- il y a 2 jours
Vendredi 20 février 2026, retrouvez David Larose (DSI, Mairie de Drancy), François Verryden (Fondateur et président, Skyfall protection), Antoine Damiens (Product manager, Virtual Browser), Arnaud Martin (RSSI, Caisse des dépôts), Olivier Arous (Fondateur et PDG, OGO Security), Gérôme Billois (expert cybersécurité, Wavestone) et Ariel Turpin (Délégué général, Avicca) dans SMART CYBER, une émission présentée par Delphine Sabattier.
Catégorie
🗞
NewsTranscription
00:07Bonjour à tous, cible de choix tout particulièrement pendant les élections.
00:12Les mairies, les collectivités sont sous la menace des attaques cyber, tout particulièrement en ce moment.
00:18On verra comment les protéger, le poids de la menace sur les collectivités.
00:23C'est donc notre sujet à la une de Smart Cyber aujourd'hui.
00:26Au programme également, l'interview RSSI avec Arnaud Martin, le RSSI de la Caisse des dépôts, qui sera notre grand
00:33invité.
00:34On aura également un focus solution, comment protéger les applis web.
00:38Et puis, on vous délivrera des idées pour encore renforcer votre culture cyber.
00:44On parlera également de cette conférence de la sécurisation de l'IA.
00:48Mais d'abord, c'est l'alerte, l'alerte sur les usages professionnels de l'intelligence artificielle.
00:53C'est tout de suite en interview.
00:58L'alerte cyber s'arrête aujourd'hui sur un conseil de la DGSI,
01:04donc la Direction Générale de la Sécurité Intérieure,
01:06qui est adressée aux entreprises.
01:08Alerte sur les risques associés à l'usage professionnel de l'intelligence artificielle.
01:13Bonjour Antoine Damiens.
01:14Bonjour Delphine.
01:15Vous êtes Product Manager chez Virtual Browser.
01:18Alors, peut-être remettre en contexte cette alerte.
01:22Pourquoi cette publication ?
01:23Donc, c'est dans le cadre d'un flash sur les ingérences économiques.
01:27Pourquoi cette publication ?
01:28Qu'est-ce qui se passe avec l'IA dans le milieu professionnel ?
01:31Alors, aujourd'hui, l'IA, c'est un outil qui est utilisé par quasiment tout le monde pour augmenter la
01:36productivité des entreprises.
01:37La DGSI met en lumière trois cas d'usage qui sont finalement assez communs.
01:41Le fait de copier-coller des documents dans des outils de traduction, dans des chatbots,
01:46mais également le fait d'utiliser l'IA dans des outils, c'est-à-dire l'IA qui est invisible.
01:52On parle de shadow IA dans ce genre de cas.
01:54Et puis, le troisième cas, ça va être tout ce qui est deepfake,
01:56le fait de manipuler l'IA pour se faire passer pour quelqu'un qu'on n'est pas.
02:00Et donc, aujourd'hui, c'est des cas qui sont très fréquents
02:03et que les entreprises, auxquelles toutes les entreprises sont confrontées.
02:07Alors là, le flash de la DGSI ne donne pas de nom,
02:10mais elle évoque quand même trois sociétés françaises
02:12qui ont été confrontées à des actions d'ingérence économique.
02:16Donc, on est face à une menace très concrète.
02:19Oui, aujourd'hui, clairement, tous ces cas d'usage montrent que la propriété intellectuelle,
02:25le travail des entreprises peut fuiter vers l'étranger.
02:29Aujourd'hui, la plupart des outils ont des options gratuites.
02:31Et souvent, quand c'est gratuit, c'est qu'il y a derrière une contrepartie.
02:35Donc, on peut entraîner des modèles étrangers.
02:38Donc, la DGSI fait d'ailleurs des recommandations d'usage d'outils français
02:43et d'outils même européens avec un hébergement sur le territoire.
02:48Alors, justement, vous me parlez des préconisations de la DGSI.
02:51Donc, elle parle d'encadrer l'usage de l'intelligence artificielle au sein de l'entreprise,
02:56de la question aussi de la gouvernance, d'utiliser l'IA de manière raisonnée.
03:01Quels sont vos conseils ?
03:03Alors, les recommandations de la DGSI sont très bonnes.
03:07Je pense qu'il est important, effectivement, déjà de sensibiliser les gens sur l'usage de l'IA,
03:12ce qu'on peut faire et ne pas faire.
03:14Le fait d'anonymiser les données avant de les utiliser,
03:16c'est quelque chose qui devrait être fait systématiquement.
03:19Après, nous, on suit ces recommandations.
03:23Typiquement, chez Virtual Browser, notre solution permet de contrôler les usages de l'IA sans les bloquer.
03:28C'est-à-dire ?
03:30Aujourd'hui, on a 85% des usages web qui sont faits à travers le navigateur,
03:36notamment tous les usages d'IA qui sont faits par le navigateur.
03:39Les trois exemples de la DGSI passent par le navigateur.
03:42Et donc, nous, aujourd'hui, ce qu'on peut faire avec une solution comme Virtual Browser,
03:45c'est contrôler finement ce que va faire l'utilisateur,
03:47c'est-à-dire lui donner accès peut-être à certains outils qui sont autorisés par l'entreprise
03:50et, au contraire, pouvoir bloquer, par exemple, des copiers-collés vers d'autres outils IA,
03:56des téléversements de fichiers également
03:58et, tout simplement, avoir une maîtrise du risque et de l'utilisation de l'IA par différentes populations.
04:04Mais vous parlez du navigateur.
04:05À quel moment le navigateur intervient dans cette protection ?
04:09Alors, le navigateur, aujourd'hui, nous, chez Virtual Browser,
04:11on déporte la navigation sur un serveur distant
04:13et, en fait, l'utilisateur va se connecter aux outils
04:16qui ne sont pas officiellement autorisés par l'entreprise
04:18à travers ce navigateur
04:20et, donc, effectuer sa session de navigation
04:22à travers son navigateur habituel, mais sur un serveur distant
04:26et pouvoir interagir avec une IA
04:30sous le contrôle de ce que décident la DGSI et les équipes de sécurité.
04:36Quel est l'intérêt de déporter cette sécurité sur un serveur distant
04:41plutôt que de le mettre directement dans le système d'information
04:43et d'empêcher la connexion sur un site qui serait à risque ?
04:49Alors, aujourd'hui, nous...
04:50Vous dites que c'est pour éviter d'interdire des usages, c'est ça ?
04:52Alors, nous, on permet les usages.
04:54La solution, nous, c'est plutôt de...
04:56Quand on interdit, on a tendance à penser que les gens détournent...
05:00Enfin, trouvent une solution de contournement.
05:01C'est pas faux.
05:02C'est souvent le cas, en tout cas.
05:04Et donc, nous, aujourd'hui, on permet les usages,
05:06mais on les permet sous un contrôle.
05:07Donc, on peut autoriser certains sites à accéder en direct.
05:10Une IA officielle, si on utilise des IA françaises, par exemple,
05:13qui sont autorisées par l'entreprise.
05:15Et, à contrario, se dire que les outils les plus communs,
05:19ChatGPT, Gemini ou autres,
05:20sont accessibles via une solution comme Virtual Browser.
05:23Et donc, on peut interagir avec la solution.
05:26Par contre, on ne peut pas copier-coller des éléments dedans.
05:28On ne peut pas téléverser des fichiers.
05:30On ne peut pas charger des images.
05:33Tout reste sous contrôle des équipes de sécurité.
05:36Merci beaucoup, Antoine Damiense,
05:38pour avoir décrypté avec nous ce sujet.
05:41Je rappelle que vous êtes le Product Manager de Virtual Browser.
05:44C'est l'heure d'accueillir notre RSSI,
05:46notre responsable de la sécurité des systèmes d'information
05:49à la Caisse des dépôts, Arnaud Martin.
05:56Dans l'interview RSSI, j'ai le grand plaisir de recevoir Arnaud Martin.
05:59Bonjour.
06:00Bonjour, Antoine.
06:00Merci beaucoup d'être avec nous.
06:02Vous êtes le Directeur des risques opérationnels de la Caisse des dépôts,
06:05également auditeur IHEDN de la Session Nationale 2021-2022,
06:09avec la majeure souveraineté numérique, cybersécurité.
