- il y a 2 jours
Vendredi 16 janvier 2026, retrouvez Alain Issarni (Directeur Général, SCIAM), Alexandra Iteanu (avocate, Iteanu avocats), Bernard Montel (Directeur Technique Europe et security strategist, Tenable), Laurent Verdier (Directeur sensibilisation et pédagogie, Cybermalveillance.gouv.fr), Rémy Bellavoine (CEO, Iskera), Thiébaut Meyer (Directeur cybersécurité, Google Cloud) et Julien Mousqueton (RSSI, Cohesity) dans SMART CYBER, une émission présentée par Delphine Sabattier.
Catégorie
🗞
NewsTranscription
00:00Bonjour à tous, bienvenue dans SmartCyber, le premier rendez-vous de la confiance numérique que j'ai le plaisir de vous proposer et de présenter.
00:15Aujourd'hui, à la une, on va s'intéresser à la sécurité des agents IA, l'IA agentique.
00:22Ce sera notre grand sujet avec deux experts et un DSI en plateau.
00:27Et puis au programme de cette édition également, on aura l'interview RSSI avec Julien Mousqueton, un focus solution sur le marché des logiciels de gestion des risques.
00:38Et le rendez-vous CultureC lui sera consacré aux journées francophones de la sécurité.
00:43Mais d'abord, je vous propose notre rendez-vous, l'alerte cyber. Attention, c'est les soldes.
00:48L'alerte cyber s'arrête aujourd'hui sur un bilan 2025 de ce qui s'est passé en matière d'attaque et puis un focus sur le début d'année.
01:02Et pour cela, j'ai le grand plaisir de recevoir Laurent Verdier. Bonjour.
01:05Bonjour.
01:06Vous êtes le directeur sensibilisation et pédagogie au sein du groupement d'intérêt public cybermalveillance.gouv.fr.
01:14La fin de l'année 2025 a été marquée notamment par une cyberattaque contre le groupe La Poste.
01:21Quelles sont plus largement toutes les leçons qu'on peut retenir de cette année 2025 en matière de cybersécurité ?
01:28Alors vous qui suivez très finement, je n'en doute pas, l'actualité cyber et vous l'avez suivi en 2025, vous avez pu constater qu'effectivement les cyberattaques ne baissent pas.
01:36Alors de grandes enseignes comme La Poste ont été victimes d'attaques, mais ça ne doit pas nous faire oublier et masquer que nos entreprises aujourd'hui sont des cibles d'intérêt pour les cyberattaquants.
01:48D'une part, elles disposent d'une trésorerie, donc elles sont susceptibles de pouvoir payer.
01:51Mais elles hébergent également de nombreuses données, celles de leurs collaborateurs, celles des clients, celles des prestataires ou des fournisseurs.
01:58Donc au niveau 2025 et en cette fin d'année, on a vraiment noté l'augmentation significative d'attaques comme effectivement la violation de données.
02:11C'est-à-dire que des attaquants...
02:12Ce n'était pas le cas dans l'attaque de La Poste, juste pour qu'on mette bien les choses au clair.
02:15Tout à fait.
02:15Sur La Poste, c'est vraiment une attaque par déni de service, pour faire dysfonctionner les services publics.
02:21Une attaque en saturation, c'est-à-dire qu'on va bombarder entre guillemets de requêtes et de données des systèmes jusqu'à ce qu'ils se déconnectent.
02:31Or, effectivement, nous, vraiment la menace montante qu'on perçoit pour les PME, les TPE, les entreprises, c'est tout d'abord...
02:40La violation de données ?
02:41Alors, la violation de données, également le faux ordre de virement, le but des attaquants étant de générer, de créer ou de se substituer à un virement légitime ou d'en créer un de manière imprévue.
02:55Et pour cela, de tromper, de mettre en échec les process internes d'une entreprise s'ils existent pour pouvoir provoquer ce virement sur un compte bancaire qu'ils tiennent.
03:05Et ça, vraiment, c'est quelque chose qui augmente de manière significative.
03:10Donc, l'arnaque et l'attaque au faux virement ?
03:13Voilà.
03:14Donc, l'attaque qui consiste à se faire passer pour un client ou, en tout cas, dans le cadre d'une transaction commerciale fondée,
03:24mais à tromper le service financier de l'entreprise pour générer ce faux virement.
03:31D'accord.
03:31Et le mode opératoire, c'est quoi ?
03:32C'est un mail qu'on reçoit au départ ?
03:34Alors, souvent, il n'y a pas de règle systématique, mais souvent, l'origine de cette attaque se trouve dans le piratage d'une boîte de messagerie,
03:43d'un compte de messagerie, d'un fournisseur, d'un prestataire.
03:47Et justement, l'utilisation frauduleuse, la réutilisation frauduleuse de ces boîtes de messagerie,
03:51de manière à s'insérer dans une relation commerciale.
03:54Et au dernier moment, par exemple, on va changer le RIB du destinataire et du bénéficiaire du virement
03:59pour pouvoir récupérer les fonds au préjudice du payeur et également du vrai bénéficiaire de cette transaction commerciale.
04:08Et effectivement, la violation de données, donc deuxième grosse menace qu'on voit augmenter de manière significative.
04:15Là, les entreprises, comme je l'ai dit, sont des cibles d'intérêt puisqu'elles hébergent beaucoup de données.
04:19Donc, s'introduire frauduleusement sur le système d'information de l'entreprise pour les attaquants
04:25afin d'aller altérer, exfiltrer et réutiliser frauduleusement les données des clients, des collaborateurs, des prestataires,
04:35par exemple, en usurpant leur identité.
04:37Voilà.
04:38Donc, on est vraiment sur des éléments qui augmentent significativement.
04:42Sans oublier les fameux ransomgiciels, les ransomware, ces programmes malveillants qui vont chiffrer,
04:48c'est-à-dire rendre inaccessible l'ensemble des données d'une entreprise qu'elle possède sur son système d'information
04:54en échange du paiement d'une rançon.
04:56Et oui, tout ça, ça continue.
04:58Et donc, la 2026 démarre par la période des soldes.
05:02Tout à fait.
05:02Donc là, on va s'adresser pas seulement aux entreprises, mais à tous les citoyens qui cherchent la bonne affaire.
05:08C'est aussi le moment où on peut tomber sur une arnaque et être victime de cyberattaquants.
05:14Alors, ce sont même des périodes, j'ai envie de dire, privilégiées par les attaquants.
05:18Pour justement lancer des grandes vagues d'attaques.
05:22Pour la bonne et simple raison que, quelle que soit la période promotionnelle,
05:27ça peut être le Black Friday, ça peut être la période des fêtes, ça peut être les soldes d'hiver,
05:30on est tous à la recherche de la bonne affaire.
05:33Et donc, on va être beaucoup plus sensibles à des campagnes d'hameçonnage
05:37qui nous promettent des réductions significatives.
05:41Et bien entendu, les attaquants le savent bien et réitèrent régulièrement.
05:45Et nous publions très régulièrement sur cybermalveillance.gouv.fr des articles justement pour alerter nos différents publics sur les points de vigilance à adopter pendant ces périodes promotionnelles.
05:57Juste très rapidement, justement, un conseil, une recommandation pour les téléspectateurs ?
06:01Alors, le premier conseil, et je pense que vous l'entendrez bien, c'est de garder tout son bon sens et sa vigilance naturelle,
06:09même face à l'affaire du siècle, ce qui peut sembler être l'affaire du siècle.
06:14Ça, c'est la première chose, prendre toujours un petit peu cette distance par rapport à l'offre promotionnelle.
06:19Pour nous, il y a deux temps. Il y a avant l'achat et il y a pendant l'achat.
06:24Avant l'achat, bien entendu, comparer les offres.
06:27Se méfier des taux de réduction colossaux, moins 90%, moins 95%.
06:34Trop beau pour être vrai.
06:36Voilà, trop beau pour être vrai.
06:37Vérifier la notoriété du site.
06:39Où est-il situé ? Est-ce que c'est une enseigne connue qui est de confiance ?
06:44En cas de litige, est-ce que ça va se régler en France, en Europe, à l'autre bout du monde ?
06:49Et ça, c'est vraiment un petit travail de recherche.
