomie et de souveraineté numérique.
02:22Et c'est vrai qu'à l'époque, je me dis qu'en 2010, on lancait Google Cloud Platform,
02:26alors ça y est, on commence à peine à voir les Azure, à peine à voir AWS,
02:29on parlait surtout d'infrastructures, alors qu'aujourd'hui,
02:32c'est un vrai enjeu d'organisation des entreprises.
02:34Oui, c'est un vrai enjeu, c'est pour ça qu'on sort de notre nouvelle plateforme.
02:37On va y revenir.
02:38Voilà, je suis arrivé il y a neuf mois,
02:41donc on a travaillé d'arrache-pied pour sortir une nouvelle plateforme
02:43qui répond vraiment aux besoins des clients.
02:45Donc cette plateforme, elle a trois avantages.
02:47Le premier avantage, c'est de piloter la notion de confiance.
02:50On gère la confiance en fonction de la donnée, de la sensibilité à la donnée.
02:54Deuxième, c'est la portabilité.
02:55Donc on permet à nos clients de pouvoir bénéficier d'un service de type cloud souverain,
03:00donc en France, en Europe, d'un service de type cloud.
03:03Ça c'est grâce à l'effet open source ?
03:05On a développé la plateforme en open source, effectivement.
03:08Donc ça nous permet d'assurer un niveau d'autonomie numérique pour les clients,
03:12ce qu'on appelle la résilience dans les entreprises.
03:13Donc là, on l'assure.
03:14J'ai dit justement que vous assistez beaucoup sur le côté pilotage du cloud.
03:18Ça veut dire quoi, pilotage du cloud ?
03:19C'est plus la notion de confiance, donc c'est la confiance et la portabilité.
03:24Le fait qu'effectivement, les clients peuvent pouvoir bénéficier en débordement,
03:28donc l'usage du cloud public, d'accord, avec des niveaux de confiance différents
03:32en fonction de la sensibilité des données, mais aussi la modernisation de son infrastructure.
03:36Les clients, ils ont fait des investissements.
03:38On va pas leur dire, on remplace tout.
03:39Oui, bien sûr.
03:39Donc ils peuvent bénéficier de services, et c'est ça qu'on offre en fait en plus,
03:43en complément, des services managés, donc des services qui sont pilotés et gérés
03:47par du spot, de type IA, donc des agents, des modèles, des bases de données,
03:53différents services open source, entre guillemets,
03:56donc qui permettent effectivement d'assurer une réversibilité pour les clients,
03:59et donc une autonomie et une résilience.
04:00Et alors, Éric, à la fois que vous nous expliquez un petit peu aujourd'hui aussi,
04:04l'architecture de ce NumSpot, le partage entre Booktélécom, Dassault Systèmes,
04:11DocaPost, comment ça se situe, où sont les sites un peu sur lesquels repose ce cloud ?
04:18Alors, la plateforme NumSpot, elle est produite, elle est construite, développée
04:23sur l'infrastructure de HowScale, qui est là, d'Assault Systèmes.
04:28Donc, l'avantage d'avoir des actionnaires supportifs, solides,
04:33permet d'avoir le long terme, on a le long terme.
04:35En même temps, on est une scallop, une centaine de personnes,
04:3970% d'ingénieurs, très engagés.
04:42Cette année, on a recruté plus de 50 personnes, essentiellement des ingénieurs,
04:46très techniques, d'un très haut niveau, sur les sujets du cloud,
04:49de type Kubernetes ou la data, il y a, ça nous permet d'apporter
04:53un haut niveau de technicité et d'innovation pour nos clients.
04:55Alors, j'ai rencontré plusieurs DSI récemment,
04:58quand on leur parle cloud aujourd'hui, ils me répondent.
05:01Alors, leur question autour du cloud, c'est souveraineté,
05:04hybridation, FinOps, GreenOps.
05:06Est-ce que c'est des thèmes que vous retrouvez aussi ?
05:09Oui, c'est finalement la plateforme, c'est ce qu'elle apporte.
05:11Elle apporte le pilotage, effectivement, de l'hybridation,
05:14puisqu'en fait, on peut se porter sur différents types d'infrastructures,
05:18y compris celles des clients, tout en assurant nos valeurs,
05:21nos valeurs de souveraineté.
05:22Il ne s'agit pas de se porter sur des infrastructures qui ne sont pas souveraines,
05:25qui ne pourraient pas apporter à la résidence.
05:28Et en même temps, on apporte la simplicité, la protection et la liberté.
05:32D'accord.
05:32Et les critères GreenOps, aujourd'hui, c'est quelque chose en GreenOps,
05:36donc voilà, autour de la gestion un peu, l'empreinte carbone de tout ça,
05:39c'est un critère qui devient important ?
05:40C'est un critère important, effectivement,
05:42et c'est souvent lié à l'infrastructure sous-jacente.
05:44Et après, effectivement, vous avez mentionné le FinOps,
05:47effectivement, tout ce qui est prédictibilité,
05:49la prévision des coûts et des achats,
05:52on sait que ça a apporté un certain nombre de folies sur le cloud public,
05:56notamment celui des GAFAM.
05:57Je pense que nous, en fait, ce qu'on apporte,
05:59c'est effectivement cette simplicité d'utilisation
06:01et la capacité à gérer, en fait,
06:03les coûts et les usages, en fait, des clients,
06:06des entreprises et des clientes.
06:08Alors, et pour être une plateforme IARIDI,
06:10il faut aussi avoir des partenaires nombreux dans l'IA.
06:11Alors, quels sont vos liens, vous, aujourd'hui,
06:13avec les éditeurs des principales plateformes de LLM
06:17et puis même avec d'autres types de partenariats ?
06:20C'est un point important.
06:21Ça fait partie de l'évolution, en fait, de la plateforme.
06:23Ce qu'on veut, c'est être une plateforme horizontale
06:25par rapport à la plupart des acteurs qui sont très verticalisés
06:28et qui apportent quelque chose d'enfermant, quelque part,
06:31puisqu'en fait, de l'infrastructure jusqu'au service d'IA, etc.,
06:37on est verticalisés.
06:38Nous, on apporte l'horizontalité.
06:39Donc, effectivement, une plateforme
06:41qui intègre un centre de services,
06:43et ces services d'IA, de modèles, d'agents, etc.,
06:45ils sont assez diverses.
06:46Parce qu'entre un modèle pour, je prends un exemple,
06:49les notaires, ou un modèle pour l'industrie d'oblue,
06:52c'est pas forcément le même industriel, en fait,
06:54qui est capable d'y répondre.
06:55Et donc, vous allez proposer à la fois du OpenAI,
06:59du Mistral, c'est ça l'idée ?
07:02Nous, ce qu'on va apporter, c'est de l'open source,
07:05premièrement, plus souvent.
07:06Et généralement, les acteurs avec lesquels, effectivement,
07:08on va collaborer.
07:10On a un centre d'accords qui sont en cours, d'accord ?
07:12On les annoncera plutôt sur le premier trimestre.
07:14Ils sont plutôt européens.
07:18D'accord.
07:19Aujourd'hui, face à la concurrence,
07:21qu'est-ce que vous cherchez à montrer ?
07:22Parce qu'évidemment, il y a une forte concurrence
07:24face aux grands hyperscalers.
07:25Alors, le côté hybride permet d'avoir, peut-être,
07:28une partie chez ces hyperscalers,
07:29et basculer une partie parce qu'on la veut plus souveraine.
07:32C'est cette carte-là que vous jouez aujourd'hui ?
07:34Oui.
07:34Ce qu'on veut faire, c'est surtout pas être en frontal
07:39et en affrontement entre les investissements des clients
07:43sur certains acteurs,
07:45et puis ce que nous, on peut apporter, en fait,
07:47pour apporter la résilience, de la confiance,
07:49la liberté de choix et la protection.
07:51Donc, l'idée, c'est plutôt de compléter.
07:53Compléter, c'est-à-dire apporter des choses
07:54soit en coexistence, soit de façon intérieure,
07:57en hybridation avec l'environnement du client.
07:59Eh bien, merci, Eric Haddad, d'être venu parler de tout ça,
08:01donc président exécutif de NumSpot,
08:03avec l'évolution de la plateforme Evolution Majeur.
08:06Eh bien, évidemment, on suivra ça,
08:07et puis on attendra les signatures
08:09avec de nouveaux partenaires dans les jours qui viennent.
08:11On marque une courte pause et on se retrouve juste après.
08:14Tiens, il y aura un des patrons de DF qui sera avec nous,
08:17de DSI, de DF, EDF pour solutions.
08:19On va parler référencement, on va parler recrutement.
08:22C'est tout de suite.
08:23BFM Business Partenaires
08:25Tech & Co-Business, la chronique expert.
08:29Allez, on va parler avec nos deux experts du jour
08:33pour quel métier, quelle fonction
08:35pour une urbanisation du SI plus efficace.
08:38On va en parler avec Vincent Guérard.
08:40Bonjour, Vincent.
08:40Bonjour.
08:41Merci d'être avec nous.
08:41Vous êtes directeur des systèmes d'information
08:43et du numérique d'EDF Power Solutions.
08:46C'est la nouvelle, on peut dire nouvelle ?
08:47Oui, tout à fait, de nouvelles filières.
08:48D'EDF, rapprochement entre l'ancienne direction internationale d'EDF
08:52et puis la partie renouvelable.
08:54Donc, vous construisez, exploitez, développez
08:56tous les moyens de production d'énergie renouvelable à carbone.
08:59On va en reparler un instant
09:00parce qu'évidemment, le système d'information,
09:01il est clé au cœur de tout ça.
09:03Et avec nous, Alix Mirchand.
09:04Bonjour, Alix.
09:05Bonjour, Frédéric.
09:05Merci d'être avec nous, directeur marketing et achat d'Optimis.
09:08Optimis qui met en relation justement cette plateforme
09:10entre ceux qui cherchent des ingénieurs, des développeurs,
09:13des techniciens, des chefs de projet
09:14et puis ceux qui ont ces postes à proposer.
09:18Et justement, Optimis, c'est là,
09:19c'est combien de postes qui circulent à peu près ?
09:21C'est plus de 500 missions par mois.
09:23Plus d'un milliard d'euros de flux d'achats par an sur la plateforme.