06:13Deux sujets hyper importants, toujours plus importants.
06:16Et d'actualité.
06:17Exactement.
06:18Vous êtes aussi administrateur du CESAIN et membre du comité d'audit et des risques de la filiale informatique de
06:23la CDC.
06:24Comment vous voyez évoluer cette menace cyber ?
06:27Alors, c'est une menace qui, il y a de ça une dizaine d'années, était une menace très technique.
06:33Elle était très centrée sur les équipes télécom, les équipes réseau, les équipes IT, etc.
06:39Et au fur et à mesure, on a vu monter en puissance à la fois le niveau des attaquants,
06:45donc du coup l'impact de ces attaques directement sur le business des entreprises,
06:50et une réelle prise de conscience des membres du COMEX, du conseil d'administration de chacune des entreprises dans lesquelles
06:55j'ai travaillé.
06:56Tant mieux s'il y a cette prise de conscience, parce qu'effectivement les attaques, nous dit-on, sont de
07:01plus en plus sophistiquées.
07:02Est-ce que vous avez vu arriver une bascule vers les attaques menées par des intelligences artificielles,
07:10ou est-ce que ça, ça reste encore un fantasme ?
07:12Alors, ce n'est pas un fantasme. Par contre, ce n'est pas non plus un gap.
07:16On est plutôt dans une croissance linéaire sur cette partie-là.
07:22Ce qu'on voit, c'est que, et notamment dans le cadre du baromètre du Cézain,
07:25on analyse quels sont les différents vecteurs d'attaque.
07:27On est plutôt dans la continuité des vecteurs d'attaque.
07:30Par contre, on observe une sophistication des attaques par la partie IA.
07:35Typiquement, le phishing reste le moyen le plus commun pour déclencher une attaque.
07:42Donc, moyennant un clic ou moyennant le fait de renseigner ses credentials.
07:47Par contre, ce qu'on voit, c'est qu'on trompe l'humain derrière la machine.
07:51Et pour tromper l'humain, c'est beaucoup plus simple de personnaliser un certain nombre de choses grâce à l
07:55'IA,
07:56parce que ça permet de collecter beaucoup d'informations sur la personne qu'on va tenter de tromper.
08:00Et du coup, de lui donner ce sentiment de confiance, ce sentiment de « je connais la personne qui me
08:04sollicite,
08:04donc il n'y a pas de problème, je vais de suite rentrer mes credentials ».
08:07Ou elle me demande de cliquer sur un fichier.
08:09Oui, je vais ouvrir ce fichier, bien évidemment.
08:11Est-ce que de votre côté, vous vous dites « bon, c'est aussi un outil pour moi,
08:16pour revoir la manière dont on sécurise finalement un réseau, des applications, des accès ? »
08:21Clairement, sur cette partie-là, j'ai une approche totalement duale.
08:25À la fois, je pilote les risques associés à l'utilisation de l'IA dans tous les compartiments,
08:32donc typiquement tous les métiers de la Caisse des dépôts.
08:34Et à côté de ça, en tant qu'utilisateur de l'IA,
08:39j'ai une capacité à être un analyste augmenté sur différents sujets.
08:44Donc les équipes qui travaillent chez moi pour monitorer les événements de sécurité,
08:49de suite, ils ont cette capacité, dès qu'ils voient quelque chose,
08:52d'enrichir l'information quasi de manière instantanée grâce à l'intelligence artificielle.
08:56Sur d'autres activités, typiquement le contrôle permanent,
08:59de la même façon, on a une capacité à collecter beaucoup plus d'informations
09:03et à l'utiliser de manière beaucoup plus pertinente grâce à l'intelligence artificielle.
09:07Donc il faut vraiment le voir comme deux facettes d'un même sujet.
09:11À la fois, ça fait croître les risques, mais de l'autre côté,
09:14c'est une vraie opportunité de travailler plus efficacement.
09:17Et c'est facile de s'en emparer, d'en faire un outil de travail au quotidien aujourd'hui,
09:21dans le domaine de la cyber ?
09:22Alors, ça dépend des profils, j'aurais tendance à dire.
09:25Sur la partie cyber, on a l'avantage d'avoir plutôt des ingénieurs
09:31et qui ont souvent un petit tropisme, mais souvent ils sont un petit peu fainéants.
09:35Donc ils n'ont pas envie de faire plusieurs fois la même chose.
09:38Donc jusqu'à maintenant, ils scriptaient beaucoup,
09:41ils automatisaient beaucoup en développant des codes en Python
09:44par rapport à toutes les problématiques qu'ils pouvaient rencontrer,
09:46qui étaient récurrentes.
09:47Maintenant, ils sont très aperçus très rapidement
09:50que l'intelligence artificielle pouvait remplacer le script
09:53de manière plus efficace, donc ils l'utilisent.
09:55Donc ils s'en emparent.
09:56Alors, on disait au moment où je vous présentais
09:59que le sujet de la souveraineté, de la maîtrise technologique était super important,
10:03le sujet de la régulation aussi.
10:05Vous faites partie de ceux qui attendent avec impatience
10:08par exemple l'application de Nice 2 en France.
10:11On en a besoin ?
10:12Je ne l'attends pas avec ma casquette Caisse des dépôts
10:15puisque moi, je suis sur un secteur bancaire,
10:17donc du coup, je suis assujetti à la grande sœur de Nice 2,
10:19qui est Dora, qui s'est retrouvée de suite déclinée
10:25puisque c'est un règlement européen qui s'appliquait à l'ensemble des pays.
10:27Et par contre, en tant que vice-président du Cézain,
10:29oui, on pense que c'est important d'avoir cette déclinaison-là
10:33au niveau du territoire français.
10:35Ça a déjà été le cas sur bon nombre de nos voisins.
10:37La France est plutôt en retard en termes de déclinaison
10:39et c'est un rendez-vous important,
10:41comme le rappelle régulièrement Vincent Struble.
10:43Pour autant, il ne faut pas attendre que la loi arrive
10:48pour se mettre en hors de marche
10:49pour effectuer un certain nombre de mises en conformité.
10:51Donc c'est systématiquement ce que nous déclinons
10:53auprès de l'ensemble des RSC qui font partie du club du Cézain.
10:56On a déjà des workshops depuis une douzaine de mois
11:00pour expliquer à ceux qui seront assujettis à Nice 2
11:03comment prendre un certain nombre de choses,
11:05en commençant par les bonnes briques,
11:06ne pas mettre la charrue avant les bœufs sur cette partie-là.
11:08C'est toujours important d'avoir une bonne gouvernance,
11:10d'identifier quels sont les assets les plus critiques de l'entreprise,
11:13les activités les plus critiques de l'entreprise,
11:15pour sécuriser au préalable cette partie-là
11:17et bien monitorer via la gouvernance
11:20le niveau de sécurisation associé.
11:21Mais on a besoin du texte pour que ça devienne contraignant, en fait.
11:24On a besoin du texte pour que ça devienne contraignant
11:25et peut-être aussi pour que certains chefs d'entreprise
11:28mettent davantage de moyens.
11:30Ah oui, les budgets pour la cyber.
11:32Sur la question de la souveraineté,
11:34la Caisse des dépôts, c'est presque régalien, finalement ?
11:38C'est un établissement public, donc c'est régalien.
11:40Voilà.
11:41Ce qui est important pour nous...
11:42Comment vous abordez cette problématique aujourd'hui de la dépendance ?
11:44On ne va pas parler de l'indépendance,
11:46pour l'instant, mais encore, comment on sort de nos dépendances ?
11:48Alors, un sujet qui nous tient à cœur,
11:50c'est d'avoir cette vision,
11:53enfin cette ambition de développer un certain nombre de souveraineté.
11:55C'était déjà le cas sur la partie souveraineté énergétique,
12:00sur la partie souveraineté industrielle,
12:02au travers de certaines filiales type BPI, bien évidemment.
12:04Et on s'est emparé du sujet de la souveraineté numérique
12:07parce que c'est un sujet cœur.
12:09Les données, c'est l'or qui constitue la capacité
12:14qu'on va avoir à développer, à être innovant
12:17sur un certain nombre de domaines.
12:20Et si on ne maîtrise pas potentiellement
12:23tous les mécanismes associés à la protection de ces données-là,
12:26on va être totalement dépendant des grands acteurs américains
12:31ou autres, d'ailleurs, qui détiennent cette capacité
12:34à manipuler ces données, à récupérer ces données-là.