06:52On ne doit pas céder à l'attraction immédiate d'une affaire.
06:57Pendant l'achat, bien entendu, vérifier le caractère sécurisé de la connexion,
07:02être vigilant aux différentes étapes de l'achat,
07:05s'assurer qu'on est bien sur le site en question et pas sur un site tiers ou un formulaire frauduleux.
07:10Donc, être vigilant parce que les attaquants veulent récupérer nos données,
07:15le plus souvent bancaires, financières,
07:19ou nous faire acheter des marchandises fictives ou qui ne seront jamais livrées.
07:23Enfin bref, voilà, on est aussi face, malheureusement, à ces dérapages et à ces périodes qui...
07:31Donc, attention, c'est les soldes.
07:34Voilà.
07:34Et si jamais vous êtes victime, 17cyber.gouv.fr.
07:37Très bien, c'est noté.
07:40Merci beaucoup, Laurent Verdi, d'avoir été avec nous.
07:42Je rappelle que le directeur sensibilisation et pédagogie au sein du groupement d'intérêt public,
07:46cybermalveillance.gouv.
07:48Allez, on enchaîne avec l'interview RSSI.
07:54L'interview RSSI, c'est avec Julien Mousqueton, expert en cybersécurité.
07:59Depuis de nombreuses années, je ne peux pas dire combien.
08:02Vous avez occupé plusieurs postes de direction technique au sein d'organisations publiques, privées,
08:06notamment chez Computacenter, où vous étiez directeur technique.
08:10Vous avez aussi travaillé pour le groupe Agrica, la CPAM de Paris,
08:15la banque d'investissement Natixis.
08:17Et aujourd'hui, vous êtes le RSSI de Coecity,
08:19qui est un spécialiste américain de la sécurité et de la gestion des données.
08:24Alors, ma question sur l'interview RSSI, en général, ça commence par
08:30« Quel est votre quotidien ? »
08:32Bonjour.
08:35Énorme, puisque c'est très large.
08:38En général, mon quotidien va commencer assez tôt le matin
08:40pour étudier un peu ce qui s'est passé chez nos amis américains,
08:45puisque c'est quand même une bonne tendance aussi.
08:48Je m'occupe aussi d'un site internet qui s'appelle Ransomware Live,
08:52qui recense les victimes de ransomware.
08:54J'ai vu ça.
08:54Donc, je regarde aussi les victimes qu'il y a eues,
08:59principalement en Europe et en France,
09:01parce qu'on va rester un peu chauvin,
09:02mais c'est important, ça donne des tendances.
09:05Et puis après, c'est aller voir aussi les clients de Coecity
09:08pour les accompagner dans les bonnes pratiques
09:11et surtout expliquer que la cybersécurité,
09:15ce n'est pas que des outils,
09:16c'est beaucoup d'humains, du processus,
09:17de l'évangélisation et de la formation.
09:20Et après, que ce soit moi ou mes collègues,
09:21on va accompagner nos clients ou nos prospects.
09:23Mais d'ailleurs, quand vous racontez votre quotidien,
09:25vous commencez par de la veille,
09:27c'est vraiment quelque chose de très humain.
09:31Et la technique, elle arrive quand alors ?
09:33Alors la technique est une aide finalement
09:34dans toute cette chaîne de processus de cybersécurité.
09:37Il faut des outils, mais les outils ne font pas tout.
09:39Il faut identifier les bons outils quand même ?
09:42Alors il faut utiliser les bons outils,
09:43mais même les bons outils, on se rend compte sur certaines attaques
09:46qu'il y a eu des victimes de ransomware,
09:48pourtant ils avaient le top des outils
09:50ou qu'on considère comme les meilleurs.
09:51Et ça n'a pas empêché l'attaque
09:53parce qu'il reste toujours un humain derrière un clavier
09:55qui va cliquer, qui va peut-être faire quelque chose de malveillant
09:59sans le savoir.
10:00Et ça, malheureusement, ça passe par beaucoup de temps d'explications.
10:04Et c'est aussi pour ça que le matin,
10:05j'aime bien faire toute cette veille
10:06pour avoir des cas concrets,
10:09pour expliquer aux clients,
10:10ils arrivent beaucoup plus à se projeter,
10:12surtout quand on va parler à des utilisateurs finaux.
10:14Autant les équipes techniques comprennent assez rapidement
10:16parce que c'est aussi leur quotidien.
10:17On vit la même chose.
10:19Mais les utilisateurs, je trouve que c'est important aussi
10:20de les sensibiliser et de les sensibiliser avec du concret pour eux.
10:24Alors, vous l'avez signalé, effectivement,
10:26vous êtes le créateur de la plateforme Ransomware Live.
10:30Quelles sont les évolutions que vous constatez
10:32en matière de ransomware ?
10:33Parce qu'on a eu une sorte de hype,
10:35j'ai envie de dire, malheureusement,
10:37pendant plusieurs années.
10:38J'ai l'impression qu'on en parle un petit peu moins maintenant.
10:40Est-ce que ça veut dire que la menace est moins forte
10:41sur les rançons logicielles ?
10:42Alors, bien au contraire.
10:44Je pense qu'on s'est un peu habitués, malheureusement,
10:45aussi à en entendre parler.
10:48Si on regarde les chiffres du ministère de l'Intérieur,
10:52c'est plus d'une saisine par jour en France.
10:55C'est énorme.
10:57Pourtant, on n'en a pas entendu parler tous les jours.
10:59Or qu'on pourrait.
11:00Alors, bon, il y a les enquêtes
11:01où il faut garder des choses secrètes,
11:02ou en tout cas pas les communiquer tout de suite.
11:04Non, je pense que les gens s'y sont habitués,
11:06malheureusement.
11:07C'est devenu un peu notre quotidien.
11:10Et c'est ça un peu qui est aussi le problème.
11:12Vous voyez des tendances se dégager
11:13à travers cet outil ?
11:15Alors, oui, ça augmente.
11:20Déjà, la tendance augmente.
11:23Et à peu près régulière dans l'augmentation
11:25ces deux dernières années.
11:28Et je me rends compte qu'il y a une menace
11:30dont on ne parle peu,
11:33qui s'appelle les infostyleurs.
11:34Ce sont des programmes malveillants
11:35qui vont finalement récupérer des logins mots de passe.
11:38et les gens, par facilité,
11:41souvent utilisent les mêmes.
11:42Et c'est souvent par là
11:43qu'on voit les premiers accès
11:44sur des attaques.
11:48Effectivement.
11:48Et c'est un excellent sujet
11:50à les infostyleurs,
11:51mais c'est très bien
11:51parce que je cherchais des experts.
11:53Donc, c'est comme ça,
11:54on pourra en reparler ensemble.
11:55En attendant,
11:56est-ce que vous constatez
11:56des écarts de maturité
11:57en matière de cybersécurité,
12:00de résilience
12:00au sein des organisations ?
12:02Oui, c'est très épars.
12:03Ce n'est pas toujours
12:04les plus gros
12:05qui sont les mieux protégés.
12:08Alors, globalement,
12:09on va dire quand même si.
12:10Les plus gros,
12:11on subit souvent,
12:12je pense principalement bancaire,
12:14subit des réglementations fortes
12:15depuis de nombreuses années.
12:16Il y a Dora depuis un an,
12:17en fait,
12:18les un an de Dora.
12:19Mais même avant,
12:20il y avait d'autres réglementations
12:21qui imposaient quand même
12:22des choses au niveau,
12:23on n'appelait peut-être pas ça
12:24de la cyber-résilience,
12:25mais il y avait déjà de la résilience.
12:27Donc, ils sont quand même
12:28assez prêts.
12:30Aujourd'hui,
12:31moi, ce que je me rends compte,
12:31c'est plutôt...
12:32C'est-à-dire qu'on doit encore
12:32quand même évangéliser
12:34dans les organisations
12:34qui ne sont pas sur-réglementées
12:37en matière de résilience.
12:39Il faut...
12:39Le RSSI doit encore évangéliser
12:41au sein de ses comités de direction.
12:44Les comités de direction
12:45et aussi auprès de ses utilisateurs,
12:47puisque c'est aussi,
12:49comme je disais,
12:50c'est la personne
12:50qui est derrière le clavier
12:51qui peut, des fois,
12:52être la personne malveillante
12:53sans sa soin intentionnel.