09:27Donc, ça fait beaucoup de profils.
09:29Alix, alors justement, on a pris l'habitude avec Alix
09:31de se voir régulièrement
09:32parce que justement, toutes ces données récupérées sur la plateforme,
09:35ça permet de voir un peu un baromètre
09:37sur les fonctions, sur les technologies les plus recherchées.
09:42Alors, on voit qu'il y a une petite tension.
09:45Là, je voyais plus de 13% des profils disponibles en moins
09:47et alors que les entreprises ont des besoins qui augmentent de 10%.
09:50Donc, nouvelle tension des marchés.
09:52Tout à fait, nouvelle tension.
09:53Mais surtout, ce qui est important de dire,
09:55c'est que sur ces deux dernières années,
09:572024-2025,
09:58le secteur des achats de prestations à été
10:00était quand même en difficulté,
10:01beaucoup de turbulences.
10:03C'est la première fois en deux ans
10:05qu'on a un signal vert.
10:07Donc, la reprise des besoins,
10:0810% de hausse là sur le dernier trimestre,
10:11le troisième.
10:12On pense que Q4 va se confirmer.
10:14Donc, premier signe au vert.
10:16Et donc, forcément,
10:17reprise des tensions entre l'offre et la demande,
10:20pénurie sur certaines compétences,
10:21data, cyber, etc.
10:23On en parlera un petit peu après.
10:24Justement, parce qu'on va essayer d'expliquer cette tension,
10:26justement, c'est ça qui est intéressant.
10:28Parce que si on regarde de près,
10:30on peut regarder par secteur,
10:33on peut regarder par spécialité,
10:35et puis on peut regarder par techno, par fonction.
10:37Et là, on comprend un peu mieux ce qui se passe.
10:39Tout à fait.
10:39Donc, effectivement, en combinant les filtres,
10:41d'ailleurs, ces filtres, je vous le dis,
10:43sont accessibles sur notre site web,
10:44le baron de Traiti, interactif.
10:46Vous pouvez vous amuser à regarder.
10:49Effectivement, sur les spécialités
10:51data, business, intelligence,
10:53dans le top 3 avec DevOps,
10:54exploitation, transformation, gestion des projets,
10:57dans le top 3 des spécialités les plus demandées,
11:00les techno, forcément, correspondent.
11:03Python, l'engagement de l'IA par excellence.
11:06Le Jira pour le suivi des projets
11:08et toujours le Java qui est là, dans le top 3.
11:11Et on a bien besoin, toujours besoin de développeurs, c'est ça ?
11:13Toujours besoin de développeurs.
11:14D'ailleurs, on a 17% de hausse sur le dernier trimestre.
11:17On a aussi besoin, dans le top 3,
11:19de chefs de projets et de business analystes.
11:21Ce qu'il faut savoir, c'est que le binôme IT business
11:24est de plus en plus présent dans les DSI.
11:28Vincent, vous le voyez,
11:29c'est parce qu'on a toujours dit,
11:30bon, l'IA va beaucoup aller accompagner
11:31le métier des développeurs.
11:32En fait, oui, elle ne va pas le remplacer.
11:35Plutôt les assister.
11:36Enfin, j'imagine, dans vos équipes,
11:38c'est comme ça que vous voyez.
11:38Oui, moi, j'ai effectivement une phrase
11:41qui revient régulièrement,
11:42c'est l'IA est en accompagnement
11:44des métiers en général.
11:47Il y a une phrase qui est de dire,
11:49ne te pose pas la question de savoir
11:51si tu vas être remplacé par l'IA,
11:52mais si tu vas être remplacé par quelqu'un
11:53qui sait utiliser l'IA.
11:54Qu'est-ce que ça veut dire ça ?
11:55Ça veut dire que l'IA,
11:56on doit la mettre au service de nos métiers,
11:59au service de ceux qui ont besoin
12:01pour plus d'efficacité,
12:02et ça ne va pas remplacer,
12:03effectivement, les métiers.
12:05Et pour ça, on a une charte.
12:06Et donc, pas étonné de voir ces chiffres.
12:08On recherche des gens de la data,
12:09des gens dans des développeurs,
12:11des gens dans le Python,
12:13dans la business intelligence,
12:14et tout ça.
12:15D'ailleurs, si on regarde juste
12:17le prix de taux journalier moyen,
12:19donc c'est un peu le tarif,
12:20c'est plus 30%,
12:21ça explique cette tension.
12:22Sur la data au troisième trimestre,
12:2430% de hausse,
12:25donc pour donner les chiffres concrets,
12:27614 euros hors taxes par jour
12:28pour un spécialiste data.
12:30Après, attention,
12:31un spécialiste data au sens large,
12:33parce qu'il y a le senior,
12:33il y a le junior,
12:34il y a le data analyst,
12:35le data scientist, etc.
12:3630% de hausse,
12:37en moyenne, c'est énorme.
12:3923% de hausse
12:40à 675 euros hors taxes jour
12:42sur des experts sécurité,
12:45compliance et paiements.
12:47On constate quand même une baisse
12:48dans le focus qu'on fait
12:49sur nos tarifs,
12:51une baisse de 15%
12:52à 470 euros hors taxes jour
12:54pour la famille de spécialité
12:56méthode, qualité et test.
12:58Alors justement,
12:58on va parler un peu
12:59de voir comment vous voyez
13:01un peu l'évolution de ces métiers,
13:02Vincent Guérard,
13:03chez EDF Power Solutions.
13:05Donc vous avez déployé
13:06un nouvel modèle opérationnel
13:09sur deux piliers,
13:10le renforcement de la prescription
13:11pour correspondre au standard numérique
13:14de votre maison mère, EDF,
13:16et puis la décentralisation
13:17des opérations IT.
13:18Vous, je parlais en ouverture,
13:20une urbanisation SI plus efficace
13:22et vous, il faut forcément
13:24un binôme entre un architecte IT
13:27et un business partner.
13:28Oui, c'est-à-dire qu'effectivement,
13:30la création de EDF Power Solutions
13:32a nécessité d'avoir un SI
13:35qui soit harmonisé,
13:37parce qu'on avait deux SI différents,
13:38un SI de EDF Renewal
13:39qui était plutôt centralisé
13:40et celui de la direction internationale
13:42qui était plutôt autonome
13:43par plaque géographique.
13:45Et donc, en réunissant ces deux SI,
13:46on a effectivement...
13:48Ça, ça fait combien de temps
13:48à peu près pour arriver ?
13:49Alors ça, c'est toujours en cours.
13:53Les intégrations sont toujours en cours.
13:55C'est 18 mois facilement de...
13:58On rappelle, c'est 31 gigawatts
13:59de capacité installée en exploitation
14:01en France et dans le monde.
14:02En France et dans le monde,
14:03dans une vingtaine de pays,
14:04tout à fait, oui.
14:05Alors justement,
14:06ce lien entre métier,
14:07architecteur, IT,
14:08parce que c'est vrai,
14:09c'est l'idéal quelque part
14:10pour un DSI,
14:11mais c'est compliqué quand même
14:12à mettre en œuvre.
14:13C'est ça.
14:13C'est-à-dire qu'il faut toujours
14:14trouver le bon équilibre
14:15entre l'optimum global
14:16et l'agilité et l'efficacité locale.
14:19Et donc, l'architecte, lui,
14:20il va être garant, effectivement,
14:21d'un optimum global
14:22et il va travailler avec l'IT métier.
14:24On a des IT business partners
14:26qui sont dédiés par métier.
14:28Et en travaillant sur cette urbanisation,
14:30cette rationalisation du SI,
14:32on va réussir justement
14:33à trouver ce bon équilibre.
14:35En lien avec, évidemment,
14:37les managers
14:38des différents départements
14:39de l'ADSI
14:40qui, eux, conçoivent
14:41et déploient et délivrent
14:43et exploitent les services.
14:44Vous parlez des IT business métiers,
14:45c'est-à-dire que c'est des gens
14:46qui ont un passé plus IT
14:49et qui sont devenus
14:51une espèce de métier
14:51ou il y a les deux ?
14:52Il y a les deux.
14:53Il y a les deux.
14:53Ils ont dédié plutôt
14:55à un métier,
14:56à une business unit
14:57et ils travaillent justement
14:58avec l'architecte
14:59et lui, plutôt par discipline,
15:02on va dire, de l'IT
15:03et avec, évidemment,
15:06l'ensemble des départements
15:08de l'ADSI.
15:08Alors, je le disais,
15:09un renforcement de la description
15:10en cohérence,
15:11évidemment,
15:13l'ensemble du groupe,
15:13ce qui nous paraît logique.
15:15Décentralisation
15:16des opérations IT
15:17de proximité,
15:19ça, c'est parce qu'il faut
15:20savoir gérer ça ensuite
15:21parce que c'est bien
15:22d'avoir cette agilité,
15:24d'avoir des gens
15:24au plus proche des métiers,
15:25au plus proche des plaques
15:26géographiques,
15:27puisque vous êtes aussi
15:28à l'international,
15:29mais en même temps,
15:30que tout le monde réponde
15:31au même niveau,
15:32avance au même rythme,
15:33surtout là, aujourd'hui,
15:33on parle beaucoup
15:34d'intelligence artificielle.
15:35Comment ça se passe ?
15:36Justement, les deux
15:37ne peuvent pas aller
15:38l'un sans l'autre,
15:39c'est-à-dire qu'on renforce
15:40un cadre prescriptif,
15:41on le rend plus clair,
15:42et ça permet effectivement
15:43à des équipes IT
15:45qui étaient, je vous le disais,
15:46en autonomie plutôt
15:46dans les métiers,
15:47dans les pays, pardon,
15:48de pouvoir justement opérer,
15:50et ça, pour ça,
15:51on va les former
15:52à notre environnement,
15:54à nos outils,
15:54à nos méthodes,
15:55et ils vont pouvoir,
15:56eux, directement opérer
15:58au plus près des utilisateurs
16:00pour plus d'agilité,
16:01de proximité,
16:01au moindre coût.
16:02Tout ça,
16:03on essaye de trouver,
16:04encore une fois,
16:05l'optimum
16:06entre l'optimum global
16:08et l'efficacité locale,
16:10et cette agilité-là,
16:12ça nécessite,
16:13pour les managers
16:14et les experts
16:15qui, eux,
16:15sont plutôt
16:16dans l'équipe centrale,
16:17les experts cyber,
16:19les experts applicatifs,
16:20eux,
16:21il faut qu'ils animent
16:22davantage qu'avant
16:23une communauté d'experts.
