00:04Dans l'interview RSSI, j'ai le grand plaisir de recevoir Arnaud Martin. Bonjour, merci beaucoup d'être avec nous.
00:09Vous êtes le directeur des risques opérationnels de la Caisse des dépôts, également auditeur IHEDN de la session nationale 2021
00:16-2022,
00:17avec la majeure souveraineté numérique, cybersécurité, deux sujets hyper importants, toujours plus importants.
00:24Et d'actualité.
00:24Oui, exactement. Vous êtes aussi administrateur du CESAIN et membre du comité d'audit et des risques de la filiale
00:30informatique de la CDC.
00:31Comment vous voyez évoluer cette menace cyber ?
00:35Alors, c'est une menace qui, il y a de ça une dizaine d'années, était une menace très technique.
00:40Elle était très centrée sur les équipes télécom, les équipes réseau, les équipes IT, etc.
00:48Et au fur et à mesure, on a vu monter en puissance à la fois le niveau des attaquants,
00:53donc du coup, l'impact de ces attaques directement sur le business des entreprises
00:57et une réelle prise de conscience des membres du COMEX, du conseil d'administration de chacune des entreprises dans lesquelles
01:03j'ai travaillé.
01:04Tant mieux s'il y a cette prise de conscience, parce qu'effectivement, les attaques, nous dit-on, sont de
01:09plus en plus sophistiquées.
01:10Est-ce que vous avez vu arriver une bascule vers les attaques menées par des intelligences artificielles ?
01:18Ou est-ce que ça, ça reste encore un fantasme ?
01:20Alors, ce n'est pas un fantasme.
01:22Par contre, ce n'est pas non plus un gap.
01:24On est plutôt dans une croissance linéaire sur cette partie-là.
01:30Ce qu'on voit, c'est que, et notamment dans le cadre du baromètre du Cézain,
01:33on analyse quels sont les différents vecteurs d'attaque.
01:35On est plutôt dans la continuité des vecteurs d'attaque.
01:38Par contre, on observe une sophistication des attaques par la partie IA.
01:43Typiquement, le phishing reste le moyen le plus commun pour déclencher une attaque.
01:50Donc, moyennant un clic ou moyennant le fait de renseigner ses credentials.
01:55Par contre, ce qu'on voit, c'est qu'on trompe l'humain derrière la machine.
01:59Et pour tromper l'humain, c'est beaucoup plus simple de personnaliser un certain nombre de choses grâce à l
02:03'IA,
02:03parce que ça permet de collecter beaucoup d'informations sur la personne qu'on va tenter de tromper.
02:08Et du coup, de lui donner ce sentiment de confiance, ce sentiment de
02:10« je connais la personne qui me sollicite, donc il n'y a pas de problème, je vais de suite
02:14rentrer mes credentials. »
02:15Ou elle me demande de cliquer sur un fichier.
02:16« Oui, je vais ouvrir ce fichier, bien évidemment. »
02:19Est-ce que de votre côté, vous vous dites « c'est aussi un outil pour moi,
02:23pour revoir la manière dont on sécurise un réseau, des applications, des accès ? »
02:29Alors, clairement, sur cette partie-là, j'ai une approche totalement duale.
02:33À la fois, je pilote les risques associés à l'utilisation de l'IA dans tous les compartiments,
02:40donc typiquement tous les métiers de la Caisse des dépôts.
02:42Et à côté de ça, en tant qu'utilisateur de l'IA,
02:46j'ai une capacité à être un analyste augmenté sur différents sujets.
02:52Donc, les équipes qui travaillent chez moi pour monitorer les événements de sécurité,
02:57de suite, ils ont cette capacité, dès qu'ils voient quelque chose,
03:00d'enrichir l'information quasi de manière instantanée grâce à l'intelligence artificielle.
03:04Sur d'autres activités, typiquement le contrôle permanent,
03:07de la même façon, on a une capacité à collecter beaucoup plus d'informations
03:10et à l'utiliser de manière beaucoup plus pertinente grâce à l'intelligence artificielle.
03:15Donc, il faut vraiment le voir comme deux facettes d'un même sujet.
03:19À la fois, ça fait croître les risques, mais de l'autre côté,
03:22c'est une vraie opportunité de travailler plus efficacement.
03:25Et c'est facile de s'en emparer, d'en faire un outil de travail au quotidien aujourd'hui,
03:29dans le domaine de la cyber ?
03:30Alors, ça dépend des profils, j'aurais tendance à dire.
03:33Sur la partie cyber, on a l'avantage d'avoir plutôt des ingénieurs
03:39et qui ont souvent un petit tropisme, mais souvent, ils sont un petit peu fainéants.
03:43Donc, ils n'ont pas envie de faire plusieurs fois la même chose.
03:46Donc, jusqu'à maintenant, ils scriptaient beaucoup,
03:49ils automatisaient beaucoup en développant des codes en Python
03:52par rapport à toutes les problématiques qu'ils pouvaient rencontrer,
03:54qui étaient récurrentes.
03:55Maintenant, ils ont très aperçu très rapidement
03:58que l'intelligence artificielle pouvait remplacer le script
04:01de manière plus efficace, donc ils l'utilisent.
04:03Donc, ils s'en emparent.
04:04Alors, on disait au moment où je vous présentais
04:07que le sujet de la souveraineté et de la maîtrise technologique
04:09était super important, le sujet de la régulation aussi.
04:13Vous faites partie de ceux qui attendent avec impatience
04:15par exemple l'application de Nice 2 en France.