12:55Et donc ça, pour moi,
12:56c'est les moyennes entreprises,
13:00puisque c'est elles qui, finalement,
13:01ont de l'argent, globalement.
13:03Alors, les gros, oui,
13:04mais je veux dire,
13:04par rapport aux petites,
13:06il y a de l'argent
13:07et souvent,
13:08ils n'ont pas des systèmes
13:09qui sont toujours bien faits
13:11ou les processus,
13:12les procédures.
13:13Moi, je milite énormément
13:14pour faire des simulations
13:15de crise.
13:15On a des exercices chez Coesity
13:18où on simule des attaques
13:20de ransomware.
13:22Et vous mobilisez l'ensemble
13:23des métiers ?
13:25On demande à le faire.
13:27Après, ça dépend des entreprises.
13:28Mais oui, moi,
13:30j'ai eu la chance
13:31d'être un animateur
13:32à l'exercice Rempart
13:33de l'Ansi
13:33l'année dernière.
13:36Et c'est vrai
13:37qu'il faut qu'il y ait tout le monde,
13:39que ce soit la RAH,
13:40les métiers,
13:41pas que des gens techniques.
13:43La communication,
13:44très important aussi,
13:45que ce soit interne ou externe.
13:47Le juridique aussi.
13:48Le juridique, bien entendu.
13:49La finance.
13:50Parce que comment on fait
13:51quand on n'a plus accès
13:52aux comptes bancaires ou autres,
13:53quand il y a des urgences ?
13:55Si je reprends l'exemple
13:56de Rempart qui m'avait marqué,
13:58moi, je travaillais sur
13:59un exemple d'école,
14:00pardon, d'une mairie,
14:01il n'y avait plus de couches.
14:04Comment on fait ?
14:04Est-ce qu'on peut aller
14:05au supermarché
14:05acheter des couches ou pas ?
14:07C'est des petites choses bêtes,
14:08mais voilà,
14:08et on se rend compte
14:09qu'il y a plein de choses
14:10auxquelles il faut penser
14:10et sans les exercices.
14:13Je rapporte souvent ça
14:15un peu avec les sportifs,
14:16avec la mémoire des muscles.
14:18C'est tout à fait ça,
14:19il faut s'entraîner.
14:19C'est de l'entraînement.
14:21Merci beaucoup,
14:22Julien Musqueton,
14:23d'être venu témoigner
14:23en tant que RSSI de Coesity.
14:26On enchaîne,
14:27mais on va parler
14:27de la sécurité des agents IA.
14:33À la une de ce talk,
14:35on va parler de la sécurité
14:36des IA agentiques,
14:39donc des agents IA,
14:40pour en parler autour de la table
14:41trois experts.
14:43Thiebaud Meyer,
14:44directeur des stratégies
14:45de sécurité
14:45chez Google Cloud,
14:47qui a commencé sa carrière
14:48à l'ANSI,
14:49puis à l'Assemblée nationale
14:50comme ingénieur de sécurité
14:51avant d'occuper les fonctions
14:52de RSSI,
14:53d'EPO.
14:54Il a également été responsable
14:56de la cybersécurité
14:57à la présidence
14:57de la République
14:58et a travaillé
14:59à la Banque de France
15:00sur les enjeux
15:01liés à la régulation bancaire.
15:04À côté,
15:04Bernard Montel,
15:05directeur technique terrain,
15:07évangéliste cybersécurité
15:09chez Tenable,
15:10une entreprise
15:11de la cyber évidemment,
15:13spécialiste de la gestion
15:14de l'exposition
15:14aux risques cyber,
15:16titulaire d'un Master
15:17of Science
15:18en Réseau et Sécurité
15:19et d'un Master 2
15:20en Intelligence Artificielle.
15:21Aujourd'hui,
15:21c'est important
15:21que je le précise,
15:23plus de 20 ans
15:24d'expérience
15:24dans le secteur
15:25de la sécurité
15:26avec tout ça.
15:26Et puis,
15:27Alain Issarni
15:27également avec nous,
15:29qui a occupé
15:29le poste de DSI
15:30à la Direction Générale
15:31des Impôts,
15:32la Direction Générale
15:33des Finances Publiques,
15:34la Caisse Nationale
15:36d'Assurance Maladie.
15:37Il a également été
15:37le président exécutif
15:38de NumSpot
15:39qu'on connaît tous
15:40pour être l'initiative
15:42Consortium,
15:43un consortium en fait
15:44pour faire émerger
15:45un cloud français souverain.
15:47Et aujourd'hui,
15:48Alain est directeur général
15:49de SIAM,
15:50Société de Conseil
15:51en Innovation
15:51et Transformation
15:52des Organisations.
15:53Alors,
15:54je voulais commencer
15:54avec l'étude
15:55de Tenable Research.
15:57Je ne sais pas
15:58si vous en avez
15:58pris connaissance,
15:59évidemment,
16:00mais c'est intéressant
16:02parce que c'est un cas
16:03d'étude
16:03qui a été mené
16:04avec Microsoft Copilot Studio
16:07pour créer un agent
16:09de voyage automatisé
16:11qui va être chargé
16:12de gérer
16:12les réservations clients
16:13à partir des données
16:14personnelles et bancaires
16:16fictives d'utilisateurs.
16:18Alors,
16:18il faut nous raconter
16:18ce qui s'est passé.
16:20Eh bien,
16:21on a une équipe
16:21de recherche
16:22qui a voulu voir
16:23un petit peu
16:24comment on pouvait
16:24détourner un agent IA.
16:26Alors,
16:27on a créé
16:27une fausse agence de voyage.
16:30Ce n'est pas pour aller
16:31chercher des informations.
16:32Fausse utilisateur,
16:33fausse agence de voyage.
16:34Exactement.
16:35Les vrais agents IA.
16:36Les vrais agents IA
16:37développés
16:37avec ce qu'on appelle
16:38du no code.
16:39C'est-à-dire qu'en fait,
16:41on n'a pas de développeur,
16:42on fait du prompt
16:43et on instancie du coup
16:45un agent IA
16:46pour pouvoir faire
16:46des réservations.
16:48Et alors,
16:48qu'est-ce qui se passe ?
16:49Alors,
16:50on a utilisé
16:50l'un des risques majeurs
16:52sur l'IA,
16:53ce qu'on appelle
16:53l'injection de prompt.
16:55Ça veut dire quoi ?
16:56Ça veut dire qu'en fait,
16:57on va parler à l'agent
16:59et on va essayer
17:00de le détourner.
17:01On va essayer
17:02de lui donner
17:02des instructions
17:03et non pas de l'utiliser
17:04comme si on était
17:05un simple utilisateur.
17:07Et c'est ce qu'a fait
17:07notre équipe de recherche.
17:09Et c'est ce qu'elle a fait
17:10facilement ?
17:11Elle a fait ça
17:12assez facilement.
17:12Alors,
17:12tout est documenté,
17:13tout est public.
17:14Vous pouvez voir
17:15que très rapidement,
17:17alors,
17:17l'agent a été d'abord créé
17:19avec des instructions,
17:21puisque c'est du prompt,
17:22à 100%,
17:22pas de code.
17:23Et parmi ces instructions,
17:24on a aussi des instructions
17:25de sécurité.
17:27Attention,
17:28si quelqu'un te demande
17:29quelque chose,
17:30vérifie d'abord l'identité.
17:32Surtout,
17:32ne remonte pas
17:33des informations
17:34d'un autre client.
17:36D'accord ?
17:37Et en forçant un peu
17:39la main à l'agent,
17:40on y est arrivé.
17:41Notre équipe
17:41lui a demandé,
17:43en fait,
17:44plus précisément,
17:45normalement,
17:45il a été programmé
17:46avec une instruction
17:47pour remonter
17:48une information.
17:50L'agent a détourné
17:50cette limite
17:51en faisant
17:53une boucle
17:53et en remontant
17:54plus d'informations.
17:55Et donc,
17:56c'est comme ça
17:56que l'utilisateur
17:57a pu avoir,
17:57par exemple,
17:58le numéro de carte bancaire
17:59et les détails
18:00des autres réservations
18:01des autres clients.