16:24C'est ça,
16:24c'est ce qui est en train
16:25de changer.
16:26Ça veut dire,
16:26Alix,
16:27sur les profils
16:27recherchés,
16:29demandés,
16:30aujourd'hui,
16:30c'est plus complexe
16:31de définir un peu
16:32son rôle,
16:33parce que je suis
16:35un responsable cyber
16:36et aller marquer
16:37sur une note de mon CV
16:38que je suis animateur
16:38de communauté,
16:40je n'y pense pas forcément.
16:41Non, effectivement,
16:42et c'est pour ça que nous,
16:43en tant que plateforme,
16:43on développe des agents
16:45IA qui vont pouvoir
16:46améliorer ce match
16:47qui devient de plus en plus
16:49complexe.
16:49Que ce soit côté
16:50donneur d'ordre
16:51ou que ce soit
16:51celui qui vient déposer
16:52ou les entreprises
16:53qui viennent déposer
16:54d'ordre.
16:54Effectivement,
16:55on commence à mettre
16:55à disposition
16:56de véritables agents IA
16:57qui vont pouvoir définir
16:58en toute intelligence
16:59une fiche de poste
17:02et en face
17:02le dossier de compétences
17:03qui correspond.
17:04Ça, c'est quelque chose
17:05de nouveau, Guillaume,
17:06je reviens là-dessus
17:06parce que le métier
17:07de manager,
17:08ce métier d'expert,
17:09alors l'expert,
17:09on le voit plutôt pointu
17:10dans un domaine
17:11et puis voilà,
17:12j'avance
17:12et on vient me consulter
17:13de temps en temps
17:14mais ce côté animation
17:15de communauté,
17:16on transforme un peu
17:18le mindset
17:19même de ces experts-là
17:20qui sont,
17:21moi j'en connais pas mal
17:22dans l'IT
17:22où j'en ai connu
17:23dans une carrière précédente,
17:24ils sont focus
17:25sur une techno,
17:26focus sur des projets,
17:27ils avancent très vite
17:28et alors animer des communautés,
17:29il faut les faire évoluer.
17:31Ça nécessite effectivement
17:32déjà de nouer
17:33une relation de confiance,
17:34encore une fois
17:34de rappeler le cadre,
17:36de se nourrir aussi
17:36des expériences
17:37des deux côtés
17:38et de pouvoir être capable
17:40d'entendre aussi
17:40toutes les innovations
17:41qui seront prises
17:42qui peuvent être prises
17:43en local.
17:44Quand vous avez
17:45des équipes IT en Inde,
17:47en Inde,
17:47ils vous expliquent,
17:47ils savent ce que c'est
17:48que le développement
17:48informatique.
17:49Voilà,
17:50donc il faut les écouter
17:51et il faut aller regarder
17:52ce qu'ils font
17:53et pouvoir intégrer
17:54et l'industrialiser
17:55si c'est pertinent.
17:56Alors vous êtes,
17:58Vincent Garra,
17:58je rappelle,
17:59un des SI
17:59et patron des systèmes
18:00d'information du numérique
18:01EDF Power Solutions,
18:02donc un univers quand même
18:03d'ingénieurs,
18:04mais est-ce que vous sentez
18:05qu' l'IA est en train
18:06de changer les choses
18:06aussi,
18:07on n'est plus,
18:07notamment dans l'IT,
18:08on n'est plus obligé
18:09d'être un,
18:10bon oui,
18:10si on connaît Python
18:11et tout,
18:12tant mieux,
18:13mais on n'est plus obligé
18:14de connaître à fond
18:15certaines technos,
18:16on peut être assisté
18:17par l'IA
18:17et ça c'est un peu
18:18en train de changer
18:19les profils
18:19que vous pourrez rechercher
18:21à l'avenir.
18:23Alors je dirais,
18:23il y a deux choses,
18:24il y a une hyper technologie
18:25quand même sur l'IA
18:26en elle-même
18:26et la mise en disposition
18:27justement des solutions
18:28et des portails,
18:30là aussi on s'inscrit
18:31dans la stratégie
18:32du groupe EDF
18:32et là il faut une compétence,
18:35mais c'est vrai
18:35que l'IA,
18:36alors il y a l'IA
18:38il faut qu'on déroule
18:40et qu'on accélère
18:42sur l'IA
18:42vraiment au service
18:43des métiers
18:43et pas seulement une IA
18:44qui va vous aider
18:44à faire vos emails
18:45mais qui va s'intégrer
18:47dans les différents processus métiers
18:48et effectivement
18:49vous avez abordé
18:50le sujet de l'IA
18:50pour l'IT elle-même,
18:51on est en train de regarder ça
18:52pour rendre la DSI
18:53plus performante.
18:54Nos développeurs
18:55utilisent déjà largement l'IA
18:57mais il faut qu'on regarde
18:58comment l'IA
18:59peut davantage s'intégrer
19:00dans les métiers d'une DSI
19:01pour qu'elle soit plus performante.
19:02Oui, puis quand vous disiez
19:03ce lien entre les métiers
19:04l'IT,
19:05les métiers
19:06et le pur IT,
19:08c'est peut-être l'IA
19:09qui peut faire ce lien
19:10entre tout ça.
19:12Alors, elle peut.
19:14Enfin, en assistant davantage.
19:15C'est ça, c'est ça.
19:16C'est vraiment en assistant
19:17sur l'ensemble des processus
19:19et des interactions
19:20qu'on peut avoir effectivement.
19:22Ça change les profils
19:24quand on voit ces profils métiers
19:26et tout ça.
19:26C'est ça qui va apporter Optimis.
19:28C'est de dire aussi
19:29entre autres
19:30de trouver des missions
19:31et de répondre aux appels d'offres
19:32mais de montrer,
19:33d'aider les gens aussi
19:34à canaliser un peu leur...
19:37Absolument.
19:37Nous, l'IA
19:38comme nos confrères,
19:39d'ailleurs,
19:39on l'utilise de plus en plus
19:40en tant qu'agent.
19:41On dit même que l'année 2026
19:43sera l'année agentique.
19:44Oui, l'année agentique.
19:45Nous, on est à fond dedans.
19:46Effectivement,
19:47l'objectif,
19:48et non pas de remplacer
19:49nos experts sourcing
19:51qui vont aller staffer
19:52le bon profil,
19:53mais de les aider
19:54à mieux comprendre
19:55un besoin,
19:56un cahier des charges
19:57et en face,
19:58le candidat,
19:59le fournisseur,
20:00aussi,
20:01de pouvoir mieux se positionner
20:02sur le marché
20:02avec énormément de data
20:04et tout ça,
20:05c'est fait avec des agents IA
20:06qui vont leur permettre
20:07effectivement d'aller plus vite
20:07et mieux.
20:08Je pense qu'en deux ans,
20:09ça a complètement changé
20:09à la façon dont on présente
20:10à la fois une offre
20:11et à la façon dont on présente
20:12les profils se présentaient.
20:14Merci à tous les deux.
20:15Alix Mircham,
20:16directeur marketing,
20:17HH et Optimis.
20:18Et Vincent Guérard,
20:19merci d'avoir été avec nous,
20:20directeur des systèmes
20:20d'information et du numérique
20:21EDF Power Solutions.
20:23Donc, réunion pour ceux
20:24qui ne nous avaient pas entendus
20:25au début
20:26de la direction internationale
20:28d'EDF
20:28et d'EDF Renouvelable.
20:30Donc, voilà,
20:30une DSI de combien de personnes
20:31aujourd'hui ?
20:32Notre DSI,
20:33on est 140 salariés centrales
20:35et on va dire que worldwide,
20:37on est un peu plus du double.
20:38Oui, voilà,
20:38avec toutes les entités
20:39à travers le monde.
20:40Merci d'avoir été avec nous
20:41tous les deux.
20:41Allez, on marque une courte pause
20:42et on retrouve nos experts.
20:43Cette semaine,
20:44on fait le décryptage
20:45de l'actu cyber.
20:46C'est tout de suite
20:46sur BFM Business.
20:53BFM Business présente
20:54Tech & Co. Business,
20:56le magazine de l'accélération digitale.
20:59Frédéric Simotel.
21:00Voilà, bienvenue dans la deuxième partie
21:02Tech & Co. Business,
21:03l'accélération digitale
21:04et l'accélération en cyber aussi
21:05parce que là,
21:06j'allais dire,
21:07il ne se passe plus un jour
21:08mais il ne se passe plus
21:09même une demi-journée
21:10sans qu'on apprenne plein de choses
21:11sur la cybersécurité.
21:12On va en parler
21:13avec nos experts.
21:14Michel Juvin,
21:14Écosystème Advisor
21:15chez Alliancy.
21:16Bonjour.
21:16Bonjour.
21:17Michel, merci de être avec nous.
21:18Benoît Grunemwald,
21:19expert en cyber-securité
21:20chez ISEF France.
21:20Bonjour.
21:21Bonjour.
21:21Benoît.
21:22Pascal Ledigold,
21:23directeur France
21:23de WatchGuard Technologies.
21:24Bonjour.
21:25Et Adrien Merveille,
21:26directeur technique franche
21:27Checkpoint Software.
21:28Bonjour.
21:28Bonjour.
21:29Adrien.
21:30Messieurs,
21:30c'était il y a quelques jours
21:31le vol de données
21:32de la Fédération Française de tir.
21:33Alors qu'on se dit
21:34oui à un vol de données de plus.
21:35Mais moi,
21:35ce que je trouve intéressant
21:36pour revenir là-dessus,
21:37c'est qu'on est vraiment
21:38entre ce lien du numérique
21:39et du physique.
21:40Parce que que font
21:41les pirates avec ça ?
21:42Ils ont récupéré les datas,
21:44ils ont revendu ça
21:45à quelqu'un
21:46et ils s'en servent pour quoi ?
21:47Pour que des vrais escrocs,
21:49des vrais bandits,
21:51pour le coup,
21:52aillent chez les personnes
21:53en question
21:54et puis voient
21:54s'il n'y a pas des armes
21:55à récupérer.