12:37Typiquement, une voiture connectée,
12:40la réelle valeur de la voiture connectée,
12:43c'est presque autant les données qui transitent dans la voiture
12:45que la capacité à construire et donc à fournir
12:49l'ensemble du véhicule autour.
12:51Et ça, du coup, c'est un exemple allemand.
12:54Donc ça, l'industrie allemande,
12:58on a pris conscience.
13:00Et justement, il y a eu un certain nombre d'investissements
13:02qui ont été annoncés par le chancelier Schröder
13:05sur la maîtrise des infrastructures au niveau du cloud
13:07lors du forum sur la souveraineté en novembre 2025.
13:11C'est un sujet aussi, la cybersécurité,
13:13la souveraineté sur les outils de cybersécurité ?
13:15C'est également un sujet sur cette partie-là,
13:18sachant que le curseur n'a jamais été positionné aussi loin
13:23en termes de plateformisation que sur le poste de travail
13:26ou sur les sujets collaboratifs sur cette partie-là.
13:29On a la chance en France d'avoir un vrai tissu de start-up,
13:32de scale-up en cybersécurité qui est très dynamique
13:34et des solutions qui...
13:36Alors, certes, on les finance aux bornes du groupe,
13:39donc bien évidemment, j'en suis fier,
13:40mais globalement, quand on se compare par rapport aux autres Européens,
13:44on est clairement une nation très dynamique sur cette partie-là,
13:47juste en dessous des Américains et des Israéliens,
13:48mais on fait partie du top 3.
13:51Merci beaucoup, Arnaud Martin, d'avoir été avec nous.
13:53Je rappelle que vous êtes le RSSI de la Caisse des dépôts.
13:55C'était un grand plaisir de vous écouter.
13:57Merci, Daphine.
13:58Et nous, on enchaîne avec un talk.
13:59On va parler du poids de la menace sur les collectivités.
14:05Quelles sont les menaces qui pèsent sur les mairies, les collectivités ?
14:08Comment mieux les protéger ?
14:10On est dans un contexte en plus d'élections,
14:12donc j'imagine qu'elles sont des cibles de choix.
14:13On va voir ça avec mes invités.
14:15Ariel Turpin, bonjour.
14:16Bonjour.
14:17Vous êtes le directeur général de l'AVICA,
14:18donc l'association d'élus qui pousse pour la transformation numérique des territoires.
14:23À côté de vous, David Larose, le DSI,
14:26le directeur des systèmes d'information de la mairie de Drancy,
14:29et avec nous également, François Vériden,
14:31président fondateur de Skyfall Protection,
14:34donc tech française qui est spécialisée en cyber,
14:36plutôt pour les petites et moyennes structures.
14:37Petites et moyennes entreprises, absolument.
14:39Notamment aussi les collectivités.
14:40Les petites collectivités.
14:42Merci à tous les trois d'être avec nous dans Smart Cyber.
14:46Je voulais déjà qu'on commence par faire peut-être un panorama.
14:50Vous allez me dire, ça va être sans fin, on va passer l'émission.
14:52Non, on va essayer quand même de les résumer, s'il vous plaît.
14:54Mais quelles sont ces menaces qui pèsent tout particulièrement aujourd'hui
14:57sur les mairies ou les collectivités ?
14:59Est-ce qu'il y en a des spécifiques ?
15:02Alors, en période électorale, oui, il y en a des spécifiques qui apparaissent.
15:05Donc, il y a la manipulation d'informations,
15:07des débats publics, bien évidemment, la diffusion de faux contenus.
15:10On commence à avoir l'habitude,
15:11il y a beaucoup de communication qui est faite dessus.
15:13Il y a l'instrumentalisation des données personnelles,
15:16qui sont régulièrement volées, captées.
15:19On se demande ce qui reste de personnel.
15:20On se demande ce qui reste de personnel.
15:22Et de plus en plus, les données professionnelles.
15:24Et puis, de manière plus marginale,
15:26mais il ne faut pas oublier une centaine de communes,
15:28qui l'utilisent, il y a le risque de dérèglement des votes électroniques
15:31qui fait partie du package global, des craintes.
15:34Mais tout ça, ce sont des menaces spécifiques
15:36qui, en fait, se construisent sur un terreau très fertile
15:39qui est l'attaque contenue permanente que subissent les collectivités,
15:43même en dehors des périodes électorales.
15:45Donc, cybermalveillance pointe évidemment dans le top 3,
15:48l'hameçonnage, qu'on appelle le phishing,
15:51l'errance logicielle et bien évidemment, très important,
15:54le piratage de comptes qui permet de faire beaucoup, beaucoup de choses.
15:57Et oui, on ne cesse de le voir malheureusement.
15:59David, vous, qu'est-ce que vous voyez passer
16:01quand on parle d'attaque continue ?
16:03C'est ça, votre quotidien ?
16:05Alors, moi, j'ai de la chance parce que j'ai tout externalisé,
16:07en fait, mes données chez OVH depuis 12 ans.
16:11Donc, depuis 12 ans, j'ai zéro attaque qui arrive chez moi.
16:13Donc, ça, c'est plutôt pas mal.
16:15Parce que quand je vois les villes à côté de chez moi
16:16qui tombent les unes après les autres
16:17parce qu'ils n'ont pas mis un serveur en place à jour
16:20ou ils n'ont pas formé forcément leurs agents
16:22à ne pas cliquer pour gagner une voiture,
16:25voilà, enfin, c'est ça en fait qu'on voit.
16:27Et nous, notre principal danger, en fait, c'est les humains.
16:30Ce n'est pas forcément l'informatique
16:31parce que, comme je vous dis,
16:32c'est OVH qui s'occupe de tout pour nous.
16:34Donc, nous, c'est l'humain qui va cliquer sur un lien
16:36et régulièrement, ce qu'on fait,
16:37c'est que nous, on fait des fausses campagnes de phishing.
16:39Donc, on envoie nous-mêmes des mails de phishing à nos agents
16:42et on chope ceux qui cliquent et on les forme
16:44et on leur dit, ben, non, il ne fallait pas cliquer.
16:46Et il y en a beaucoup ?
16:47De moins en moins parce qu'ils ont compris.
16:48Ah, bon, parce que c'est toujours les mêmes qui reçoivent quand même.
16:51Donc, au bout d'un moment, ça finit par rentrer.
16:52Oui, voilà, c'est vrai, il n'y a pas de problème.
16:54C'est les petits jeunes, en fait, il faut bisuter.
16:55Ah, pas du tout, c'est tous les âges.
16:57Pour le coup, c'est...
16:58Non, je veux dire, ceux qui viennent d'arriver, vous devez...
17:00Ah, nouveau.
17:00Ouais, ils font un même propre.
17:02C'est vraiment tout le monde, quoi.
17:02Ok.
17:05François, on a 36 000 communes en France.
17:08Ça fait quand même beaucoup, potentiellement...
17:10Pardon ?
17:1134 880, donc 35 000, quoi.
17:1435 000, merci Ariel.
17:16Ça fait quand même beaucoup de trous dans la raquette.
17:19Comment est-ce que vous, vous abordez ce sujet
17:21quand vous allez les voir, ces collectivités,
17:23que vous leur dites, ben, nous, on a une solution de protection.
17:25Qu'est-ce que vous leur proposez ?
17:28Et quelle écoute vous avez ?
17:30Déjà, il faut bien...
17:31Je vais reprendre le propos qui a été tenu.
17:33Le risque numéro un, c'est pas l'informatique, c'est l'humain.
17:37C'est vous, c'est moi, c'est l'humain.
17:38Parce qu'un hacker, il ne vise pas quelqu'un en particulier,
17:42il va viser en premier lieu le sentiment de l'urgence.
17:47Ou d'autres sentiments, mais qui vont toucher à l'affect de l'humain
17:50de sorte à pouvoir rentrer dans un système d'information.
17:53Après, on a une solution, effectivement,
17:55qui est assez simple à mettre en place,
17:58efficace, mais pour laquelle il n'y a pas de solution miracle.
18:02Aujourd'hui, une solution 100% étanche, ça n'existe pas.
18:05Et d'ailleurs, celui qui vous dit le contraire est un menteur éhonté,
18:08il ne faut surtout pas y aller.