18:03Et on est allé même
18:04jusqu'à réserver
18:05une chambre gratuite.
18:07Donc,
18:07ça,
18:08ça pose un peu
18:08le contexte
18:09de notre discussion.
18:12Ça fait un petit peu
18:13froid dans le dos.
18:14Donc,
18:14on se dit,
18:15oulala,
18:15c'est si facile que ça,
18:16finalement,
18:17de manipuler
18:18des agents.
18:18Il y a...
18:19Je passe la main.
18:20En effet,
18:22les agents IA
18:23ont présenté
18:23des menaces.
18:24On vient de parler
18:25de l'injection de prompt
18:26qui existe aussi
18:26sur les modèles.
18:27Et donc,
18:27évidemment,
18:28ces agents
18:28qui s'appuient
18:29sur des modèles
18:29lorsqu'ils ont besoin
18:31de lancer des actions,
18:32faire l'appel
18:32à des outils extérieurs,
18:33sont aussi exposés
18:36à ces menaces.
18:37Les agents
18:38sont aussi exposés
18:39aux menaces
18:39d'hallucination
18:40du modèle sous-jacent.
18:42Donc,
18:42il y a aussi
18:42ce risque-là.
18:45Voilà tout ce qui est
18:46interprétation des données.
18:49Encore une fois,
18:49les agents vont agir
18:50pour le compte
18:51d'un utilisateur
18:52ou pour le compte
18:53d'une organisation
18:54sur des outils externes.
18:55Donc,
18:55il faut être extrêmement
18:56attentif à tout ce qui est
18:57permission,
18:58droit d'accès,
18:59avoir vraiment
19:00des contrôles
19:01qui permettent
19:02de mesurer
19:03et de canaliser
19:05les actions
19:07de ces agents
19:08et puis surtout
19:08de pouvoir les surveiller.
19:11Parce que là aussi,
19:12dans l'expérience
19:13menée par Tenable Research,
19:15c'était sur un outil,
19:16vous l'avez précisé,
19:17no code.
19:18C'est-à-dire
19:18une manière assez simple
19:19de fabriquer un agent IA.
19:21Est-ce que ça veut dire
19:22que ça représente
19:22plus de risques
19:23quand on passe
19:24par une plateforme
19:25comme celle-là ?
19:27Alors,
19:27pas forcément celle-là.
19:28On n'a rien
19:28contre cette plateforme
19:30en particulier.
19:31Non, non,
19:32oui,
19:32la réponse est oui.
19:33Tout simplement
19:34pour deux raisons.
19:35La première,
19:35c'est qu'à partir
19:37du moment
19:37où on utilise
19:39un système
19:41où on n'a
19:41aucune expertise
19:42finalement dans le code
19:43qui va être généré,
19:45ces plateformes
19:46peuvent générer
19:46des codes
19:47avec des vulnérabilités
19:48ou des problèmes
19:49de configuration.
19:51Donc,
19:51quand on n'est pas
19:51du tout expert
19:52et qu'on utilise
19:53juste du prompt
19:54pour faire du no-code,
19:56eh bien,
19:57on a peu de possibilités
19:58finalement,
19:59un,
19:59de comprendre ce code
20:01puisqu'on n'est pas
20:01du tout expert
20:02et deux,
20:03évidemment,
20:04de le fixer
20:04si on a des problèmes
20:05de configuration
20:06ou de vulnérabilité
20:07et c'est ce qu'on a mis
20:08en exergue.
20:09Alors Alain,
20:09vous représentez un peu
20:11les DSI,
20:12je vais le dire.
20:13Je vais essayer de me souvenir
20:14de mon ancienne casquette.
20:15C'est des années d'expertise
20:16que je compte sur vous
20:17pour m'éclairer.
20:18Au sein d'une DSI,
20:20est-ce qu'aujourd'hui,
20:20l'arrivée d'IA agentique,
20:22ça peut être une source
20:24d'angoisse ?
20:25L'IA en général
20:26est une source d'angoisse.
20:28On parle de l'agentique,
20:29il faut savoir que l'agentique
20:30souffre de toutes les difficultés
20:33et les risques
20:34de l'IA générative.
20:35Sauf que c'est juste
20:36démultiplier
20:37au nombre d'agents
20:38que l'on peut y mettre.
20:40La DSI,
20:42en fait,
20:42on parle de l'état de l'art,
20:44les DSI sont souvent
20:45très loin de cet état de l'art.
20:47L'IA agentique,
20:48qui le fait réellement ?
20:50Je pense qu'il n'y en a pas
20:51beaucoup.
20:52Et en fait,
20:53la difficulté,
20:53c'est que le DSI
20:54est tiraillé.
20:55L'IA,
20:56c'est qu'il faut absolument
20:57faire de l'IA
20:58au sein d'une DSI,
20:59au sein d'une entreprise.
21:00Il faut y aller.
21:02Et donc,
21:02on vend, entre guillemets,
21:03du rêve,
21:03on dit qu'il faut faire
21:04énormément de choses
21:05et il faut y aller.
21:06Et oui,
21:07c'est une angoisse
21:07parce qu'en fait,
21:09ça va très vite,
21:10c'est difficile à maîtriser
21:12et on multiplie
21:13la surface de risque
21:14et la surface d'attaque.
21:16Quand on parle
21:16d'IA agentique,
21:17en fait,
21:18on multiplie
21:19la surface d'attaque.
21:20Tous ces agents-là,
21:21en fait,
21:21ont autant de pouvoirs possibles
21:23pour venir attaquer
21:24le système d'information
21:25au taux de choses
21:26à essayer de régler
21:28et de réguler.
21:30Sur quelque chose
21:30qu'on ne connaît pas
21:31encore très bien,
21:32voilà,
21:33c'est ça en fait,
21:33où les DSI
21:35peuvent se retrouver
21:35un peu en débutant
21:37dans cette nouvelle solution.
21:40En gros,
21:40tout le monde aujourd'hui
21:41sur l'IA
21:42a fait ce que l'on appelle
21:43le CQ-GPT.
21:44Vous voyez ce que je veux dire,
21:45c'est le chat GPT
21:47mais sécurisé
21:47parce qu'on dit
21:48on ne peut pas faire confiance,
21:49on ne veut pas mettre
21:49des données,
21:50on en fait en interne.
21:51Du coup,
21:51tous les utilisateurs râle
21:52en disant
21:53finalement il est nul.
21:55Et du coup,
21:56récemment,
21:56il y a deux exemples
21:57d'abandon
21:58de CQ-GPT.
21:59Je pense que vous l'avez vu,
22:00la Société Générale
22:01a annoncé
22:02de passer
22:03de leur SG-GPT
22:04à Copilot,
22:05je crois.
22:06S-O-G-P-T.
22:08S-O-G-P-T.
22:09Ah oui, pardon.
22:10Et je comprends
22:12qu'Albert
22:13est en passe
22:14plutôt d'être
22:15arrêté aussi.
22:16Albert l'IA
22:17pour les services
22:19publics.
22:21Donc,
22:22oui,
22:23tout le monde
22:23a essayé
22:24de faire cela
22:25mais ça va
22:25extrêmement vite
22:26même en faisant ça
22:27en fait,
22:28deux ans après,
22:28c'est dépassé,
22:29il faut passer
22:30à autre chose.
22:33L'IA agentique
22:34en fait,
22:34c'est tout nouveau.
22:36L'IA générative,
22:37c'est quoi ?
22:38C'est octobre 2022 ?
22:40L'IA agentique
22:41où les principes
22:41en fait sont
22:42beaucoup plus récents
22:43que ça.
22:43Oui.
22:44ce qu'on appelle MCP
22:46et je ne vais pas
22:47rentrer dans la technique
22:48parce que je ne suis pas
22:49le meilleur technicien
22:50là-dessus.
22:51En gros,
22:51ce que l'on a appelé
22:52la prise USB-C
22:54de toutes les IA génératives
22:57pour pouvoir les connecter
22:57un peu partout.
22:59Ça,
22:59ça date d'octobre 2024.
23:01Anthropique qui sort ça.
23:03On parle de protocole,
23:04aujourd'hui,
23:04c'est un protocole de fait
23:05mais ce n'est pas
23:05un vrai protocole.