21:56Donc là,
21:56on voit vraiment ce lien
21:57entre numérique
21:59et...
22:00Enfin,
22:01cette vie numérique
22:02et vie physique.
22:04Pascal,
22:04j'ai marre avec toi.
22:05Ça nous rappelle
22:05que les attaques cyber,
22:07c'est pas que des vilains russes
22:08ou nord-coréens
22:09qui...
22:10Mais c'est pour ça
22:10que je voulais...
22:11Ça nous touche
22:11dans notre vie
22:12de tous les jours.
22:12Donc effectivement,
22:13c'est important
22:15de le noter.
22:17Ça pose aussi la question
22:18sur ce type de cible.
22:20Parce que c'est une fédération
22:21sportive,
22:22alors avec un sport
22:23un peu particulier
22:24qui a un impact important
22:26parce qu'on a vu
22:26des vols d'armes
22:27qui ont suivi.
22:28Mais ça pose quand même
22:29la question de manière
22:29un peu plus générale
22:30aussi sur ces fédérations
22:31qui ont un impact
22:32sur la vie de tous les gens.
22:34parce que là,
22:35on n'est plus sur
22:38de l'attaque d'entreprise,
22:39sur de l'attaque
22:40qui a un impact
22:41sur la vie des gens.
22:42Oui,
22:42mais c'est ce que je trouve
22:43intéressant, Benoît,
22:44sur ce sujet-là,
22:45c'est qu'au départ,
22:46on se dit
22:46« Ah ben oui,
22:47les malheureux,
22:48une petite fédération
22:49qui se fait... »
22:49Mais on voit que
22:50toc, toc, toc,
22:51d'impact en impact,
22:52on en arrive à peut-être
22:53des gens qui vont être...
22:55On entend des tirs
22:56ou des morts
22:57dans des grandes villes françaises.
23:00Finalement,
23:01tout ça peut être lié.
23:02C'est ça que je trouve
23:03important de souligner.
23:03Oui, alors moi,
23:04ça frappe tout le monde.
23:06Exactement.
23:06Alors, ça m'amène,
23:07moi, deux questions.
23:07La première,
23:08c'est habituellement,
23:09quand on a une fédération
23:10française de sport
23:10qui est tamponnée,
23:12dont les données fuites,
23:13ça touche à la fois
23:14des personnes âgées,
23:16mais ça peut également
23:17toucher des jeunes.
23:17Je pense à la fédération
23:18française de football,
23:20par exemple,
23:20où on a un certain
23:21nombre de jeunes.
23:21Et la plupart du temps,
23:22les attaques restent numériques.
23:23Donc, on est sur des hameçonnages,
23:25on est sur des tentatives
23:26des scroqueries.
23:26Et effectivement,
23:27on n'a généralement
23:29personne qui vient frapper à la porte
23:30pour nous voler des paires
23:30des scroqueries.
23:31On va essayer de leur vendre
23:32des billets de foot.
23:33Exactement.
23:34Et là,
23:34avec cette fédération française,
23:36on voit qu'il y a un lien
23:37potentiel extrêmement fort
23:38avec la vie réelle.
23:40On peut aussi quand même
23:41se poser la question
23:42sur l'approvisionnement
23:43en armes.
23:44Parce que,
23:44est-ce que c'est cette fédération
23:45qui va approvisionner
23:47des mafias ou des cartels ?
23:49Bon, la réponse
23:49n'est peut-être pas
23:50aussi franche que ça.
23:51Il y a certainement
23:51des réseaux qui permettent
23:52de s'approvisionner en armes,
23:54beaucoup plus,
23:54peut-être simplement,
23:55que d'aller taper à la porte
23:57de toutes les fédérations.
23:58Oui,
23:58on a vu après des escroqueries
24:00qu'il y a quelqu'un
24:00qui se présente au domicile
24:01d'un licencié de cette fédération
24:03en disant
24:03« Bonjour,
24:04je suis le commissaire,
24:04truc chouette,
24:05je viens voir si vos armes
24:06sont bien certifiées. »
24:07Puis la personne se dit
24:08« Oui, il me connaît,
24:09un peu d'ingénierie sociale,
24:10il connaît mon nom,
24:11mon adresse,
24:11il sait que je suis au club
24:12de je ne sais quoi. »
24:13Et hop,
24:14on se retrouve dans l'équivalent
24:16finalement de la fraude
24:17au faux conseiller bancaire.
24:18C'est-à-dire qu'on part
24:18du tout numérique
24:19à quelque chose
24:20qui est lié à une personne.
24:22Alors pour la fraude
24:23au faux conseiller bancaire,
24:24on a des appels téléphoniques
24:25donc il faut quand même
24:26déjà avoir certains aplombs
24:27pour les faire
24:27et maîtriser le sujet.
24:28Et là,
24:29on va dans une confrontation
24:31dans le monde réel
24:32et donc il faut encore plus
24:34d'aplombs
24:35et de qualités
24:37pour pouvoir le faire.
24:38Bon,
24:38je ne suis pas sûr
24:38que ça soit industrialisé
24:39autant que ça puisse l'être.
24:41Mais voilà,
24:41c'était ce lien.
24:42Moi,
24:42je trouvais un peu intéressant
24:43de revenir dessus.
24:45Quelques bonnes pratiques
24:46quand on a la corruption
24:47de données privées
24:47comme ça, Adrien ?
24:48Alors,
24:48vous l'avez dit,
24:49le danger ici,
24:50c'est qu'on a
24:51des volumes de fuites
24:52de données
24:52qui sont tellement grosses
24:53qu'on a des groupes
24:55d'attaquants maintenant
24:55qui font du profiling
24:56sur les victimes.
24:57C'est-à-dire qu'on va agréger
24:59les différentes fuites
25:00de données
25:00sur une personne
25:01et on va vendre
25:02une fiche très précise.
25:03C'est vraiment
25:04le harponnage.
25:06Exactement.
25:06Donc les tentatives
25:07d'hameçonnage
25:07que les gens vont recevoir
25:08vont être très fiables.
25:10Ils vont utiliser des données
25:10qui sont des données vraies
25:11de la personne
25:12et plus il y a de données vraies,
25:14moins la personne
25:15va faire attention.
25:16Donc moi,
25:16j'aime bien un peu parler
25:17de zéro trust
25:18en cybersécurité,
25:19donc dans les accès.
25:20Là, c'est plutôt
25:21sur les informations
25:22qu'on reçoit
25:23par SMS,
25:24par WhatsApp
25:24et même par appel téléphonique.
25:27C'est de se poser la question
25:28est-ce que la personne
25:29qui me parle
25:30est bien celle
25:30qui est celle qui me parlait
25:31et est-ce que l'info
25:32que je vais donner
25:33n'est pas dangereuse
25:34si je la donne
25:35à une mauvaise personne.
25:36Donc voilà,
25:37adopter ce principe
25:38de remise en confiance
25:38que la personne
25:39qui nous parle
25:40n'est peut-être pas celle
25:40pour laquelle elle se fait passer.
25:41Oui, c'est ça.
25:42Il faut toujours avoir un doute.
25:43Michel ?
25:44Mon commentaire,
25:45ce serait de dire
25:47beaucoup effectivement
25:47la Fédération française de tir.
25:49Pourquoi ?
25:50Parce qu'il y a des armes derrière.
25:51Quand la Fédération française
25:52de handball
25:53ou de tennis de table
25:54s'est fait hacker,
25:55on n'a pas parlé
25:56de vol de raquette.
25:57Là, on en parle plus
25:58et effectivement,
25:59c'est assez intéressant
26:01de voir
26:01surtout les raisons
26:02pour lesquelles
26:03ça se passe comme ça.
26:04La première raison,
26:05c'est qu'en fait,
26:05ces fédérations françaises,
26:06elles n'ont pas énormément
26:08de moyens
26:08pour se protéger.
26:09Elles n'ont pas énormément
26:10de supports,
26:12d'organisations internes,
26:13des structurés
26:14avec les systèmes d'information,
26:15voire même
26:16des entreprises.
26:17Et on se retrouve
26:18dans le Security Report
26:19d'Orange Cyberdéfense
26:20qui est sorti il y a quelques jours,
26:21qui sont 140 000
26:22au niveau mondial,
26:23mais voilà,
26:24les PME,
26:25les TPE
26:26directement ciblés.
26:28Et en même temps,
26:28ces organisations
26:29doivent être interconnectées
26:30avec des tas
26:31de fournisseurs
26:32de services externes.
26:33Je parle de billetterie,
26:34je parle de boutiques en ligne,
26:36je parle de services Wi-Fi
26:37et donc,
26:39c'est des systèmes d'information
26:40qui sont compliqués.
26:41Et il n'y a pas
26:42d'experts cyber
26:43qui sont là
26:44pour gérer le tout.
26:45Donc, forcément,
26:46ce sont des environnements
26:48qui sont vulnérables
26:48et on le voit,
26:49la liste,
26:49vous l'avez citée,
26:50la liste est longue
26:51d'entreprises
26:52qui se sont fait hacker.
26:53Donc, évidemment,
26:54la recommandation,
26:55c'est à faire une approche
26:56par les risques
26:57pour pouvoir prendre en compte
26:58quel risque est-ce qu'on a,
27:00nous,
27:00entre petites fédérations,
27:01à s'en ressortir.
27:02Et puis, en plus,
27:02j'imagine qu'ils sont aussi
27:04entre guillemets
27:04sous la pression des licenciés
27:05qui, eux,
27:06veulent les mêmes services
27:06que ce qu'ils ont
27:07avec leurs banques et tout ça.
27:08Ils veulent pouvoir dire
27:09tiens, je veux réserver,
27:10d'ailleurs,
27:10je ne sais pas comment ça se passe,
27:11mais je veux réserver
27:12une ligne de tir
27:13tel jour à telle heure,
27:15je veux le faire en ligne,
27:15non, j'annule,
27:17je reviens,
27:17je veux prendre des cours
27:18avec tel prof,
27:18on veut avoir la même chose
27:20que ce qu'on peut avoir ailleurs,
27:20ça veut dire
27:21une numérisation accélérée.
27:23Je voulais revenir
27:23sur un autre sujet.