18:11Mais quand on s'adresse à une collectivité,
18:13on sait qu'on s'adresse aussi à une structure
18:15qui n'a pas vraiment de budget,
18:17pas beaucoup de budget, peut-être...
18:19C'est tout l'intérêt.
18:20Ou peut-être du budget, mais pas forcément sur la cyber ?
18:22Alors, ça devrait être le contraire aujourd'hui, justement.
18:26On n'a pour habitude que normalement de dire
18:28que le pourcentage d'un budget alloué
18:30à l'informatique,
18:32au service informatique,
18:32est de l'ordre de 3 à 4% du chiffre d'affaires d'une entreprise.
18:36C'est à peu près la stat
18:37qui doit logiquement être employée,
18:39qui n'est que dans très rares cas utilisée.
18:42Pour en revenir aux petites collectivités,
18:44le problème, c'est qu'elles sont souvent démunies
18:47et pour autant, elles traitent de la data
18:50vos données personnelles,
18:51donc cartes vitales, les adresses,
18:54tout ce qui est valorisable,
18:58et utilisable, et réplicable
18:59pour faire des faux prêts,
19:01pour souscrire à des choses
19:03dont vous n'avez jamais voulu souscrire,
19:04de l'usurpation d'identité.
19:06Voilà, il y a tout un panel, en fait,
19:08ça ne s'arrête pas.
19:09Un panel très large,
19:11très très large,
19:12qui peut être utilisé avec la data.
19:13Notre solution, l'avantage que l'on a,
19:15c'est qu'effectivement,
19:16on n'arrête pas,
19:18on détecte,
19:18et on alerte.
19:20Et le facteur numéro un
19:21dans le cadre d'une cyberattaque,
19:22c'est un, d'arriver à détecter,
19:24ça c'est la première chose,
19:25et l'ennemi numéro un,
19:26en cas de cyber,
19:27c'est le temps.
19:28C'est le temps.
19:29Le temps joue contre soi,
19:31et contre l'entreprise,
19:32ou contre la collectivité qui est attaquée.
19:34Et donc, la solution permet effectivement
19:35de détecter,
19:36dans la mesure du possible,
19:38avec une IA qui nous est propriétaire,
19:40et d'alerter,
19:42donc un centre de télésoriennes,
19:44où j'ai du personnel 24h sur 24,
19:467 jours sur 7,
19:47et ça, ça permet effectivement
19:48de mutualiser les coûts,
19:49de les abaisser,
19:50parce qu'on n'a pas de personnel,
19:53on va dire,
19:55comment dire ça,
19:56on n'a pas de personnel qui soit
19:58soqué,
19:59c'est-à-dire des mateux
20:00qui sont derrière les ordinateurs
20:01pour analyser ce qui se passe,
20:02on a des gens qui sont formés
20:05à appliquer des procédures,
20:07et ils appliquent une procédure,
20:08ils reçoivent,
20:09ils coupent la connexion internet,
20:10ils alertent la personne,
20:12et après on fait la remédiation.
20:13Voilà,
20:14c'est simple,
20:15efficace.
20:16David,
20:17est-ce que,
20:18parce que des offreurs de solutions,
20:20j'ai aimé de vous envoyer passer tous les jours,
20:21trop,
20:23est-ce qu'aujourd'hui,
20:24il y a un problème plus que d'offres de solutions,
20:26est-ce qu'il y a un problème de budget,
20:27par exemple,
20:28pour bien se protéger,
20:29selon vous ?
20:29Le problème de budget,
20:30c'est le problème numéro un maintenant,
20:32parce que les dotations de l'État diminuent,
20:34et le coût de la vie,
20:35et le coût des solutions augmente,
20:36donc à un moment donné,
20:37il faut que le maire fasse des choix.
20:39Donc voilà,
20:40moi je ne veux pas être dans la place d'une collectivité,
20:42qui doit encore opérer son data center,
20:43parce que ça va être une horreur.
20:45Alors que moi je vous dis,
20:46on a fait le choix il y a 12 ans,
20:47et le choix paye maintenant.
20:49Parce qu'il y a 12 ans,
20:49on me disait,
20:49oui c'est du compte fonctionnement,
20:51de tout mettre chez un hoster,
20:52etc.
20:52Sauf que moi,
20:53je n'ai plus de questions à me poser
20:53sur la cybersécurité,
20:55en fait,
20:56des attaques venant de l'extérieur vers chez moi.
20:57J'ai juste à m'occuper,
20:58moi en fait,
20:58de mes agents,
20:59à les éduquer,
21:00à les former,
21:01et à voir ce qui se passe.
21:02Donc on gagne de l'argent maintenant.
21:03Alors que si on devait s'équiper maintenant
21:05à protéger un data center,
21:07avec les DMZ,
21:08avec tout ça,
21:08ce serait juste impossible.
21:10Et avec la réglementation,
21:11enfin la loi Résilience,
21:13qui va embarquer notamment
21:14l'adaptation de la directive Nice 2,
21:17est-ce que vous êtes prêts ?
21:18Est-ce que ça pose
21:18des nouvelles problématiques ?
21:20Ça ne pose pas de nouvelles problématiques,
21:21parce qu'on anticipe
21:23et on avance au fur et à mesure
21:25qu'on voit les nouvelles lois arriver.
21:26Donc oui,
21:27ça va nous demander un peu de boulot,
21:28mais pas plus que d'habitude en fait.
21:31Maintenant,
21:31c'est vraiment une course continue
21:33de qu'est-ce qui sort comme menace,
21:35qu'est-ce qui sort comme matériel,
21:36qu'est-ce qui sort comme solution,
21:37qu'est-ce qu'on fait ?
21:38Alors avec l'IA maintenant,
21:39c'est encore pire,
21:40mais voilà,
21:41mais c'est continuellement
21:42qu'il faut se mettre à jour
21:43et être curieux
21:44et surtout anticiper
21:45ce qui va se passer.
21:47Est-ce qu'il vous semble,
21:49de votre point de vue,
21:49que les collectivités aujourd'hui
21:50sont bien préparées
21:51justement aux nouvelles menaces
21:52qui arrivent ?
21:53Alors,
21:53elles sont mieux préparées,
21:54mais effectivement...
21:55Elles qui arrivent,
21:55qui sont déjà là.
21:56Qui sont déjà là, oui.
21:57Donc,
21:58elles sont de mieux en mieux
22:00acculturées,
22:00aux risques,
22:01ça progresse.
22:02Il y a un mouvement de fonds
22:03qui progresse.
22:04Mais en fait,
22:04ce qui a été dit,
22:05et c'est très bien
22:07d'avoir évoqué
22:07la directive Nice 2,
22:09c'est aussi toucher
22:10des collectivités
22:11de plus en plus petite taille.
22:12Parce qu'il y a quand même
22:12un réflexe qui est toujours là.
22:14On est une petite collectivité,
22:15alors petite,
22:16c'est quelques milliers,
22:16c'est pas forcément le village,
22:18c'est quelques milliers d'habitants.
22:18On n'intéresse personne.
22:19Il y a cette croyance
22:20que, voilà,
22:21ou alors on est un agent
22:22d'une grosse collectivité,
22:23mais bon,
22:23on ne va pas taper
22:24une secrétaire,
22:25on ne va pas taper
22:26un agent d'accueil,
22:26on ne va pas taper...
22:27Voilà,
22:27c'est forcément...
22:29Ils vont viser le DGS,
22:30le DSI,
22:31il y a toute cette...
22:32Je ne suis pas dans la cible,
22:33en fait,
22:33je ne suis pas dans la cible.
22:34Donc tout ce travail-là
22:35qui est à faire,
22:38et c'est comment...
22:39Donc Nice 2,
22:40justement,
22:40la directive européenne
22:41va aider à sensibiliser
22:43de plus en plus
22:44et à dire,
22:45en fait,
22:45on n'échappera pas
22:46à ce risque-là,
22:48donc on s'y prépare.
22:49François,
22:50vous avez signé
22:51une tribune dans l'opinion
22:53que j'ai lu avec...
22:54Attention,
22:55vous l'avez signé d'ailleurs
22:55avec le maire
22:56du 17e arrondissement.
22:57Absolument.
22:59Geoffroy Boulard,
22:59vous dites qu'on a
23:01un écosystème de protection
23:02mais vous dites
23:02qu'il y a une urgence française.