23:07En avril 2025,
23:09donc c'est Google
23:10qui sort A2A.
23:12C'est comment faire
23:13dialoguer des agents
23:14entre agents.
23:16Donc là,
23:17on est il y a moins d'un an.
23:18Oui,
23:18c'est sûr,
23:19tout ça est très récent.
23:20Et la semaine dernière,
23:21Google a annoncé
23:22comment ça s'appelle ?
23:22UCP.
23:24Un personnel commerce
23:25protocole.
23:27Exactement,
23:27c'est le commerce agentique.
23:28Ça fait un peu froid
23:29dans le dos,
23:30si j'ai bien compris,
23:31c'est comment
23:32désintermédier
23:33en fait tous les acteurs
23:34de vente
23:35et puis acheter
23:36vis-à-vis de Google.
23:37Donc ça,
23:38ça attire
23:38une petite lumière
23:39un peu différente
23:41qui est le sujet
23:43de dépendance
23:44qui est un autre sujet
23:45et dont on pourrait parler.
23:48Donc ça peut potentiellement
23:49créer une dépendance
23:50énorme.
23:51Mais ce que je veux dire
23:52par là,
23:52c'est qu'en fait,
23:53on est en pleine explosion.
23:57Tout est en train
23:58de changer
23:58à longueur de temps.
24:00Les plus avancés,
24:01que ce soit Google
24:02ou d'autres acteurs,
24:03en fait,
24:03avancent très vite
24:04et créent des choses.
24:06Mais la DSI,
24:08elle est juste
24:08très très loin
24:09de ces sujets-là.
24:11Et pourtant,
24:14elle ne peut pas faire
24:15l'économie
24:15de s'y mettre.
24:16Elle est obligée.
24:19Parce que vous avez
24:19indiqué les...
24:20Parce qu'on n'est
24:21qu'à l'introduction là.
24:22Ah, pardon.
24:24Quelle est justement
24:25la vision de la sécurité
24:26des agents IA
24:26de Google
24:27qui est particulièrement
24:28en avance
24:29sur ce sujet ?
24:31Alors déjà,
24:31en effet,
24:32c'est un domaine
24:33qui avance très vite,
24:34qui évolue très vite
24:35et donc, voilà,
24:36c'est un cadre aussi
24:36de sécurité
24:37qui évolue.
24:40D'abord,
24:40j'aimerais rappeler
24:41ce que disait Bernard.
24:42En effet,
24:43un agent,
24:43ça reste du code.
24:44Donc,
24:45il ne faut pas oublier
24:45toutes les bonnes pratiques
24:46que l'on avait employées
24:48depuis 10-15 ans maintenant
24:49sur la sécurité du code.
24:51Donc,
24:51les revues de code,
24:52faire du code propre,
24:54sécurisé,
24:54parce que,
24:55voilà,
24:55c'est aussi un moyen
24:56de contourner
24:58les contrôles de sécurité
25:00et de faire faire
25:02à l'agent
25:02des actions
25:03potentiellement malveillantes.
25:05Donc,
25:05ça,
25:05c'est une première partie.
25:06C'est,
25:07voilà,
25:07garder ce qu'on parlait
25:08de l'état de l'art.
25:08Pas croire aux baguettes magiques.
25:10Voilà,
25:10c'est pas magique,
25:11ça reste du code
25:12et donc,
25:12voilà,
25:12il faut aussi travailler
25:13sur,
25:14on va dire,
25:14la sécurité,
25:16travailler aussi
25:16sur tout ce qui est autour,
25:17la sécurité de l'infrastructure.
25:19On parle d'échanges de données,
25:21donc,
25:21il faut sécuriser
25:21ces échanges de données,
25:23aussi bien les données
25:24d'entraînement
25:24qui vont servir
25:25pour entraîner les modèles
25:27qu'ensuite,
25:28les données d'utilisateurs
25:29qui vont,
25:30voilà,
25:31et qui vont les alimenter,
25:33on va dire,
25:33ces agents
25:34et leurs réponses.
25:36Donc,
25:36toute cette sécurité
25:36qui tourne autour
25:37de l'environnement
25:38des agents
25:39doit être importante.
25:41Et puis ensuite,
25:41tout ce qui est aussi
25:42supervision humaine,
25:43on l'a dit,
25:43il peut y avoir
25:43des hallucinations,
25:44il peut y avoir
25:44des contournements
25:45de contrôle de sécurité
25:46qui sont construits
25:47dans ces agents.
25:49Voilà,
25:49il faut qu'il y ait
25:50une supervision.
25:51Alors,
25:51soit une supervision
25:52faite,
25:53on va dire,
25:53probabilistique
25:54par d'autres agents
25:55qui jouent un peu
25:56le rôle de gardien,
25:57soit une supervision
25:59et des contrôles
26:00plus déterministes
26:02en dur
26:02où on dit,
26:02ben voilà,
26:03telle action est interdite
26:04quoi qu'il arrive
26:04et on bloque l'agent
26:06sur certaines de ces actions.
26:08Il faut garder la main,
26:09en fait,
26:09la maîtrise.
26:11Est-ce que,
26:12parce qu'on parle
26:12de surface d'attaque
26:13qui augmente finalement
26:14à mesure qu'on laisse
26:16davantage finalement
26:17d'outils numériques
26:18et informatiques
26:19prendre la main
26:19sur des actions,
26:21est-ce que vous diriez
26:21que ce sont des menaces
26:23maintenant invisibles
26:24qu'on va avoir
26:24davantage de difficultés
26:26à les identifier ?
26:28Pour reprendre
26:29ce que vous disiez,
26:30on est en pleine explosion,
26:32on est en pleine exposition.
26:34Je pense qu'aujourd'hui,
26:36ça va tellement vite.
26:38Je pense qu'un des mots clés
26:40de l'IA au sens large
26:41et des agents IA
26:42qui arrivent à vitesse
26:44grand V,
26:44c'est vraiment
26:45le mot vitesse.
26:46Le métier demande
26:48d'aller très très vite,
26:49ce qui fait qu'on va utiliser
26:50des outils
26:51qui sont le plus simples
26:52possible
26:52pour mettre en place.
26:54D'accord ?
26:54Donc,
26:55ça explose,
26:56ça part partout
26:56et cette surface
26:59d'attaque,
26:59elle est exponentielle
27:01tout simplement
27:02parce qu'elle est exposée
27:04de manière beaucoup
27:04plus rapide
27:05qu'auparavant.
27:06On n'a pas le temps
27:07de voir arriver
27:08un projet
27:08qui a été développé
27:10sans code
27:10qu'on ait déjà
27:12exposé.
27:13Mais si on décide
27:15quand même
27:16de faire attention,
27:17de ne pas aller trop vite,
27:19de créer
27:20des contrôles,
27:21est-ce que la menace
27:22sera forcément visible ?
27:24Est-ce que les agents
27:24ne risquent pas
27:25de masquer
27:25finalement
27:26des attaques,
27:27des menaces ?
27:28Créant des couches,
27:31finalement,
27:31des sous-couches
27:32d'actions
27:32sur lesquelles
27:33je n'ai plus
27:33tellement de vues ?
27:35Je pense que ça aussi
27:36c'est le rôle
27:37de ces cadres
27:37de sécurité,
27:38de ces mesures
27:39qui doivent
27:40prendre en compte
27:41la visibilité
27:43des actions,
27:43tout ce qui est
27:44monitoring,
27:45tout ce qui est
27:45pour être capable
27:47de surveiller.
27:47C'est-à-dire qu'il y a
27:48des alertes
27:48après chaque action ?
27:50Exactement,
27:50comme lorsqu'on enregistre
27:53les actions
27:53d'utilisateurs
27:54pour vérifier
27:55qu'il n'y a pas
27:55d'action malveillante
27:56qui se glisse
27:57dans toutes les actions
28:00légitimes
28:01d'une organisation,
28:02il faut faire
28:02la même chose,
28:03cette même démarche
28:04avec les agents,
28:05vérifier que
28:06les actions qu'ils font,
28:07que l'identité
28:08qu'ils occupent,
28:09que les permissions
28:10qu'ils ont
28:10sont bien restreintes.