27:24Alors, vous l'avez tous
27:25émarant signalé,
27:25ce sujet-là,
27:26de différentes façons,
27:28c'est clic fixe,
27:29c'est vraiment,
27:30c'est l'ingénierie sociale
27:31à la fraude
27:33qui manipule tout le monde.
27:35Qu'est-ce qui peut expliquer
27:35un peu clic fixe ?
27:36Je peux très rapidement.
27:38Vas-y, Adrien.
27:39C'est de l'ingénierie sociale,
27:41c'est des groupes de hackers
27:41qui vont trouver une technique
27:42pour faire faire quelque chose
27:43à une victime.
27:44Donc, le mot clic fixe
27:46vient de l'exemple
27:48où il y a un faux message d'erreur
27:50qui apparaît
27:50lorsqu'on navigue sur Internet
27:52et le message d'erreur
27:54explique que pour passer
27:55au travers de ce message
27:56et le résoudre,
27:57il suffit de copier
27:58une ligne de commande
27:59dans un outil système
28:01de l'ordinateur.
28:01Donc, en général,
28:02c'est du PowerShell.
28:03Et en faisant ça,
28:05l'utilisateur installe
28:06bien sûr,
28:07une porte ouverte
28:07pour que le groupe
28:09ou l'acteur malveillant
28:10vienne installer des malwares.
28:11Et donc,
28:12on a vu ça.
28:13C'était début décembre,
28:14des chercheurs
28:15qui ont dévoilé
28:15une opération du groupe Lazarus.
28:16On pense qu'ils sont nord-coréens
28:18pour un accès direct
28:20à des fausses offres d'emploi.
28:21Qu'est-ce qu'il avait ?
28:22Vous étiez plus...
28:22Vas-y, Benoît.
28:23Oui, effectivement.
28:24On voit qu'ils utilisent
28:25ces moyens-là
28:26à la fin de leur campagne.
28:28Donc, leur campagne
28:29qui est d'ailleurs
28:29une campagne
28:29qui date de longue traîne
28:31où ils vont essayer
28:32à la fois de se faire embaucher
28:33eux-mêmes comme IT admin
28:35dans des sociétés
28:36ou alors de faire semblant
28:38de recruter des développeurs
28:40dans des sociétés sensibles.
28:41En l'occurrence,
28:42là, c'était
28:42des fabricants européens
28:43de drones.
28:44Et l'objectif pour eux,
28:46c'est de lancer
28:47à la fin de cette attaque
28:48soit un test de code,
28:49un faux test de code,
28:51soit d'inviter
28:52à une visioconférence.
28:53Et à ce moment-là,
28:54ça ne va pas fonctionner.
28:55Le test ne va pas s'ouvrir
28:56ou la visioconférence va dire
28:57votre caméra ne fonctionne pas.
28:59Et c'est là
29:00où ils vont envoyer
29:01ce fameux clic fixe
29:02en disant
29:02cliquez ici,
29:03on va réparer
29:04ce problème-là.
29:05Sauf qu'au lieu
29:06de réparer le problème,
29:07ils vont bien entendu
29:08envoyer un logiciel malveillant
29:09qui va permettre
29:10de prendre le contrôle
29:11sur la machine
29:11et d'exfiltrer,
29:12là, on est dans le cas
29:13de cyberespionnage,
29:14d'exfiltrer des informations.
29:15Et on l'a vu
29:16sur les fausses offres
29:17d'emploi,
29:17c'est ça ?
29:19Oui.
29:20Une autre façon
29:21de le voir,
29:21c'est le petit chaperon rouge.
29:25Oui, pardon.
29:27On est sur l'accès initial
29:29où le pirate
29:30n'a pas la capacité
29:31de trouver une vulnérabilité,
29:32n'a pas d'escalade
29:33de privilèges,
29:34n'a pas trouvé
29:34le moyen de rentrer.
29:35Ce moyen de rentrer,
29:36c'est de dire à la mère grand
29:38comment je rentre
29:38et on lui explique
29:40qu'il faut juste
29:40tirer la chevillette
29:43pour que la bobinette
29:44s'en aille.
29:45Donc, c'est un peu ça.
29:46Pour moi,
29:47c'est de l'attaque.
29:48Alors, pour quelqu'un
29:49qui fait de la cyber,
29:50c'est un peu ennuyeux,
29:52en vrai,
29:53parce qu'il n'y a zéro technique.
29:54C'est juste qu'on fait faire
29:55à la personne
29:56ce qu'elle a le droit de faire
29:57et donc,
29:58on lui demande gentiment
30:00de le faire
30:00et elle le fait.
30:02On la met en confiance.
30:03On la met en confiance
30:04et la seule chose
30:06que ça m'évoque
30:06une fois de plus,
30:07c'est la seule façon
30:09de se paraître ça,
30:09il n'y en a pas beaucoup,
30:10c'est l'éducation.
30:12Et la cyber à l'école,
30:13etc.
30:15Je voyais un connex de gendarmerie
30:17l'autre jour
30:17qui disait que c'était ça.
30:18Et puis, les gens,
30:19ils vous disent
30:19oui,
30:20Michel,
30:22vous êtes dans la sécurité,
30:24oui.
30:25Et puis,
30:25il nous met en confiance
30:26avec deux,
30:26trois questions
30:27et il dit oui,
30:28vous connaissez Benoît ?
30:29Benoît,
30:30et puis,
30:31il fait des liens comme ça.
30:32Finalement,
30:33il fait des rapprochements.
30:35Alors,
30:35il est approximatif
30:36mais au final,
30:37il tombe juste
30:37et on arrive.
30:38Mais ça,
30:38c'est vrai qu'il n'y a pas
30:39trop de techno là-dedans.
30:41Michel.
30:42Ce qui est intéressant de voir,
30:43en fait,
30:43c'est une faille
30:45qu'on exploite
30:46assez facilement
30:47chez les humains,
30:48c'est-à-dire la facilité.
30:50Tiens,
30:50et puis en un seul coup,
30:51c'est rapide.
30:52Ah, je clique là,
30:53ça va tout réparer.
30:55Mais voilà,
30:56comme tu le disais,
30:57parce qu'on le dit souvent,
30:58c'est un problème d'éducation,
30:59mais aussi une prise de conscience.
31:01C'est-à-dire qu'on vit
31:02dans un monde
31:03qui aujourd'hui
31:03n'est plus le même qu'avant.
31:04C'est-à-dire que la confiance
31:05n'est plus initiale
31:08et entretenue.
31:10Et donc,
31:11ça, c'est important.
31:11L'exploitation de la faiblesse humaine
31:13et de notre naïveté,
31:14c'est notre rôle,
31:16en fait,
31:17d'expliquer qu'il ne faut pas
31:18se laisser duper.
31:20Et puis,
31:20il y a un deuxième point
31:20qui est assez intéressant,
31:21c'est qu'on s'aperçoit
31:23qu'on évolue vraiment
31:24dans un environnement
31:25hyper technologique.
31:27Et que lorsqu'on est confronté
31:28à quelque chose,
31:29on se pose la question,
31:30mais cet environnement,
31:32je ne le maîtrise pas,
31:33quelqu'un le maîtrise pour moi,
31:34je vais lui faire confiance.
31:36La technologie,
31:36elle est vraiment très compliquée
31:37pour tout le monde.
31:39Et c'est ça qui est difficile.
31:41C'est-à-dire que
31:41ce n'est plus un problème
31:42d'accès à une application,
31:44c'est un problème
31:44d'accès à une technologie.
31:46Et là,
31:46on voit une évolution progressive.
31:49On sait que notre monde
31:50est tiré par des évolutions
31:51technologiques importantes,
31:53mais on voit aussi
31:53que nous,
31:54on a du mal
31:55à aller aussi vite
31:56que la technologie va
31:57pour être à même
31:58de pouvoir choisir
31:58et décider.
31:59Et le deuxième point
32:00qui est complexe aussi,
32:01c'est qu'on n'a pas accès
32:02à un expert technique immédiat.
32:04C'est-à-dire aujourd'hui,
32:04quand on essaie d'appeler
32:05dans les entreprises
32:06le support technique,
32:07ça prend du temps et tout.
32:09Alors que...
32:10Là, on a envie
32:10de faire un copier-coller.
32:11Et oui,
32:12et bêtement,
32:13on y croit.
32:14Et puis,
32:14il y a quand même quelque chose.
32:15Adrien,
32:16je voyais toujours ça.
32:17C'est toujours dans
32:17le Security Report,
32:18le rapport annuel
32:20d'Orange Cyberdéfense.
32:22Il disait,
32:22ce qui est nouveau aujourd'hui,
32:24c'est que les failles,
32:25dès qu'il y a des failles
32:26dans les entreprises,
32:27elles sont rendues publiques
32:28beaucoup plus vite
32:29et elles sont surtout exploitées
32:30beaucoup plus vite.
32:31Alors,
32:31je disais un truc incroyable,
32:32il y a parfois des failles
32:33qui ont été signalées,
32:35elles restent comme ça,
32:36180 jours,
32:37c'est la moyenne,
32:37je crois,
32:38elles restent ouvertes.
32:39Donc là,
32:39il y a un vrai souci.
32:41entre l'ingénierie sociale,
32:43ces failles-là...
32:44Pour Lazarus,
32:45c'est vraiment,
32:46je pense,
32:47l'exploitation,
32:48le vecteur d'attaque,
32:48c'est l'humain.
32:50Puisqu'il y a des exemples
32:51où ils proposent le salaire
32:52ou une partie du salaire
32:54auquel ils postulent
32:55en échange
32:56de juste passer l'entretien
32:57et rentrer dans le...
32:58D'accord,
32:58dans le système d'information.
33:00Donc la personne passe l'entretien,
33:02elle se fait assister
33:02pendant l'entretien
33:03pour répondre aux questions techniques
33:04et une fois qu'elle a le job,
33:07je pense qu'elle met à disposition
33:08l'ordinateur de la société.
33:11Il propose de faire
33:11les développements
33:12qu'ils vont lui demander de faire
33:13parce qu'en général,
33:13c'est des postes de développeur
33:14et ensuite,
33:15derrière,
33:15il s'infiltre
33:16au début d'espionnage industriel
33:18à long terme.
33:20Et cette histoire de failles
33:21là dont je parlais...
33:22Alors,
33:22les failles,
33:23l'équipe des gentils,
33:25je dirais,
33:25cherche des failles.