23:03Mais oui,
23:04parce que...
23:04D'ailleurs,
23:05elle est française
23:05mais elle n'est pas que française
23:06parce qu'en réalité,
23:07aujourd'hui...
23:07Parce que dans le texte,
23:08vous dites qu'on a une urgence française
23:09très en retard.
23:10Oui,
23:10mais on est en retard
23:11mais parce qu'on parle de la France.
23:13Voilà,
23:14on est patriotes avant tout
23:15mais l'urgence,
23:18oui,
23:18elle est là
23:19parce que l'impact...
23:22Je vais reprendre un propos
23:23que Geoffroy a eu
23:25quand on a fait une interview
23:26sur Sud Radio
23:27il n'y a pas très longtemps.
23:28où il expliquait
23:28qu'il y avait une commune
23:29qui s'était fait attaquer
23:30il y a 4 ans
23:31et qu'elle n'est toujours pas relevée
23:33de cette attaque-là.
23:34Et l'urgence,
23:34elle est effectivement
23:35dans l'éducation,
23:36elle est dans la prise de conscience.
23:38Vous parliez des petites collectivités
23:39en disant
23:40effectivement,
23:41elles sont pas...
23:42on est trop petits,
23:44mais c'est ça pour tout.
23:46C'est ça pour tout.
23:47C'est-à-dire que
23:48même pour la petite TPE,
23:50PME,
23:50PMI,
23:51je disais encore
23:52la semaine dernière,
23:52c'était sur France Bleu,
23:54on me posait la même question
23:56et on me disait,
23:57mais on me posait la même question
23:59et je répondais
24:00de la manière suivante
24:00en disant
24:01que souvent,
24:02les petites entreprises
24:03sont les prestataires
24:04de plus gros
24:05et que du coup,
24:06on vient chercher
24:07la petite entreprise
24:08pour aller taper la plus grosse.
24:09Mais quand la plus grosse,
24:09elle a appris que la plus petite,
24:10elle s'était fait taper,
24:11elle ne veut plus travailler avec.
24:13Donc la petite boîte,
24:13elle ferme.
24:15Les collectivités,
24:16ça n'a pas la même conséquence.
24:17Pour autant,
24:18ça a une incidence directe
24:19sur les services de l'État
24:21pour le citoyen.
24:23Donc,
24:23en fait,
24:25il n'y a pas
24:27de risque zéro.
24:28Le risque est accru
24:30avec la géopolitique actuelle
24:33et ça ne va pas aller
24:34sans l'urgence.
24:35Ça, très clairement.
24:35Donc oui,
24:36il y a une urgence.
24:36Il y a une urgence
24:37à régler les problèmes.
24:38Vous êtes d'accord
24:38avec l'idée
24:39qu'aujourd'hui,
24:40on a quand même
24:41un problème,
24:41un retard
24:42sur la protection
24:43de nos systèmes d'information,
24:45nos données personnelles
24:47face aux risques ?
24:49Oui,
24:49parce qu'encore une fois,
24:50les collectivités
24:51manquent forcément de moyens
24:52pour se mettre à niveau
24:53au niveau cyber.
24:55Donc,
24:55à partir de là,
24:56on est un peu des passoires
24:57et petit rappel,
24:59on a 70 métiers différents
25:01dans une collectivité locale.
25:02Donc,
25:02on a 70 métiers
25:03et on touche
25:04des données de santé,
25:05on touche des données
25:05de petite enfance.
25:06Donc,
25:06on peut potentiellement
25:08avoir des informations
25:08sur tout et n'importe quoi.
25:10Donc,
25:10est-ce que vous avez
25:11consulté un dermatologue ?
25:12Est-ce que vous avez
25:12deux enfants ou pas ?
25:13Divorcer ?
25:14On sait tout dans une mairie.
25:15Donc,
25:15c'est vraiment important
25:16pour nous d'être étanche
25:17parce que ces données-là,
25:18elles valent de l'or
25:19pour beaucoup de monde.
25:20Voilà.
25:21Donc,
25:21oui,
25:21il faut s'y convaincre
25:23les maires de dire
25:24qu'il faut peut-être
25:24mettre un peu plus
25:25dans l'informatique,
25:26dans le budget
25:26pour sécuriser les choses
25:27parce qu'à un moment
25:28des jours,
25:28les données de tous
25:29ces citoyens
25:30vont partir dans la nature,
25:31ça sera lui
25:31de s'expliquer en premier.
25:33Donc,
25:33ce n'est pas un problème
25:34de compétences,
25:36de savoir quoi faire,
25:37comment sécuriser ?
25:37Ce n'est pas un problème
25:38d'outils,
25:39c'est juste un problème
25:39de budget ?
25:40Oui,
25:41parce qu'en fait,
25:42on a les compétences
25:42en externe aussi.
25:44Oui,
25:45on peut les acheter
25:46à l'extérieur.
25:46Exactement.
25:47Oui,
25:48je ne mets pas du tout
25:49sous le tapis
25:50le problème budgétaire,
25:51mais il y a aussi,
25:52encore une fois,
25:52des réflexes.
25:54Et puis,
25:55on peut,
25:55en partie,
25:56en tout cas pour les plus
25:57petites collectivités,
25:58contourner cette problématique-là
25:59par une plus grande
26:00mutualisation.
26:01Parce que de toute façon,
26:02nous n'en avons pas,
26:02même si on n'avait pas
26:02de problème budgétaire,
26:04comment faire pour recruter
26:05des RSSI
26:06en nombre suffisant ?
26:08Simplement,
26:08il n'y a pas la main d'oeuvre,
26:09il n'y a pas les compétences
26:10en nombre suffisant.
26:11Comment on mutualise
26:11entre mairies,
26:13entre collectivités
26:14sur sa cybersécurité ?
26:15Alors,
26:16le plus simple,
26:17c'est de passer par des syndicats
26:18informatiques
26:19ou des syndicats intercommunaux,
26:21des syndicats numériques
26:25qui ont l'habitude
26:28d'utiliser des services
26:29informatiques
26:30ou de mutualiser
26:31des services télécoms.
26:32Donc,
26:33on peut se baser là-dessus.
26:35Et puis,
26:36derrière,
26:37c'est ce que font
26:38les associations d'élus,
26:38c'est ce que fait
26:39notre association d'élus,
26:40c'est aussi,
26:41par rapport à nos membres,
26:42leur apprendre aussi
26:43d'autres réflexes.
26:44Par exemple,
26:45en cas de crise,
26:45on s'est fait pirater,
26:46comment on communique ?
26:47Comment vous communiquez
26:48quand vous n'avez plus
26:49aucun outil,
26:50que votre site internet
26:50a été attaqué,
26:51que vos pages
26:53de réseaux sociaux
26:53ont été attaquées,
26:54comment vous faites
26:54pour communiquer
26:55et dire que c'est bien moi
26:56qui communique
26:56et que ce n'est pas
26:57le pirate
26:57qui communique à ma place.
26:59Donc,
26:59c'est des exercices de crise.
27:02Il n'y aurait pas
27:02systématiquement ça
27:03aujourd'hui
27:03dans les mairies
27:04des exercices de crise ?
27:06Moi,
27:06je n'ai pas un protocole
27:07de gestion de crise.
27:08On a des protocoles
27:10très sévères
27:11en cas d'attaque
27:12vraiment physique
27:12de la ville
27:13ou d'explosion de train.
27:14On a des protocoles
27:15qui sont mis en place
27:16avec la préfecture,
27:17etc.
27:18Mais des protocoles
27:19de ce type-là,
27:19je n'en connais pas.
27:20De crise cyber ?
27:21Non,
27:21ça,
27:22pour l'instant,
27:22non,
27:22ça n'existe pas.
27:23Autre chose
27:24qui marche très bien,
27:27c'est la mutualisation
27:28cette fois de l'expérience.
27:30Avant,
27:31les premières collectivités
27:32qui se sont faites pirater,
27:34il y avait une forme de honte,
27:35une forme de déni,
27:36etc.
27:37Donc,
27:37aujourd'hui,
27:39de plus en plus
27:39de collectivités témoignent.