28:12C'est un nouveau champ
28:13de la cyber,
28:14finalement,
28:14aussi,
28:14qui va se développer ?
28:16Vous voyez ça
28:17comme ça ?
28:18C'est un nouveau champ
28:21dans la surface d'attaque.
28:22On a eu les réseaux...
28:24Du côté des protections,
28:25du côté des solutions ?
28:26Tout à fait.
28:27C'est surtout
28:27une évolution,
28:28je pense,
28:28du périmètre.
28:29On reste aussi
28:30sur des principes
28:31assez fondamentaux.
28:32Le principe
28:32du moindre privilège
28:33lorsqu'on parle d'agents,
28:35on parlait de la sécurité
28:35du code.
28:37Vous avez parlé
28:37dans notre première interview
28:38avec Laurent Verdier
28:39des attaques
28:40en déni de service.
28:41Ça peut aussi arriver
28:41sur les agents,
28:43sur les modèles d'IA.
28:44Donc voilà,
28:44on ne réinvente pas
28:45forcément tout,
28:46mais en tout cas,
28:47on fait évoluer
28:47le périmètre.
28:48C'est ce qu'on disait.
28:48La surface d'attaque augmente.
28:50D'accord.
28:51Aujourd'hui,
28:51il existe des technologies.
28:53Chez nous,
28:53chez Tenable,
28:54on a une technologie
28:54spécialisée là-dedans.
28:56On va regarder
28:56le comportement
28:58de l'activité IA
28:59dans une entreprise
29:00et de l'activité
29:02des agents.
29:02On est capable
29:03de voir
29:03qu'un agent
29:04va commencer
29:04à faire des activités
29:06qu'il ne devrait pas faire
29:07suite à la mise en place
29:08d'une politique
29:09qu'on a définie.
29:09Donc il faut identifier
29:11où sont les agences
29:13qui le font
29:14et placer des contrôles
29:15en fait un petit peu partout.
29:17Quelles seraient
29:17les recommandations
29:18qu'on pourrait faire
29:19justement à une DSI
29:20à qui on demande
29:21d'accélérer
29:21sur l'IA agentique ?
29:23Oui, mais déjà
29:24pour répondre à la question
29:25est-ce que c'est
29:25un nouveau modèle cyber
29:27ou autre ?
29:28Je ne sais pas
29:29si c'est un nouveau modèle
29:30mais en tout cas
29:31c'est beaucoup plus évolué.
29:34Ça a été évoqué
29:35tout à l'heure
29:35je crois
29:35dans la précédente interview
29:36où on sait
29:37les fuites de données
29:392025
29:40a battu tous les records.
29:41Catastrophique, oui.
29:42Et en fait
29:43c'est quoi ?
29:44Bien souvent
29:45en fait
29:45c'est des comptes
29:46à privilèges fonctionnels
29:47ce que j'appelle
29:48des comptes à privilèges
29:49à fonctionnels
29:50c'est-à-dire que
29:50quelqu'un légitimement
29:52a les droits
29:53d'accéder
29:53à une base énorme.
29:55Et là
29:56on n'est même pas
29:57sur l'IA agentique.
29:58Non.
29:58Mais même déjà cela
29:59ce que l'on constate
30:01c'est que
30:02le niveau de maturité
30:04qui peut exister
30:04ici ou là
30:05rend l'exercice
30:07compliqué
30:08pour détecter
30:09des exfiltrations
30:10de données
30:11via
30:12ces accès
30:13fonctionnels
30:14à privilèges.
30:15Pratiquement
30:16toutes les entreprises
30:17ont des accès
30:18fonctionnels
30:18à privilèges
30:19ce que j'appelle
30:19des accès fonctionnels
30:20à privilèges
30:21c'est avoir
30:21la possibilité
30:22d'accéder
30:23en fait
30:23à toutes
30:24les données
30:24de la maison
30:25de l'entreprise
30:27un help desk
30:29par exemple
30:29quand vous l'appelez
30:30il ne sait pas
30:31que c'est vous
30:31quand vous vous présentez
30:33il faut qu'il accède
30:34à toute la base
30:34pour trouver votre fiche
30:35donc c'est fonctionnellement
30:37normal
30:38qu'il y ait
30:38des accès
30:38à privilèges
30:39et ces comptes-là
30:41doivent faire l'objet
30:42d'une sécurisation énorme
30:43on le sait
30:44depuis des années
30:45on constate
30:46néanmoins
30:47qu'il y a des fuites
30:47de données
30:48qui sont considérables
30:49et bien souvent
30:50c'est à cause de cela
30:51donc on peut dire
30:52bah oui
30:53mais ce que je vais dire
30:54c'est que la maturité
30:55est telle que même déjà
30:56sur ces sujets-là
30:57c'est compliqué
30:58demain avec l'IA agentique
31:00ou aujourd'hui
31:01avec l'IA agentique
31:02bah en fait
31:03c'est la même chose
31:03c'est-à-dire que potentiellement
31:05l'IA agentique
31:05en fait
31:06entendre des privilèges
31:07qui sont beaucoup plus grands
31:08qui peuvent accéder
31:09à des bases de données
31:10et faire potentiellement
31:12potentiellement la même chose
31:13donc oui
31:14il y a toujours
31:15des bonnes pratiques
31:16qui consistent
31:16à surveiller
31:17pour savoir
31:18ce qui est fait
31:19ou ce qui n'est pas fait
31:21mais l'exercice
31:23est malgré tout
31:23extrêmement compliqué
31:24pour distinguer
31:26ce qui relève
31:27d'une sollicitation normale
31:29que d'une sollicitation
31:31de type
31:31exfiltration des données
31:32est-ce qu'on a identifié
31:34les principales vulnérabilités
31:36avec l'IA agentique
31:37est-ce que c'est les mêmes
31:38que celles qu'on connaît
31:39jusqu'ici
31:40alors
31:41elles sont globalement les mêmes
31:43elles sont globalement les mêmes
31:45c'est des vulnérabilités
31:46des problèmes de configuration
31:46mais j'aimerais revenir
31:47sur ce que vous disiez
31:48sur la partie identité
31:49aujourd'hui
31:51des identités non humaines
31:53c'est-à-dire techniques
31:54applicatives
31:55c'est un ratio
31:56de 80 pour 1
31:58c'est-à-dire 80 non humains
31:59pour une identité
32:01la nôtre humaine
32:02d'accord
32:03il y a une quinzaine d'années
32:04c'était 10 pour 1
32:05donc en fait
32:06ça c'est une vulnérabilité
32:07donc si on regarde bien
32:09l'IA
32:10et l'IA agentique
32:11c'est une technologie comme une autre
32:12c'est ce que tu disais tout à l'heure
32:13sur revenir à l'essentiel
32:15revenir aux basiques
32:16il faut regarder
32:18les vulnérabilités
32:19il faut regarder
32:20les problèmes de configuration
32:21et surtout
32:21les problèmes d'identité
32:22sachant qu'elles sont plus complexes
32:24et qu'elles peuvent aller plus loin
32:25particulièrement
32:26avec l'IA agentique
32:27et on dispose aussi
32:28maintenant de plus en plus
32:29de guides aussi
32:30de cadres de sécurité
32:32qui visent spécifiquement
32:34les systèmes d'IA
32:35et même les agents d'IA
32:36alors on en a publié un chez Google
32:37le NIST en a sorti un
32:38l'ANSI a fait un guide
32:39également
32:40sur la sécurité
32:43pour le déploiement
32:43de systèmes d'IA
32:44donc voilà
32:45on a aussi des risques
32:45spécifiques à l'IA
32:46maintenant qu'on sait mieux
32:48adresser
32:49les organisations doivent faire
32:49cette analyse de risque
32:50en effet
32:51vous parliez de cartographie
32:52c'est exactement ça
32:53comprendre les risques
32:54et voilà
32:55investir là où les risques
32:56ont le plus fort impact
32:57très rapidement
32:59pour savoir
32:59en recommandation
33:00de DSI
33:00c'est le mot de la fin
33:01il y a plusieurs dimensions
33:03il y a les cas d'usage
33:04on va faire de l'IA
33:05mais les DSI
33:06doivent s'emparer
33:07des sujets plus techniques
33:08la façon d'interconnecter
33:10tous ces modèles
33:11à son système d'information
33:12comment régler tout ça
33:14pour éviter d'avoir
33:15demain un patchwork
33:16il est absolument indispensable
33:18de créer des patterns
33:19d'architecture
33:20pour savoir comment
33:21on va connecter
33:22ces agents IA
33:22et voir comment
33:24on va réguler
33:25et mieux surveiller
33:26ce que peuvent faire
33:27l'IA et l'IA agentique
33:29ne remplacera pas
33:30le DSI
33:30au contraire
33:31ça va lui donner
33:32beaucoup plus de travail
33:33ni le RSSI
33:33ni le RSSI
33:35absolument
33:35merci beaucoup
33:36à tous les trois
33:37Thiebaud Meyer
33:37directeur des stratégies
33:38de sécurité
33:39chez Google Cloud
33:40Bernard Montel
33:41directeur technique
33:42terrain évangéliste
33:43cybersécurité
33:44chez Teneble
33:44et Alain Issarni
33:46le directeur général
33:46de Siam
33:47merci encore
33:48à tous les trois
33:49nous on enchaîne
33:50avec la question
33:50des logiciels
33:51de gestion des risques
33:52l'invité de notre
33:57Focus Solutions
33:59s'appelle Rémi Bélavoine
34:00bonjour
34:01vous êtes le CEO
34:03Dischera
34:04alors tout le monde
34:04n'a pas encore entendu
34:05parler de Dischera
34:06parce que c'est quand même
34:07récent
34:07un groupe né
34:09du rapprochement
34:09de trois spécialistes
34:10européens des logiciels
34:12Devo Team
34:13sa spécialiste
34:14Accurage
34:15Pocket Result
34:16et Optizimo Group
34:18donc spécialiste
34:19des logiciels
34:20de GRC
34:20qui est l'acronyme
34:21pour Gouvernance
34:23Risques
34:23et Conformité
34:24pourquoi cette fusion
34:25maintenant ?