33:27Il y a des tests
33:27qui sont lancés
33:28sur des produits,
33:29sur nos technos,
33:30on le fait,
33:30vous j'imagine aussi
33:31sur vos technos,
33:32vous le faites.
33:32Et quand on découvre
33:33des vulnérabilités,
33:34que ce soit sur nos technos
33:35ou sur d'autres technologies,
33:37on a une espèce de période
33:39qui est établie
33:43avant de pouvoir la divulguer
33:45pour laisser à la société
33:47qui est vulnérable
33:48le temps de patcher
33:49et de déployer les correctifs.
33:51Exactement.
33:51Il y a une belle fenêtre ouverte,
33:52allez-y.
33:53Quand c'est l'autre côté
33:53qui découvre les vulnérabilités,
33:55forcément,
33:55ils n'ont pas cette période établie
33:58qui laisse le temps
33:59aux gens vulnérables
34:00de se protéger
34:01et donc,
34:02ils peuvent les mettre
34:02à disposition tout de suite.
34:04On parle de vulnérabilité 0D
34:05ou 1D
34:07et effectivement,
34:09dans ces cas-là,
34:09il faut réagir très vite.
34:11Mais il n'y a pas que du négatif.
34:12On a pas mal d'outils aujourd'hui
34:14basés sur l'IA notamment
34:15qui permet de prendre
34:17différentes technologies,
34:18trouver les vulnérabilités
34:19et essayer de trouver
34:21des correctifs automatiquement
34:22pour les patcher à la volée.
34:24Juste pour revenir un instant,
34:25Benoît,
34:26sur les histoires de Lazarus,
34:28il y avait une histoire
34:31d'arroseur arrosé finalement.
34:33Oui, effectivement,
34:33il y a une société
34:34en cybersécurité
34:35qui a eu la très bonne idée
34:35de monter un honnipote,
34:37donc pot à miel en français,
34:40et de les inviter
34:41à candidater
34:42pour leur entreprise.
34:43Et effectivement,
34:44ils ont candidaté.
34:45Donc là,
34:46c'est la façon
34:46d'en décriver Adrien
34:47de poser son entreprise.
34:48C'est exactement
34:49ce que décrivait Adrien,
34:52mais de l'autre côté,
34:53les chercheurs en cybersécurité
34:54ont tendu un piège
34:55à ce groupe Lazarus
34:57effectivement aligné
34:58avec la Corée du Nord.
34:59Et donc,
35:00ils sont même allés
35:00jusqu'à les filmer
35:02pour passer
35:03ces fameux entretiens,
35:04prendre accès
35:05sur leurs machines,
35:06voir quelles étaient
35:06leurs techniques.
35:07Et donc,
35:07on est allés assez loin
35:09dans la découverte
35:09justement de leurs méthodes,
35:11ce qui est parfait
35:11pour tous les défenseurs.
35:13On va pouvoir alimenter
35:14des bases de données
35:14type mitre et attaque
35:15qui classifient
35:16comment fonctionnent
35:17les attaquants.
35:19Et ça, ensuite,
35:19ça va nous permettre
35:21de nous partager
35:22à tous des informations
35:23sur ces moyens.
35:25D'autant,
35:25alors on a très rapidement
35:26parlé avec l'IA,
35:27mais d'autant qu'aujourd'hui,
35:28on a l'IA,
35:29l'IA générative
35:30et l'IA agentique
35:31qui arrive,
35:32qui est utilisée par...
35:33Alors, je ne sais pas
35:33qui avait posté ce sujet
35:34par un groupe aligné
35:35avec la Chine,
35:36avec Anthropik.
35:37Qu'est-ce qui en avait parlé ?
35:38C'était Benoît aussi.
35:39C'était Benoît
35:39qui en avait parlé ?
35:40Vas-y, Benoît.
35:41Oui, alors ça me semblait
35:42intéressant.
35:43Alors, on est encore
35:43dans une phase
35:44où il faut avoir
35:45plus d'informations
35:46parce qu'Anthropik
35:47a dévoilé
35:47un certain nombre
35:48d'éléments,
35:49mais on n'a pas
35:49toutes les informations
35:50sur cette recherche.
35:51On se dit
35:52que c'était peut-être
35:53une attaque
35:53qui a été 100% automatique.
35:55Alors, pas 100% automatique,
35:57mais en tout cas,
35:58il y a des agents
35:59qui ont discuté
36:00entre eux
36:00et pour pouvoir avancer,
36:03ils ont demandé
36:03l'autorisation
36:04et ou l'avis
36:05d'un être humain
36:06pour savoir
36:06ce qu'ils avaient trouvé
36:07et ce qu'ils comptaient faire
36:08était intéressant.
36:10Et là, on voit bien
36:11un peu comme
36:11les dark factories,
36:12on voit bien
36:12à quel niveau
36:13cette IA agentique
36:15est autonome
36:16et capable d'avancer
36:17d'elle-même
36:18pour décider
36:19si ce qu'il a trouvé
36:20est intéressant,
36:21si la prochaine étape
36:22pourrait être celle-ci
36:23ou celle-là
36:23et d'avancer
36:24dans sa technique.
36:25C'est-à-dire qu'il travaille
36:26par itération ?
36:27Il avance ?
36:28Exactement,
36:29comme n'importe quel
36:30IA agentique
36:31va pouvoir faire en sorte
36:32d'avancer
36:33et de finalement décider
36:35quelles sont
36:36les meilleures options
36:36pour lui.
36:37Oui, c'est les proms
36:39styleurs,
36:39non, c'est pas ça
36:40les...
36:42Non, c'est les proms flux
36:43qui ont les infostylers.
36:44C'est ça.
36:45Donc ça, c'est un autre
36:46logiciel malveillant
36:47qui, lui, fait,
36:49grâce à une API,
36:50appelle à l'intelligence
36:51artificielle
36:52et va lui demander
36:52est-ce que ce que j'ai trouvé
36:54sur la machine infectée
36:55est intéressant,
36:56d'une part,
36:56et d'autre part,
36:57lui demander de réécrire
36:58le code,
36:59parfois pour certaines parties
37:00toutes les heures,
37:02afin de passer en dessous
37:03des radars
37:03des outils de détection.
37:04On s'en sort comment
37:05contre ce type d'attaque,
37:07Pascal ?
37:08Alors, il faut bien se dire
37:09que c'est quelque chose
37:10qui est déjà prévu,
37:12prédit depuis déjà
37:14pas mal de temps
37:14par les experts cybers.
37:16Je pense que tout un chacun
37:17peut imaginer
37:18qu'il y a qui pilote
37:19toute la chaîne de l'attaque
37:22plutôt qu'un humain.
37:23Il va le faire
37:23beaucoup plus vite,
37:24avec beaucoup plus d'infos,
37:25il va être plus réactif
37:26et il va rendre
37:27la vie des personnes en face,
37:29des défenseurs,
37:30beaucoup plus compliquée
37:31en étant plus rapide.
37:32Donc, c'est des choses
37:33qu'on anticipe
37:35depuis déjà pas mal de temps.
37:36C'est-à-dire qu'on écrit
37:37des scénarios possibles
37:39d'attaques par une IA autonome
37:40et un IA gentil.
37:42Donc là, c'est un exemple,
37:44il y en a d'autres
37:44dans l'actualité.
37:46Celui-là est assez flagrant
37:48parce qu'effectivement,
37:49Anthropique a fait
37:50tout un article
37:50expliquant ce qui s'est passé.
37:52Donc, à 90%,
37:53c'était automatisé.
37:55On trouve un peu dommage
37:56qu'on n'ait pas
37:57la chaîne d'attaque
37:58faite par l'IA
38:00parce que là,
38:00ça nous apporterait
38:01vraiment beaucoup
38:02de l'information.
38:03et ça aiderait.
38:05Mais il y a plein
38:06d'autres exemples.
38:07Et en vrai,
38:08ça nous dessine juste
38:09l'avenir.
38:10L'avenir sera comme ça.
38:12Les pirates vont attaquer
38:13avec de l'IA automatisée
38:15et on va se retrouver
38:16dans un monde
38:17où, si tout le monde
38:18a vu l'Imitation Game,
38:19c'est où Alan Turing dit
38:22seul et si seul un ordinateur
38:24pouvait battre un ordinateur.
38:25On va se retrouver
38:26dans la situation
38:26où c'est si seul une IA
38:28pouvait battre une IA.
38:29On rentre dans ce monde-là.
38:31Et donc, on va avoir
38:31l'IA gentil
38:32de police,
38:35de défense.
38:37Ce qui est très intéressant
38:38dans cette attaque,
38:39c'est le point de départ
38:40qui a été de manipuler
38:42l'intelligence artificielle
38:43pour qu'elle fasse
38:44cette action.
38:44Parce que normalement,
38:45une IA comme Claude,
38:47elle a des protections
38:49intégrées
38:50qui lui permettent...
38:51Je ne peux pas faire un prompt
38:52en disant
38:52trouve-moi toutes les failles
38:54dans le système d'information
38:55de telle entreprise.
38:57Et donc, il y a des techniques
38:57qui s'appellent
38:58le prompt d'injection
38:59qui permet de changer
39:01un petit peu
39:01ces paramètres-là,
39:03la biaiser un petit peu
39:04comme quand on parle
39:04à un enfant
39:05et qu'on essaie
39:06de lui faire faire
39:06quelque chose
39:07qu'il n'a pas envie de faire
39:07en trouvant des techniques.
39:08L'IA, c'est exactement pareil.
39:10Et il existe aujourd'hui
39:11des protections
39:12qui permettent
39:12d'endurcir ça.
39:14D'accord.
39:15Et malheureusement,
39:16l'IA, c'est une interface
39:18qui a pour but
39:19d'interpréter des commandes
39:20et de réaliser des services
39:22aux humains
39:23qui vont lui parler.
39:24Donc, quand elle interprète
39:25une commande
39:25avec un service dedans,
39:26elle va le faire.
39:27Le risque est là.
39:29Et donc, il faut absolument
39:30positionner
39:31des rails de sécurité.
39:34Ils appellent ça
39:35des gardes rails
39:35qui permettent à l'IA
39:37de ne pas sortir
39:38de son cadre.