27:41Et donc,
27:41nous,
27:41ce qu'on cherche à faire,
27:42c'est faire démoigner
27:43des très grandes collectivités
27:44qui se sont faites pirater,
27:45donc avec des systèmes
27:46de protection,
27:46etc.,
27:47mais aussi des plus petites
27:47collectivités,
27:48montrer qu'encore une fois,
27:49il n'y a personne
27:50de protéger.
27:51Et aujourd'hui,
27:52c'est vraiment devenu
27:53assez facile.
27:54Et si je regarde même,
27:55vous avez la ministre actuelle
27:56du numérique,
27:57Anne Le Hénanf,
27:57qui rappelle à l'occasion
27:59que Vannes,
28:00sa ville,
28:00a déjà été piratée.
28:02Et puis,
28:03vous avez aussi Christophe Béchut,
28:04le maire très,
28:05très numérique d'Angers,
28:07qui est également ministre,
28:09qui avait fait de même,
28:10qui avait témoigné
28:12du piratage
28:13de sa ville.
28:14Donc,
28:15aujourd'hui,
28:16on arrive à parler,
28:17on arrive à expliquer aussi
28:18pourquoi on ne s'est pas redressé
28:19des années après,
28:19ce que vous disiez,
28:20deux ans après,
28:21trois ans après,
28:21pourquoi ?
28:22Qu'est-ce qu'il aurait fallu
28:22qu'on en fasse
28:23pour surmonter ça ?
28:25Et puis,
28:26d'autres qui sont faits,
28:27comment justement,
28:28elles ont faits
28:28pour surmonter très rapidement
28:30un piratage,
28:31parfois,
28:32pourtant violent.
28:33Échange de bonnes pratiques.
28:34Et pour la question budgétaire,
28:36alors,
28:36il faut baisser les coûts
28:37du côté des offreurs ?
28:38C'est ce que j'expliquais
28:39tout à l'heure,
28:40c'est que le coût
28:41sur la cyber,
28:42c'est l'humain.
28:43C'est ce qui coûte
28:43le plus cher
28:44à l'analyste
28:46qui va analyser
28:47les données,
28:47les logs qui remontent,
28:49c'est ça qui coûte cher
28:50en réalité.
28:51Le logiciel en lui-même,
28:52il ne coûte pas cher.
28:53C'est un abonnement mensuel
28:54par machine,
28:54ce n'est pas ça qui coûte cher.
28:55Donc nous,
28:56je vais parler de Skyfall,
28:58mais là où on a été,
29:01pas plus malin,
29:02mais on a fait
29:03un peu différemment,
29:04c'est qu'en gros,
29:05le boîtier
29:06qui vient s'intercaler
29:07en coupure de réseau
29:08entre la box du client
29:10et son réseau,
29:12vient,
29:12comme je l'expliquais,
29:13analyser,
29:14traduire une alerte
29:15et l'envoie
29:15en centre de télésurveillance.
29:16Donc ça c'est automatisé ?
29:19C'est totalement automatisé.
29:20C'est totalement automatisé.
29:22Vous n'avez pas trop
29:22de faux positifs ?
29:22Écoutez, moi à date,
29:24j'ai à peu près
29:24une centaine de boîtiers
29:25qui sont déployés,
29:26on a détecté
29:29un certain nombre d'attaques,
29:30on est sur un taux
29:31de 0,02%
29:32de faux positifs.
29:34Donc ça reste encore
29:35le domaine de l'acceptable.
29:37Et c'est là où intervient
29:37le centre de télésurveillance.
29:39C'est-à-dire qu'il reçoit
29:40l'alerte,
29:40il appelle le client,
29:41s'il n'est pas joignable,
29:42il coupe.
29:43Alors qu'il vaut mieux faire,
29:44il faut peut-être mieux couper,
29:45même s'il n'est pas joignable.
29:46Il ne va plus avoir Internet
29:47si c'est en pleine nuit
29:47et un week-end,
29:48ce qui arrive dans 90% des cas.
29:50Bon, c'est coupé,
29:51on voit ça lundi matin
29:52et au moins il a préservé
29:53ses données,
29:53au moins ses données
29:54ne sont pas sorties
29:55sur le DAC.
29:56Voilà.
29:56C'est toute une question
29:58d'appréhension du risque.
30:01Vous savez, moi,
30:01ce produit,
30:02cette idée,
30:02elle est née d'un vécu,
30:04je suis un ancien directeur
30:04informatique
30:05d'un groupe de sécurité
30:07parisien,
30:07j'ai subi une cyberattaque,
30:08on s'est retrouvé crypté,
30:09je peux vous donner le nom
30:11des attaquants,
30:11c'est Médusa,
30:12le groupe d'activistes.
30:13Donc, voilà,
30:14toutes mes VM étaient cryptées,
30:16les sauvegardes,
30:16évidemment,
30:18on n'en parle pas.
30:20Quand il a fallu
30:21que je remonte l'entreprise
30:22en 32 heures
30:23parce qu'il y avait
30:24des enjeux vitaux
30:25sur cette entreprise-là,
30:27eh bien,
30:27je peux vous assurer
30:28que si vous n'avez pas
30:29les reins ni financiers
30:30ni mentaux
30:31et que vous n'avez pas
30:32les équipes et les sociétés
30:33qui peuvent vous accompagner
30:34pour faire cela,
30:37on met la crise sous la porte.
30:38Vous fermez la porte.
30:40Sauf qu'une collectivité,
30:41elle ne peut pas mettre
30:42la clé sous la porte.
30:42Et celui qui vous dit,
30:45qui ne vous explique pas ça,
30:47ne sait pas ce que c'est
30:48qu'une cyberattaque,
30:49sincèrement.
30:50C'est combien d'attaques
30:52sur une mairie,
30:53je ne sais pas,
30:54au quotidien ?
30:55En fait,
30:56nous,
30:56on a des statistiques
30:57parce qu'on a des médiathèques,
30:59donc on a des accès publics
31:00qu'on donne aux citoyens
31:01qui est aussi une belle porte d'entrée,
31:02donc on verrouille
31:03très rigoureusement
31:04et ça représente
31:05des dizaines de milliers d'attaques
31:06par jour.
31:06Par jour ?
31:07Bien sûr.
31:08Oui,
31:08évidemment,
31:08de toute façon,
31:09vous faites un petit exercice.
31:11Maintenant,
31:11vous créez une machine virtuelle
31:13avec un accès à Internet
31:13et vous logez tout ce qui se passe
31:15du moment qu'elle est allumée.
31:16Vous verrez,
31:17c'est juste de la folie.
31:18C'est très rapide.
31:19C'est très rapide.
31:20Il y en a qui permettent
31:21de voir d'où viennent les IP,
31:22donc de quel pays
31:23viennent les IP.
31:24Qu'est-ce que vous attendez
31:25comme décision importante ?
31:26On a parlé de Nice 2.
31:27Qu'est-ce qu'on attend d'autre
31:28pour progresser vraiment
31:29sur la sécurité
31:30dans les collectivités ?
31:33On arrive à la fin,
31:34donc une idée.
31:35Ça ira.
31:35Que l'État nous donne
31:36plus d'argent pour le faire,
31:38tout simplement.
31:38Et puis qu'on ait plus
31:39de personnel formé,
31:40encore une fois,
31:40parce que si on a l'argent,
31:41il faut pouvoir recruter.
31:43Ce qui serait bien aussi,
31:44c'est que l'Annecy
31:45ait des réelles données
31:45consolidées
31:46de la part de l'ensemble
31:47du territoire.
31:48Consolidées sur ?
31:49Sur l'ensemble des attaques
31:50qui sont validées
31:52et des vraies attaques.
31:55Parce qu'aujourd'hui,
31:56c'est que déclaratif,
31:57ce n'est pas obligatoire.
31:58Oui, il y a quand même
32:01pas mal d'observatoires
32:02qui remontent
32:04ou outre celui de l'Annecy.
32:06Vous avez aussi
32:07la cartographie,
32:08une cartographie très intéressante
32:09qui est la cartographie
32:10faite par une association
32:11partenaire de l'Avica
32:12qui s'appelle Déclic,
32:13qui montre que,
32:15quand on dit que ça touche
32:16tout le territoire,
32:16ça touche tout le territoire.
32:17Est-ce que c'est un hôpital
32:18qui était une commune,
32:19une collectivité ?
32:20C'est vrai que la communication
32:20sur les attaques,
32:21ça ferait partie des outils
32:22de partage d'expérience.