34:26exactement
34:26alors qu'est-ce qui est
34:27à l'origine
34:28de la création
34:29d'Ischera
34:29en fait c'est le constat
34:31que souvent les risques
34:32sont gérés de manière
34:33en silo
34:34en fait au sein
34:35des entreprises
34:36et donc Ischera
34:37précisément
34:38a été créé
34:39pour donner une visibilité
34:40complète
34:41aux dirigeants
34:41d'entreprises
34:42sur leurs risques
34:43quelle que soit la nature
34:44des risques
34:44ça peut être des risques
34:45de cybersécurité
34:46on en a beaucoup parlé
34:47dans cette émission
34:47des risques humains
34:49des risques opérationnels
34:50et donc
34:51Ischera
34:52intervient
34:53avec ses solutions
34:54donc Optimizo
34:55Accurage
34:56comme vous l'avez répété
34:57et Pocket Result
34:59pour proposer
35:00des cockpit
35:01de pilotage
35:02pour que
35:03chaque dirigeant
35:04de l'entreprise
35:04vous avez décidé
35:05de vous mettre ensemble
35:05pourquoi ?
35:06c'est un moment
35:06où il faut structurer
35:07ce marché ?
35:08oui exactement
35:08c'est un marché
35:09qui est assez fragmenté
35:10qui est en croissance
35:11et qui surtout
35:12nécessite des champions
35:13européens
35:14pour adresser
35:16vraiment
35:17des données
35:18extrêmement sensibles
35:19des clients
35:20européens
35:21et les problématiques
35:23qui sont de plus en plus
35:25importantes
35:25avec des risques
35:27de plus en plus complexes
35:28de plus en plus difficiles
35:29à maîtriser
35:30et des réglementations
35:31qui se multiplient
35:33et à travers lesquelles
35:34il faut naviguer
35:35exactement
35:35et aujourd'hui
35:37les champions
35:37ce sont les américains aussi ?
35:39il y a beaucoup d'américains
35:40qui sont face à nous
35:42mais on a
35:44encore une fois
35:44je pense énormément
35:46d'expertise
35:48à montrer
35:49face à ces américains
35:51et encore une fois
35:52surtout
35:52il y a des vrais enjeux
35:53de souveraineté
35:54parce que c'est des données
35:56ultra sensibles
35:57par définition
35:58les données de risque
35:59c'est les données
36:00les plus importantes
36:01des entreprises
36:02avoir un acteur français
36:04avec des données
36:05hébergées en France
36:07ou en Europe
36:07toute la R&D
36:10effectuée en Europe
36:11est absolument critique
36:12je pense pour les grands groupes
36:15qu'ils soient français
36:16ou ailleurs en Europe
36:17j'ai lu aussi
36:19dans l'annonce
36:20de la création
36:21d'Isquera
36:22que c'était notamment
36:22pour lutter
36:23contre le blanchiment
36:24d'argent
36:25oui ça fait partie
36:26des risques
36:26qu'on gère
36:28pas principaux
36:29mais ça fait partie
36:30des risques
36:31qui doivent être maîtrisés
36:32notamment par toutes
36:32les entreprises financières
36:34où il faut de la traçabilité
36:35exactement
36:35la lutte contre le blanchiment
36:37le financement du terrorisme
36:38tout ça c'est des sujets
36:39absolument clés
36:40on ne peut pas passer à travers
36:41c'est des enjeux
36:43qui sont gigantesques
36:44non seulement pour
36:46les régulateurs
36:47les superviseurs
36:48mais aussi pour les entreprises
36:49et surtout pour
36:50le commerce international
36:52c'est absolument clé
36:53il y a un autre risque
36:55mais qui est un petit peu
36:56plus récent
36:56celui-ci
36:57c'est celui de la conformité
36:58dans le domaine
36:58de l'intelligence artificielle
36:59avec l'IA Act
37:00qui s'applique désormais
37:02oui exactement
37:03l'IA Act
37:04est extrêmement important
37:05donc on a occupé
37:06nos solutions
37:07d'intelligence artificielle
37:09ça permet à nos clients
37:10de gagner du temps
37:12et surtout de faire
37:14des tests
37:16de manière beaucoup
37:17plus approfondie
37:17c'est-à-dire qu'au lieu
37:19de faire un test
37:20sur un échantillon
37:21on est capable
37:21d'être complètement exhaustif
37:23sur un sujet
37:23que ce soit
37:24des transactions
37:25par exemple
37:26ou la gestion des clients
37:28ou autre
37:29parce que ces logiciels
37:31de GRC
37:31ça prend quelle forme
37:33une forme de tableau de bord
37:34dans lequel on peut suivre ?
37:37la partie analytique
37:38est extrêmement importante
37:39mais c'est vraiment
37:39des solutions de pilotage
37:40c'est-à-dire que
37:41le premier objectif
37:42c'est effectivement
37:43d'avoir une vision
37:44de ces risques
37:45quelles sont mes activités
37:48quels sont les risques
37:49présentés par ces activités
37:50comment je les maîtrise
37:51comment je les anticipe
37:53comment je peux les piloter
37:54au mieux
37:54et derrière
37:55il y a tout un ensemble
37:56de modules
37:57qui permettent
37:57de piloter ces risques
37:58de mettre en place
38:00des plans de contrôle
38:02de l'audit
38:03des tests
38:04et de piloter aussi
38:06tout ce qui est
38:06résilience d'entreprise
38:08et y compris
38:09comment ça s'articule
38:10avec les logiciels
38:12et les plateformes
38:13de gouvernance
38:14de la cybersécurité ?