39:39Et dans ce cas-là,
39:40l'attaque aurait pu être empêchée.
39:41C'est ce qu'on disait un peu
39:42dans le domaine
39:42plus grand public,
39:43mais au début de l'IA générative,
39:44on disait
39:44comment on fabrique
39:45un cocktail Molotov ?
39:46Elle disait non,
39:47je ne peux pas te donner ça.
39:48Par contre, on disait
39:48tiens, écris-moi
39:49une pièce de théâtre
39:50où il y a un des acteurs
39:52qui demande à l'autre
39:53comment fabriquer.
39:54Et là, elle répondait.
39:56Exactement.
39:56C'est un peu cette idée-là.
39:58C'est un problème
39:58structurel de l'IA,
40:00c'est qu'il n'y a pas
40:01de sécurité by design
40:02dans son modèle
40:04d'entraînement.
40:06En fait, l'IA ne comprend pas
40:07réellement ce qu'on lui dit.
40:08Donc, aller mettre
40:09des gardes faux.
40:10Il faut imaginer
40:10ce que les gens
40:11peuvent imaginer
40:12pour la faire parler
40:13sans connaître
40:14tout l'étendue
40:15de ce qui est possible.
40:16Pour moi,
40:17c'est un travail
40:17très compliqué
40:18et en tant que tel,
40:19ça va nous poser
40:19des gros problèmes
40:20dans la cyber.
40:21Donc, à chacun
40:22des éditeurs
40:22à présent
40:23de serrer encore plus
40:25les vices.
40:26Mais ça fait
40:27beaucoup de choses
40:28à imaginer.
40:28Je voulais qu'on parle
40:29d'un sujet.
40:30C'était Emmanuel Macron
40:32qui a rencontré
40:32tout le secteur
40:33de l'agroalimentaire
40:34ces jours-ci.
40:36Et justement,
40:37Michel, toi,
40:37tu voulais mettre en avant
40:38parce que tu dis
40:39que le domaine agricole,
40:41comme dans d'autres domaines,
40:41dans la vue de la Fédération
40:42française de tir,
40:43est largement exposé
40:44au risque cyber.
40:46Et puis,
40:47à l'heure où on demande
40:48davantage de traçabilité,
40:49à l'heure où il faut
40:50faire attention
40:50aux produits,
40:52ça peut être
40:52évidemment dangereux
40:53pour la santé,
40:55c'est un rapport,
40:57c'est une petite note,
40:58raconte-nous un peu
40:59tout ça.
40:59Oui, alors,
41:00en fait,
41:01j'enseigne
41:02dans un exécutif MBA
41:06sur la cybersécurité
41:08et une des élèves,
41:11Pascaline Bossard,
41:12a écrit un mémoire
41:14sur ce sujet
41:15qu'elle maîtrise complètement
41:15puisqu'en fait,
41:17elle s'occupe
41:17des tests
41:18en laboratoire
41:20vétérinaire
41:21depuis quelques années.
41:24Et elle a écrit
41:25un rapport
41:25qui analyse justement
41:26toutes ces problématiques
41:27de gestion
41:28de l'information
41:29au cours du cycle
41:29de vie.
41:30Comme tu le disais,
41:31nous,
41:31on veut une traçabilité
41:32en tant que consommateur,
41:33mais il faut pouvoir
41:34assurer cette traçabilité
41:35et la fiabilité
41:36de ce flux d'informations.
41:37Et aujourd'hui,
41:38malheureusement,
41:39ce n'est pas suffisamment
41:40bien sécurisé.
41:42Et les systèmes
41:43qui existent,
41:43qui sont les systèmes
41:44d'enregistrement
41:45de tout ce qui est
41:46du monde agroalimentaire
41:48ou d'identification
41:49des animaux,
41:50ce sont des systèmes
41:50qui sont un petit peu anciens
41:52et qui ont des interfaces
41:54qui ne sont pas
41:55interopérables entre elles,
41:56c'est-à-dire qu'à chaque fois,
41:57il y a un processus,
41:59une interface
41:59qui peut être vulnérable.
42:01Les enjeux sont très importants
42:03parce que,
42:04bien évidemment,
42:05nous,
42:05pour notre sécurité,
42:06donc c'est un enjeu
42:08évidemment au niveau national,
42:10il y a 120 millions
42:10de tests
42:11qui sont réalisés,
42:12par exemple,
42:12dans le monde laitier,
42:13c'est 120 millions
42:14d'informations
42:14qu'il faut sécuriser
42:15tout au long de la chaîne,
42:17il y a 1,4 million
42:18d'emplois
42:18qui sont liés
42:19à ce monde,
42:21donc c'est quand même
42:21une population importante
42:23qu'il faut aider
42:24à assurer
42:25en fait
42:26une meilleure fiabilité
42:28dans ce processus.
42:29Donc les systèmes d'information
42:31sont un petit peu obsolètes,
42:32on voit très bien
42:33qu'au niveau de l'IoT,
42:35c'est-à-dire dans le monde industriel,
42:36les relevés d'informations
42:37sont de plus en plus automatisés
42:39mais pas forcément
42:40très bien sécurisés,
42:41donc on sent que cette chaîne,
42:42elle manque un peu de maturité
42:44dans le monde de la cyber
42:45et donc il y a plusieurs actions
42:48à mettre en œuvre
42:49et le rapport
42:49de Pascal Imbossard
42:51le met en avant,
42:52rapport qui a une dimension nationale
42:54bien évidemment,
42:55il le met en avant,
42:56il y a d'abord
42:57une part de sensibilisation
42:58auprès de tous les contributeurs
43:00des informations
43:01de ce système,
43:03il y a aussi
43:03une simplification
43:04et une modernisation
43:05de l'ensemble
43:06du système d'information
43:07qui date un petit peu
43:09par rapport aux évolutions
43:10que l'on voit
43:11dans le domaine
43:11de la technologie,
43:12il y a ce problème
43:13d'interopérabilité
43:15entre ces différents systèmes
43:16qui font qu'à chaque fois
43:17c'est des sources
43:18de vulnérabilité
43:19et puis il y a peut-être
43:21un manque de leadership,
43:22de gouvernance,
43:23c'est-à-dire quelqu'un
43:24qui prenne en charge
43:24cet environnement,
43:26peut-être voire même
43:27une réglementation
43:28et enfin,
43:29il y a un manque d'acteurs,
43:31il n'y a pas assez
43:32de fournisseurs
43:33qui se dédient
43:34à cette problématique,
43:35il n'y a pas assez
43:35d'experts cybersécurités
43:37pour travailler
43:38et aider à améliorer
43:39cette solution.
43:40Et là-dedans,
43:41je tombe sur,
43:41on en parlera un peu plus tard
43:43si on a le temps
43:44sur la partie réglementaire,
43:46mais Nice 2,
43:47on n'est pas là-dedans
43:48ce secteur agroalimentaire ?
43:50Il ne me semble pas non.
43:51Alors pas suffisamment.
43:54Je te le rappelle,
43:54c'est des normes de sécurité
43:55qui vont être appliquées
43:56à pas seulement
43:57ce qu'on appelle
43:58des opérateurs
43:58d'importance visale,
44:00des OIV,
44:01dans les transports,
44:02des opérateurs
44:03de services essentiels,
44:04mais ça reste
44:05un épiphonal
44:06et lorsqu'on est au fond
44:08d'une exploitation agricole,
44:10on ne comprend pas très bien
44:12Nice 2,
44:13l'impact
44:14et la nécessité
44:15que l'on pourrait avoir.
44:16Parce que le risque,
44:17c'est de donner
44:17des mauvaises informations
44:18aux consommateurs,
44:19aux industriels,
44:20que ce soit piraté,
44:21même qu'on change
44:22des chiffres,
44:24tout ça,
44:25et que le risque
44:25change un peu sa formule,
44:27c'est ça ?
44:27Mais le risque est très grand,
44:28non seulement pour fausser
44:29des informations,
44:30mais aussi induire
44:31potentiellement
44:32de décimer un cheptel
44:35parce qu'il aurait une maladie.
44:37Ce qui n'est pas forcément vrai
44:38et ce qui a un impact
44:39non seulement économique,
44:41mais aussi sur le cheptel
44:42sans raison.
44:44Oui, on est tout à fait
44:45dans le sujet
44:45de la convergence,
44:46la convergence
44:47entre l'informatique bureautique
44:48et l'informatique industrielle.
44:51C'est un sujet
44:51qui existe
44:52depuis de nombreuses années.
44:53On a beau avoir
44:54l'industrie 4.0,
44:56celle-ci n'intègre pas
44:57forcément la cybersécurité.
45:00Et pour autant,
45:02effectivement,
45:02on manque d'experts,
45:03on manque de...
45:05volonté d'amener
45:06cette cybersécurité
45:08entre guillemets
45:09traditionnelle,
45:09même si elle est boostée
45:10par l'intelligence artificielle,
45:11tu le disais bien,
45:12dans le milieu industriel.
45:15La 5G,
45:16les technologies Laura,
45:17les technologies
45:18de capture de données,
45:20n'intègrent pas encore,
45:22malgré leur puissance,
45:23de mesures de cybersécurité.
45:26On est tellement séduits
45:26par l'innovation,
45:27on fonce un peu tête bêche
45:29et puis on oublie un peu...
45:30Enfin, tête baissée,
45:31on oublie un peu...
45:32Et moi, ça me fait penser
45:33également au secteur
45:34des énergies non-renouvelables.
45:35Dans les énergies renouvelables,
45:36on a un certain nombre
45:37d'acteurs de petite taille.
45:38On a le déci
45:39de EDF Peur Renouvelable
45:41il y a un instant.
45:42Exactement,
45:42et des acteurs de petite taille
45:43à qui on va fournir
45:44des possibilités d'installation,
45:47alors effectivement,
45:47peut-être de taille modeste,
45:49mais qui,
45:50mis bout à bout,
45:51si elles utilisent
45:52des matériels mal sécurisés
45:53et ou pilotables à distance,
45:55pourraient interférer
45:56avec un réseau plus large,
45:58notamment dans le cadre
45:59d'une volonté de déstabilisation,
46:01par exemple.
46:02Adrien, sur ces sujets-là ?
46:03Oui, Michel parlait
46:04de chaîne tout à l'heure.