32:23La transparence.
32:24Exactement.
32:24Oui, la transparence.
32:25Qui ferait progresser tout le monde.
32:27Tous les trois,
32:28Ariel Turpin,
32:29délégué général de l'Avica,
32:31David Larose,
32:32DSI de Drancy
32:33et François Vériden
32:33de Skyfall Protection.
32:35C'est l'heure de passer
32:36au focus solution
32:37parce qu'heureusement,
32:38il y a quand même des solutions.
32:43Je reçois aujourd'hui
32:44Olivier Arous,
32:45fondateur PDG
32:46d'Ogo Security
32:47dans notre focus solution.
32:49Bonjour.
32:50Bonjour.
32:51Alors vous,
32:51votre spécialité,
32:52c'est la protection
32:52des applications web.
32:54Tout à fait.
32:55Qu'est-ce que ça a de différent
32:56par rapport au reste
32:57du système d'information
32:58en matière de protection ?
32:59Quel défi spécifique
33:01ça pose ?
33:01Alors,
33:02Ogo,
33:03c'est une société
33:05qui protège
33:06tout ce qui est
33:06site web,
33:07application web,
33:07API.
33:08Alors,
33:09il y en a des solutions
33:09évidemment sur le marché,
33:11beaucoup de solutions américaines
33:12principalement,
33:12mais nous,
33:13on a pris les choses
33:13un peu à l'envers
33:14et on s'est dit
33:15qu'il fallait répondre
33:16à un besoin du marché
33:17qui est,
33:18en gros,
33:19les PME,
33:19les grosses ETI
33:20et les sociétés
33:21qui n'ont pas les ressources
33:22pour se protéger
33:24en leur proposant
33:25une solution
33:25à base d'IA
33:26et avec la promesse
33:28qu'il n'y ait pas
33:28de faux positifs
33:29à la fin,
33:29que ça marche
33:30entre guillemets
33:30tout seul
33:31et que l'IA
33:32fasse de l'analyse
33:33comportementale
33:33pour mieux protéger
33:34les applications web
33:35et les sites web.
33:36D'accord,
33:37mais pourquoi spécifiquement
33:39sur les applications web ?
33:40Qu'est-ce que ça engage
33:41comme problème particulier
33:43de sécurité ?
33:45L'application web
33:46fait partie
33:46des premières
33:47surfaces d'attaque
33:48en fait.
33:49Donc,
33:49quand vous avez
33:49un hacker
33:50qui essaie
33:51de rentrer
33:51dans une société,
33:52la première chose
33:53qu'elle va faire,
33:54c'est scanner
33:57les applications web,
33:59essayer de trouver
33:59des vulnérabilités,
34:00essayer de rentrer
34:01dans le système
34:01d'information
34:02via cette application,
34:03via même des API
34:04et on a beaucoup
34:05entendu parler
34:06dans le passé
34:06d'API,
34:07donc d'échanges
34:08entre entreprise,
34:09entre partenaire
34:09et entreprise
34:10qui s'étaient fait hacker
34:12parce qu'une des parties
34:13n'était pas sécurisée.
34:15Donc,
34:15il y a une obligation
34:16aujourd'hui
34:16avec le développement
34:17du web
34:17de sécuriser
34:18tout ce qui est
34:19application web
34:19si on veut minimiser
34:21la surface d'attaque
34:22des entreprises.
34:23Et j'imagine que,
34:24comme dans tous les domaines,
34:25vous voyez les attaques
34:26augmenter,
34:27la menace croître ?
34:28Ah oui,
34:28ça ne fait qu'augmenter
34:29et avec l'apparition
34:31de l'IA encore plus.
34:32On voit un gros trafic,
34:34même plus de 30%
34:35du trafic aujourd'hui
34:35qui est à base d'IA
34:36et on voit
34:37beaucoup de nos sites
34:38protégés
34:40recevoir des attaques
34:41ou des tentatives
34:42d'attaques
34:42à base d'IA directement.
34:44Le cloud,
34:45c'est un moyen
34:46de mieux sécuriser
34:48ces applications
34:49ou au contraire,
34:51c'est un problème
34:52supplémentaire ?
34:53Alors,
34:54le cloud,
34:55ça permet
34:55de rendre
34:57son application
34:58plus accessible,
34:59plus scalable,
35:01on va dire,
35:02mais ça veut dire
35:03qu'il faut se protéger
35:03encore plus,
35:04ça veut dire
35:05qu'il faut quand même
35:05mettre des barrières,
35:06que l'application
35:07soit dans les infras
35:08du client
35:09ou dans le cloud,
35:09il y a le même niveau,
35:11le même besoin
35:12de sécurité
35:13parce que le cloud
35:14ne fournit pas,
35:15en tout cas,
35:15les fournisseurs de cloud
35:16ne fournissent pas,
35:16ce n'est pas leur spécialité
35:17de fournir de la cyber en fait.
35:19Et aujourd'hui,
35:20les outils de sécurité
35:22des applications web
35:24sont adaptés
35:25aux nouvelles menaces ?
35:26Alors,
35:27de plus en plus,
35:28les anciennes,
35:29non,
35:30soyons clairs,
35:31les anciennes,
35:31c'est je vois un attaquant
35:33ou je vois une requête
35:34ou je réponds
35:36par oui ou par non.
35:37Aujourd'hui,
35:37nous,
35:38ce qu'on fait,
35:38c'est dire le oui
35:40et le non existent,
35:41mais il y a le peut-être
35:42aussi qui nous permet
35:44de suivre l'attaquant
35:45dans son process
35:46d'analyse
35:47de l'application
35:48avant de faire son attaque.
35:49Et donc,
35:49on est capable aujourd'hui
35:51de ne pas faire
35:52de faux positifs,
35:52ce que font beaucoup
35:53d'anciennes solutions
35:55et de suivre l'attaquant
35:57jusqu'à décider
35:58au dernier moment
35:58de le bloquer ou pas.
35:59Ce qui fait que,
36:00comme on analyse
36:01le comportement...
36:01C'est-à-dire tant qu'il est
36:02en peut-être,
36:02je continue à observer
36:04l'activité.
36:05Exactement.
36:06On le suit tout au long
36:07de sa vie
36:08au sein de l'application
36:08jusqu'à se dire
36:09là, il va trop loin,
36:10on va le bloquer.
36:11L'avantage de cette philosophie,
36:14en fait,
36:14c'est qu'on est indétectable,
36:16finalement,
36:17donc plus dur
36:17pour les attaquants
36:18de nous reconnaître.
36:19Et comme on fait
36:19du comportemental
36:20sur l'utilisateur,
36:22sur l'IP d'utilisateur,
36:23on arrive à déterminer
36:25quel est le bon comportement
36:26que doit avoir
36:27un utilisateur
36:27face à l'application.
36:29Et ça nous permet
36:29d'être de plus en plus précis
36:31dans la reconnaissance
36:33de l'attaque.
36:33Mais enfin,
36:34avec l'intelligence artificielle,
36:36aussi,
36:36ils apprennent
36:36à se comporter
36:37comme des humains
36:38non-attaquants,
36:39j'imagine.
36:40Oui,
36:41mais ils utilisent
36:41toujours les mêmes systèmes
36:42et on retrouve
36:43toujours le même système
36:44d'attaquants
36:44quand on a une IA
36:45aujourd'hui.
36:46Et le fait
36:47d'avoir, nous,
36:47une visibilité
36:48sur ce que font
36:49les bons utilisateurs
36:50face à l'application,
36:52on compare
36:52quelque part
36:53ce que font les bons
36:54par rapport au reste.
36:54Donc, vous entraînez,
36:54vous aussi,
36:55des modèles
36:56sur les comportements
36:57des utilisateurs.
36:58Ils sont différents
36:59selon les applications,
37:01selon les sites ?
37:03Oui et non.
37:04C'est-à-dire qu'on retrouve
37:04beaucoup de comportements
37:05à peu près identiques,
37:06mais après,
37:07en fonction du type
37:08d'application,
37:08les comportements changent.
37:10Mais comme on existe
37:11depuis huit ans,
37:12donc l'avantage,
37:12c'est qu'on a une base
37:13d'informations assez forte,
37:15assez complexe,
37:16on a énormément de logs,
37:17donc on a une avance
37:18là-dessus
37:18et ça nous permet
37:19de mieux déterminer
37:20les modèles
37:21des attaquants
37:22aujourd'hui,
37:22voire de détecter
37:23des attaques
37:24avant qu'elles soient
37:24annoncées sur le marché.