38:16alors souvent
38:18c'est complémentaire
38:19surtout ça donne
38:21un niveau au-dessus
38:22en fait
38:22l'idée c'est vraiment
38:24de gérer
38:24ce qu'on appelle
38:25l'enterprise risque
38:26c'est-à-dire
38:27les risques
38:27dans leur ensemble
38:28y compris les risques
38:29de cybersécurité
38:30mais ça comprend
38:32aussi
38:33la gestion
38:34des risques
38:35comme je le disais
38:36opérationnels
38:37financiers
38:37ou autres
38:39merci beaucoup
38:40Rémi Bellavoine
38:41je rappelle que vous êtes
38:42donc le CEO
38:43d'ISQUERA
38:44donc nouvelle initiative
38:45un groupement
38:46pour gagner en souveraineté
38:47sur ces logiciels
38:49de GRC
38:50merci à vous
38:51merci beaucoup
38:52on enchaîne
38:52et on termine
38:53d'ailleurs cette édition
38:54avec Culture C
38:55on va s'intéresser
38:56aux journées francophones
38:57de la sécurité
38:58à lire
39:03à voir
39:04à écouter
39:04à visiter
39:06on termine
39:06cette édition
39:07avec notre rendez-vous
39:08Culture C
39:09bonjour Alexandra
39:10a été à nu
39:10bonjour Delphine
39:12merci beaucoup
39:13d'être avec nous
39:14je rappelle que vous êtes
39:14avocate
39:15une fidèle de Smartech
39:17d'ailleurs je vous remercie
39:18mais vous êtes aussi
39:18membre du comité
39:19de programme
39:20des GS Days
39:22donc journée francophone
39:24de la sécurité
39:25de l'information
39:26et de la cyber
39:27ça se tient
39:27à Paris
39:28ce sera mardi prochain
39:30le 20 janvier
39:312026
39:32quel est le programme
39:33en particulier
39:33de cette édition
39:34alors déjà
39:36j'aimerais saluer
39:37et rendre hommage
39:38à Valentin Jangois
39:39qui est l'organisateur
39:40de cette journée
39:41et c'est vraiment
39:42une journée
39:42les GS Days
39:43ça existe depuis 16 ans
39:44maintenant
39:44c'est la 16ème édition
39:45cette année
39:46et c'est vraiment
39:47une journée
39:47qui se veut
39:48de regroupement
39:49et de formation
39:50de tout l'écosystème cyber
39:51donc c'est vraiment
39:52un mélange
39:52de DPO
39:53de RSSI
39:54de CISO
39:54des CISIRT
39:55etc
39:55qui se donne rendez-vous
39:56ce jour-là
39:57il y a toute la journée
39:58de 8h30
39:59à 19h
40:00donc à l'espace
40:01Saint-Martin
40:01dans le 3ème
40:02des formations
40:02des tables rondes
40:04des interviews
40:06il y a une table ronde
40:07qui est très intéressante
40:08le matin
40:08qui s'appelle
40:09la table ronde
40:12sur l'IA
40:13et la désinformation
40:14à la télévision
40:16notamment
40:16il y aura
40:17France Télévisions
40:17qui sera présent
40:18une personne
40:19de chez Viginium
40:20aussi
40:20qui expliquera
40:21comment est-ce que
40:21l'IA aujourd'hui
40:22peut influencer
40:23les médias
40:25les réseaux
40:25potentiellement
40:26les élections
40:27etc
40:27il y aura aussi
40:28une table ronde
40:29qui est intéressante
40:29l'après-midi
40:30à laquelle je participerai
40:31sur comment est-ce que
40:32la cybersécurité
40:34façonne la législation
40:35l'effet domino
40:36de la cybersécurité
40:38sur la législation
40:38ou l'inverse
40:39avec tout le casse-tête
40:41chinois
40:41qu'on connaît
40:42sur la réglementation
40:43cyber
40:44voilà
40:45donc il y a
40:45plein de tables rondes
40:46c'est à viser
40:47très pratique
40:48et pour tous
40:51donc voilà un peu
40:52le programme
40:53de cette journée-là
40:54donc de 8h30
40:55à 19h
40:56à l'espace Saint-Martin
40:57le mardi 20 janvier prochain
40:59donc c'est
41:00donc c'est plutôt
41:01des débats
41:02des discussions
41:02plus que des
41:04que des solutions
41:05qui seront présentées
41:07c'est ça ?
41:08alors il y a
41:08c'est un espace d'échange
41:09effectivement des
41:10c'est un espace d'échange
41:11alors c'est pas du tout
41:12un espace
41:13qui est fait
41:14pour la prospection
41:15c'est-à-dire
41:15qu'on va pas demander
41:16à certains fournisseurs
41:18de services
41:18de venir sur scène
41:20toute la journée
41:20pour présenter des solutions
41:21il y aura de temps en temps
41:22des personnes
41:25qui vont venir présenter
41:26certaines solutions techniques
41:27mais c'est quelque chose
41:28qui sera
41:28un peu dispersé
41:30à travers des tables rondes
41:31où il y aura des débats
41:32et on essaiera de trouver
41:33parfois des solutions
41:34quand même
41:34à travers ces débats-là
41:35quand même
41:36pour l'écosystème cyber
41:37le thème
41:38j'ai lu que c'était
41:39le Rubik's Cube
41:40de la cybersécurité
41:41qu'est-ce que vous entendez par là ?
41:43écoutez
41:43je suis dans le thème
41:44sans faire exprès
41:45justement
41:47ce Rubik's Cube
41:48ça fait penser
41:48un peu à casse-tête chinois
41:49et c'est comment est-ce
41:50qu'à plusieurs
41:50on peut s'imbriquer
41:51alors l'organisationnel
41:53la technique
41:54le juridique
41:54pour trouver des solutions
41:55dans un monde cyber
41:56où aujourd'hui
41:57on peut pas fonctionner
41:58chacun séparément
41:58mais on doit tous
42:00se mettre ensemble
42:00pour trouver des solutions
42:01et donc on trouvait
42:02que c'était joli
42:02et que c'était imagé
42:03de ce côté casse-tête
42:04qu'il faut régler
42:05tous ensemble aujourd'hui
42:06et vous
42:07vous êtes impliquée
42:08dans ces GSD
42:10à quel titre ?
42:11qu'est-ce qui vous a motivé
42:12en fait
42:12de vous inscrire
42:13dans cet événement
42:14en tant qu'avocate ?
42:15alors moi
42:16je fais partie
42:17du comité des programmes
42:18et justement
42:18ce que j'aime
42:19dans cet événement
42:19c'est le fait
42:20de parler
42:21pas qu'avec des juristes
42:22mais avec des gens
42:23du terrain
42:23et un peu de partout
42:24et c'est justement
42:25ces regards croisés
42:26qui sont je trouve
42:26très intéressants
42:27parce qu'on est dans
42:28un métier
42:28où c'est ce que je vous disais
42:30il y a 36 jours
42:31on peut pas
42:31travailler seulement nous
42:33les juridiques
42:33donc c'est très intéressant
42:34pour nous
42:35d'avoir justement
42:36ces échanges
42:36avec des gens
42:37de la pratique
42:38et du terrain
42:39et vous espérez
42:42avoir beaucoup
42:42de juristes
42:43qui vont participer
42:44à ces journées
42:45parce que c'est bien
42:46aussi que le risque
42:47juridique soit pris en compte
42:49dans la composante cyber
42:50il y a effectivement
42:52alors il y a des DPO
42:52il y a pas mal de DPO
42:53qui se sont inscrits
42:54donc des délégués
42:55à la protection des données
42:56donc certains sont juristes
42:57et il y a quelques juristes
42:58qui sont aussi inscrits
42:59alors il n'y a pas que ça
43:00mais justement
43:01tout le but de cette journée
43:02c'est aussi de sensibiliser
43:03et de montrer que
43:04ça ne doit pas toucher
43:06que les juristes
43:06aujourd'hui
43:07et que c'est quelque chose
43:08qui doit toucher en fait
43:08tous les métiers
43:09en tout cas dans la cyber
43:10Super, merci beaucoup
43:12Alexandra Etéanune
43:13de nous avoir donné
43:13ce rendez-vous
43:14je rappelle que vous êtes
43:15avocate et membre
43:16du comité de programme
43:17des GS Days
43:18et merci à tous
43:19de nous avoir suivis
43:20c'était Smart Cyber
43:22votre émission
43:22sur la confiance numérique
43:24une émission que j'ai le plaisir
43:25de vous proposer
43:26et de présenter
43:27qui est préparée aussi
43:28avec Émilie Roche
43:29et à la réalisation
43:30les équipes de Bsmart
43:32je vous dis à très bientôt
43:33bonne journée à tous
43:38Sous-titrage Société Radio-Canada
43:40Sous-titrage Société Radio-Canada
43:40Sous-titrage Société Radio-Canada
43:42Sous-titrage Société Radio-Canada
Écris le tout premier commentaire