04:19On en a besoin ?
04:20Je ne l'attends pas avec ma casquette Caisse des dépôts
04:23puisque moi, je suis sur un secteur bancaire,
04:24donc du coup, je suis assujetti à la grande sœur de Nice 2,
04:27qui est Dora, qui s'est retrouvée de suite déclinée
04:32puisque c'était un règlement européen qui s'appliquait à l'ensemble des pays.
04:35Mais par contre, en tant que vice-président du Cézain,
04:37oui, on pense que c'est important d'avoir cette déclinaison-là
04:41au niveau du territoire français.
04:42Ça a déjà été le cas sur bon nombre de nos voisins.
04:45La France est plutôt en retard en termes de déclinaison
04:47et c'est un rendez-vous important,
04:49comme le rappelle régulièrement Vincent Struble.
04:51Pour autant, il ne faut pas attendre que la loi arrive
04:55pour se mettre en hors de marche,
04:57pour effectuer un certain nombre de mises en conformité.
04:59Donc, c'est systématiquement ce que nous déclinons
05:01auprès de l'ensemble des RSS qui font partie du club du Cézain.
05:04On a déjà des workshops depuis une douzaine de mois
05:08pour expliquer à ceux qui seront assujettis à Nice 2
05:11comment prendre un certain nombre de choses,
05:12en commençant par les bonnes briques,
05:14ne pas mettre la charrue avant les bœufs sur cette partie-là.
05:16C'est toujours important d'avoir une bonne gouvernance,
05:18d'identifier quels sont les assets les plus critiques de l'entreprise,
05:21les activités les plus critiques de l'entreprise,
05:23pour sécuriser au préalable cette partie-là
05:25et bien monitorer via la gouvernance
05:27le niveau de sécurisation associé.
05:29Mais on a besoin du texte pour que ça devienne contraignant, en fait.
05:31On a besoin du texte pour que ça devienne contraignant
05:33et peut-être aussi pour que certains chefs d'entreprise
05:36mettent davantage de moyens.
05:38Ah oui, les budgets pour la cyber.
05:40Sur la question de la souveraineté,
05:42la Caisse des dépôts, c'est presque régalien, finalement ?
05:45C'est un établissement public, donc c'est régalien.
05:48Voilà.
05:49Ce qui est important pour nous...
05:50Comment vous abordez cette problématique aujourd'hui de la dépendance ?
05:52On ne peut pas parler de l'indépendance,
05:54pour l'instant, mais encore, comment on sort de nos dépendances ?
05:56Alors, un sujet qui nous tient à cœur,
05:58c'est d'avoir cette vision, enfin cette ambition
06:01de développer un certain nombre de souveraineté.
06:03C'était déjà le cas sur la partie souveraineté énergétique,
06:07sur la partie souveraineté industrielle,
06:10au travers de certaines filiales type BPI, bien évidemment.
06:12Et on s'est emparé du sujet de la souveraineté numérique
06:14parce que c'est un sujet cœur.
06:17Les données, c'est l'or qui constitue la capacité
06:22qu'on va avoir à développer, à être innovant
06:24sur un certain nombre de domaines.
06:27Et si on ne maîtrise pas potentiellement
06:31tous les mécanismes associés à la protection de ces données-là,
06:34on va être totalement dépendant des grands acteurs,
06:38américains ou autres d'ailleurs,
06:40qui détiennent cette capacité à manipuler ces données,
06:43à récupérer ces données-là.
06:45Typiquement, une voiture connectée,
06:48la réelle valeur de la voiture connectée,
06:51c'est presque autant les données qui transitent dans la voiture
06:53que la capacité à construire
06:56et donc à fournir l'ensemble du véhicule autour.
06:59Et ça, du coup, c'est un exemple allemand.
07:02Donc ça, l'industrie allemande,
07:04l'industrie allemande l'a tout à fait...
07:06Enfin, on a pris conscience.
07:08Et justement, il y a eu un certain nombre d'investissements
07:10qui ont été annoncés par le chancelier Schröder
07:13sur la maîtrise des infrastructures au niveau du cloud
07:15lors du forum sur la souveraineté en novembre 2025.
07:19C'est un sujet aussi, la cybersécurité,
07:21la souveraineté sur les outils de cybersécurité ?
07:23C'est également un sujet sur cette partie-là,
07:26sachant que le curseur n'a jamais été positionné
07:30aussi loin en termes de plateformisation
07:32que sur le poste de travail
07:34ou sur les sujets collaboratifs sur cette partie-là.
07:36On a la chance en France d'avoir un vrai tissu de start-up,
07:39de scale-up en cybersécurité qui est très dynamique
07:42et des solutions qui, voilà, que...
07:44Alors, certes, on les finance au bord du groupe,
07:47donc bien évidemment, j'en suis fier,
07:48mais globalement, quand on se compare par rapport aux autres Européens,
07:52on est clairement une nation très dynamique sur cette partie-là,
07:55juste en dessous des Américains et des Israéliens,
07:56mais on fait partie du top 3.
07:59Merci beaucoup, Arnaud Martin, d'avoir été avec nous.
08:01Je rappelle que vous êtes le RSSI de la Caisse des dépôts.
08:03C'était un grand plaisir de vous écouter.
08:05Merci, Daphine.
08:05Et nous, on enchaîne avec un talk.
08:07On va parler du poids de la menace sur les collectivités.
08:09Merci.
Commentaires