46:06Là, la difficulté,
46:07c'est qu'il y a une chaîne
46:08de pas mal
46:09d'interlocuteurs différents
46:10avec des entités privées,
46:11des laboratoires,
46:12l'agriculteur,
46:13des entités publiques,
46:14le ministère de l'Agriculture,
46:16l'INRAE probablement aussi.
46:17Et donc,
46:18il y a différents maillons
46:20de cette chaîne-là
46:20qui peuvent faillir
46:22à un moment
46:22d'un point de vue cybersécurité.
46:24Et on parle
46:24d'attaques de supply chain,
46:26parfois dans la chaîne
46:27d'approvisionnement.
46:28Il y avait une attaque
46:29sur les aéroports
46:30il y a quelques mois.
46:30Il suffit qu'un de ces maillons-là
46:32tombe et c'est toute la chaîne
46:33qui va être courante.
46:34Et c'est compliqué,
46:35j'imagine,
46:35de créer quelque chose
46:36d'un peu vertical
46:36parce que c'est des acteurs
46:37parfois qui sont un peu
46:39dans d'autres domaines,
46:39mais d'avoir un cloud,
46:40on imagine un cloud sécurisé
46:42où tout le monde se précipite.
46:43Alors, c'est possible.
46:44Je sais qu'à l'échelle des régions,
46:46il y a pas mal d'initiatives,
46:49en tout cas sur des data centers
46:50régionaux,
46:51souverains,
46:51qui proposent leurs services
46:53à d'autres entités.
46:54Après, effectivement,
46:55je pense qu'il faut
46:55une certaine gouvernance
46:57pour orienter le secteur
46:58dans cette direction-là.
47:01Et je ne saurais pas dire
47:02si c'est le cas ou pas
47:02aujourd'hui dans ce secteur.
47:04Parce qu'à la gouvernance
47:05et réglementation,
47:06je ne vois que ces deux éléments
47:08pour, en tout cas,
47:10essayer d'améliorer
47:11un domaine que je ne connais pas bien.
47:13Donc, je ne vais pas rentrer
47:14plus dans le détail.
47:15Et surtout,
47:16la mobilisation des acteurs.
47:17C'est-à-dire que c'est très bien
47:18qu'on en parle ici
47:19parce que, justement,
47:20ça met un peu de lumière.
47:21Donc, mobilisation des acteurs cyber,
47:23mais aussi mobilisation
47:24des acteurs métiers.
47:25Mais bien sûr.
47:26Et la réglementation
47:27peut aider à pousser
47:28justement cette mobilisation aussi.
47:29Parce que s'il n'y a pas
47:30de réglementation,
47:31il y en a une, forcément.
47:33Mais peut-être
47:34ça va évoluer.
47:35Oui, tout à fait.
47:36Mais pour autant,
47:37cette réglementation,
47:38il ne faut pas qu'elle soit contraignante.
47:39Il faut qu'elle l'aide
47:40à la solution.
47:42Attention.
47:43Ah, après,
47:44je déconvacue.
47:44On voit quand même
47:46que le sujet est pris.
47:48Moi, qui vais aux Assises
47:49de la Sécurité à Monaco,
47:51qui vais au Forum InCyber
47:52à Lille,
47:54on voit qu'il y a
47:55dans ces regroupements
47:57d'acteurs de la cybersécurité,
47:59des acteurs industriels
48:00qui n'étaient pas forcément présents
48:01ou en tout cas pas autant présents.
48:02C'est Patrick Pouyanné
48:03qui avait fait
48:03au Forum InCyber à Lille.
48:06C'est lui qui avait fait l'ouverture,
48:07donc patronne totale.
48:08Et donc,
48:09on voit également
48:09d'autres acteurs,
48:10plutôt industriels,
48:11fabricants de matériel
48:12qui sont aux côtés
48:13des acteurs de la cybersécurité
48:15sur ces événements.
48:16Donc, il y a quand même
48:16une prise de conscience.
48:18Par contre,
48:18comme tu le disais,
48:19on a des systèmes
48:20qui datent
48:21de très, très, très, très longtemps
48:24qu'il va falloir mettre à jour,
48:25qui coûtent énormément.
48:26Quand on parle
48:26de tout au bout de la chaîne,
48:28celui qui produit
48:28la matière première,
48:30quelque part,
48:31lui,
48:31il a plein de choses connectées.
48:34Et pour autant,
48:35le tracteur fonctionne
48:36avec un GPS.
48:37Toutes les informations
48:38sont transmises
48:39via des Wi-Fi,
48:41via tout un tas de...
48:42Donc, on a encore
48:42tout cet effet sensibilisation.
48:44Oui.
48:44Juste un mot.
48:45On parlait de gouvernance,
48:46réglementation.
48:48Pascal, je crois que c'est toi
48:49qui avais mis ça.
48:49C'est l'ENISA
48:50qui, justement,
48:53essaie de centraliser
48:54un peu tout ça,
48:55toutes ces attaques,
48:56que tout le monde dialogue
48:56un peu plus.
48:57Là, on est dans l'échange
48:58pour que les autorités nationales,
49:01au niveau européen,
49:02puissent un peu plus collaborer
49:04et avoir une base
49:05de données commune.
49:07Et on a besoin
49:08que les acteurs européens
49:09prennent leur part
49:09également
49:10dans la gestion
49:12de tout ça
49:12au niveau mondial.
49:13Et jusque-là,
49:14la gestion des CVE,
49:15notamment,
49:16a été gérée
49:16par des racines CVE
49:19qui étaient plutôt
49:20non européennes
49:22jusqu'à ce stade.
49:23Donc, l'ENISA
49:23devient maintenant route,
49:25donc racine
49:26du programme CVE.
49:27Ça veut dire
49:28qu'ils vont pouvoir
49:28avoir des centres
49:31qui font les numérotations,
49:33qui créent les CVE,
49:33qui vont dépendre d'eux.
49:35Ils vont participer
49:35à l'évolution des process
49:36dans la gestion
49:38des vulnérabilités.
49:39Donc ça,
49:40c'est quelque chose
49:40qui est important
49:41au niveau de l'Europe,
49:42au niveau de la prise
49:42de responsabilité
49:43dans la gestion cyber mondiale.
49:45Donc ça veut dire
49:45que tous les acteurs
49:46peuvent partager,
49:47enfin ont accès
49:47à cette base de données
49:48pour partager un peu...
49:49Alors, c'est deux choses
49:50différentes.
49:50Il y a la base de données
49:51UVD
49:52que l'ENISA avait créée
49:53et il y a la gestion
49:55des CVE
49:55qui existait avant
49:56cette base-là.
49:58Les CVE pour ceux
49:58qui nous suivent ?
49:59Les CVE,
49:59c'est Common Vulnerability
50:00Exposure.
50:01C'est une vulnérabilité...
50:03Quand par exemple
50:03tel logiciel
50:04a une vulnérabilité,
50:05on va lui attribuer
50:06un numéro,
50:07un risque,
50:08on va la référencer
50:09dans une base.
50:10Donc là,
50:10il y a plusieurs bases
50:11qui existent
50:11et la base des CVE
50:12jusque-là
50:13n'était pas gérée
50:15par l'ENISA.
50:17L'ENISA pouvait
50:17ancrer les numérotés.
50:18Il n'y a pas de centralisation.
50:19Maintenant,
50:20monte un peu en responsabilité.
50:21il y avait cette centralisation,
50:22mais pas par l'Europe.
50:23D'accord.
50:24Et ça,
50:24c'est important.
50:24C'est une vraie question
50:25de gouvernance
50:26parce que si on trouve
50:26une vulnérabilité
50:27sur le territoire français,
50:29par exemple,
50:30le processus,
50:31on va la numéroter,
50:32la documenter
50:33et la propager
50:34sur des acteurs
50:35qui proposent
50:36des défenses
50:36contre ces vulnérabilités
50:38est plus rapide,
50:39mieux orchestrée
50:40et donc pour la France,
50:43avoir un organisme européen
50:44là-dessus,
50:44c'est très bien.
50:45Oui.
50:46Eh bien, messieurs,
50:46merci d'avoir donné temps.
50:50On dit juste qu'il y a...
50:50Tiens,
50:51parce que je voulais,
50:51il y a une petite news,
50:53c'est le service
50:53de préenregistrement
50:54des entités NIS2
50:54qui est ouvert par l'ANSI,
50:55c'est ça ?
50:56C'est important,
50:57il faut le rappeler.
50:58Alors,
50:59c'est important de titre.
51:01Déjà,
51:01ça veut dire
51:02que les entreprises
51:03qui ont déjà utilisé
51:04le simulateur,
51:05qui savent qu'ils vont être NIS2,
51:07vont pouvoir se préenregistrer
51:08et avoir accès
51:09à tout un tas de guides,
51:10d'aides
51:10pour anticiper leur préparation,
51:12s'ils ne l'ont pas déjà fait,
51:14mais voilà,
51:14ça va leur apporter
51:15des outils en plus.
51:16Et puis,
51:16en parallèle de ça,
51:17il faut rappeler
51:18que l'Allemagne
51:18vient de finaliser
51:19sa transposition
51:21et de la voter,
51:22donc ça veut dire
51:23que les entreprises
51:23allemandes s'y mettent,
51:24ça veut aussi dire
51:25que les entreprises
51:25allemandes vont demander
51:26à leurs sous-traitants français
51:27de le faire aussi,
51:30donc plus vite
51:31on pourra avoir
51:31les outils
51:32et mieux c'est.
51:32Bon,
51:33eh bien voilà,
51:34on va voir si tout le monde
51:35avance de ce même pas,
51:37en tout cas sur la cyber,
51:38merci à tous les quatre,
51:38Michel Juvin,
51:39Alliancy,
51:40Benoît Agrionvald,
51:41IZ France,
51:41Pascal Ledigal,
51:42WatchGuard,
51:43Technologie,
51:43et Adrien Merveille,
51:44Checkpoint Software,
51:45merci à tous les quatre
51:46d'être venus partager
51:47cette actue cyber.
51:48Allez,
51:49nous on se retrouve
51:49la semaine prochaine,
51:51même heure,
51:51même endroit,
51:52d'ici là,
51:52excellente semaine
51:53sur BFM Business.
51:56Tech & Co Business
51:57sur BFM Business.
Commentaires