37:26Comment on fait ça ?
37:27On voit des comportements
37:29qui sortent de l'ordinaire
37:30et on les bloque
37:31alors que la vulnérabilité
37:33n'a pas encore été annoncée.
37:34Ça nous est déjà arrivé
37:35une ou deux fois.
37:35Vous avez un exemple précis ?
37:37Il y en a un,
37:39c'était, je crois,
37:40Lock4j,
37:40c'était une attaque
37:41il y a deux ans,
37:42je crois,
37:42et tout le monde s'est réveillé
37:43un jour en disant
37:44il y a une faille,
37:45il y a une vulnérabilité.
37:46Le jour même,
37:46il y a eu beaucoup d'attaquants
37:47et en fait,
37:48on avait déjà bloqué
37:49des tentatives
37:49avant que tout ça
37:50soit annoncé.
37:50On ne savait pas
37:51que c'était cette faille-là
37:52mais après,
37:53on a mis à jour
37:54nos systèmes
37:55pour annoncer
37:56ces télévisions
37:56et leurs forgés.
37:58Donc, vous parlez
37:59en fait de boucliers
38:00adaptatifs,
38:01c'est ça ?
38:01Tout à fait.
38:03Et sur la partie
38:05protection justement
38:06de ces applications web,
38:07aujourd'hui,
38:08il y a des obligations,
38:09il y a des règles
38:09à respecter ?
38:12Il y a pas de contraintes ?
38:14Alors, il y a les contraintes
38:14pour les grandes entreprises
38:15de se protéger.
38:16Il y a toute la norme,
38:18toutes les normes
38:18qui existent aujourd'hui,
38:19que ce soit Nice 2,
38:20RGPD,
38:21qui oblige en gros
38:22les entreprises
38:22à se protéger,
38:23mais il n'y a pas
38:24plus de contraintes
38:25que ça.
38:25Oui,
38:26c'est pas plus décrit
38:28en fait ?
38:28Non, mais la protection
38:30de l'application,
38:31finalement,
38:33tout Internet,
38:34toutes les sociétés
38:35ont une visibilité
38:37sur Internet.
38:37Si vous ne protégez pas
38:38votre image sur Internet,
38:41c'est dommage pour vous.
38:42Donc, ça devient
38:42une obligation
38:43par naissance,
38:44par induite
38:46en fait,
38:46de se protéger
38:47directement.
38:47Ça, je pense que tout le monde
38:48en a conscience.
38:49Après, est-ce que tout le monde
38:50a conscience que les outils
38:52traditionnels sont plus
38:53forcément efficaces ?
38:54Ça, c'est autre chose.
38:55Mais après, il y a toute
38:56une évangélisation à faire
38:57encore sur l'utilisation
38:58de l'IA dans la
38:59cybersécurité.
39:00Merci beaucoup,
39:01Olivia Roux.
39:02Je rappelle que vous êtes
39:02le fondateur,
39:03le PDG d'Ogo Security.
39:05Merci pour ce focus
39:06solutions ensemble.
39:07C'est l'heure
39:07de notre rendez-vous
39:08Culture Cyber.
39:14Smart Cyber se termine toujours
39:16par une proposition
39:17de quelque chose à lire,
39:18à voir, à écouter
39:19ou, là, pour le coup,
39:21à visiter.
39:22C'est avec Jérôme Billois
39:23qu'on va en parler,
39:24partenaire cybersécurité
39:25chez WaveStone,
39:26administrateur du Clusif.
39:27Bonjour, Jérôme.
39:28Bonjour.
39:28Merci beaucoup
39:29de venir avec nous
39:30partager ce rendez-vous,
39:32un rendez-vous
39:32à une conférence
39:33dont le titre
39:34est « Sécurisation de l'IA »
39:36ou « Fast-Rub Programme ».
39:37Donc, ça se passera
39:40au Campus Cyber
39:41le 19 mars.
39:42Quel est l'objectif
39:43de ce rendez-vous ?
39:44L'objectif,
39:45c'est d'éclairer
39:45sur les enjeux
39:46de bien sécuriser
39:47l'intelligence artificielle.
39:49L'intelligence artificielle,
39:50clairement,
39:50elle arrive partout
39:51dans les processus métiers.
39:52Elle arrive partout
39:53au cœur des entreprises,
39:55mais elle amène
39:55des nouveaux risques.
39:56Finalement,
39:57les systèmes d'intelligence artificielle,
39:58ils sont différents
39:59des systèmes historiques
40:01qu'on avait,
40:02qui étaient des systèmes
40:05déterministes.
40:05On lui demande quelque chose,
40:06on a toujours la même réponse.
40:07Là, l'IA,
40:07on lui demande plusieurs fois
40:08la même chose,
40:09on n'a pas forcément
40:09toujours la même réponse.
40:11Il y a des nouvelles dimensions
40:12dans le risque.
40:13L'IA, on va l'entraîner,
40:14mais on peut l'empoisonner
40:15à l'entraînement.
40:17L'IA,
40:17on l'interroge avec des promptes,
40:18on peut justement
40:20détourner ces promptes
40:20pour lui faire faire
40:21n'importe quoi,
40:22pour lui extraire des données,
40:23ce genre de choses.
40:26Et c'est vraiment ça
40:27pour sécuriser les usages
40:28de l'IA,
40:29c'est ça,
40:29dans l'entreprise ?
40:30Alors, il y a vraiment
40:31deux axes.
40:31Il y a un axe,
40:33comment sécuriser l'IA
40:34dans l'entreprise
40:34pour éviter qu'elle devienne
40:35un facteur de risque
40:36pour l'entreprise,
40:38donc de la fuite de données,
40:40de l'atteinte à l'image,
40:42etc.
40:42Mais il y a aussi,
40:44comment bien...
40:44La gérance économique,
40:45d'ailleurs,
40:45on en parlait en introduction.
40:47Mais voilà.
40:47Et aussi,
40:47comment bien sécuriser
40:49ces systèmes
40:49face aux attaques
40:50qui vont être accélérées
40:52par l'intelligence artificielle,
40:54parce qu'aujourd'hui,
40:54le problème,
40:55c'est que les cybercriminels,
40:56eux,
40:57ils la font bien,
40:57leur transformation numérique,
40:58et les cybercriminels,
40:59ils sont toujours très,
41:00très réactifs
41:00quand il y a l'arrivée
41:01de nouvelles technologies.
41:02Et on voit
41:03qu'ils arrivent aujourd'hui
41:04à utiliser l'IA
41:05pour accélérer
41:06leurs attaques.
41:07Et donc,
41:07en regard,
41:08il faut aussi
41:08qu'on accélère
41:09la cyber avec l'IA.
41:11Et donc,
41:11c'est vraiment
41:11ces deux dimensions
41:12sur comment sécuriser
41:14l'intelligence artificielle
41:15et comment utiliser
41:16l'intelligence artificielle
41:17pour la cybersécurité
41:18qui vont être traitées.
41:19Et ça va être
41:20une conférence technique,
41:21parce que j'ai vu
41:21dans le programme
41:22que vous allez explorer
41:23vraiment les modes d'attaque,
41:25les mécanismes de défense.
41:27À qui vous allez
41:27vous adresser ?
41:29Alors,
41:29ça s'adresse
41:30aux responsables
41:31de cybersécurité
41:32des entreprises,
41:33aux responsables
41:33data,
41:34les chief data officers,
41:36par exemple.
41:37Ça s'adresse aussi
41:38aux personnes
41:38qui sont en charge
41:39de la confiance
41:40dans l'intelligence artificielle.
41:42Donc,
41:42les responsables
41:43de hub data,
41:44les responsables
41:44de l'éthique,
41:45de la privacy,
41:46du respect
41:47de la vie privée
41:47et de l'ensemble
41:48de ces réglementations.
41:49Ça,
41:49c'est un axe.
41:50Et on a aussi un axe
41:51effectivement plus technique
41:52pour des architectes techniques,
41:54pour des gens
41:54qui conçoivent,
41:55des data scientists,
41:56qui conçoivent les systèmes,
41:57pour savoir comment
41:58bien intégrer par défaut
42:00finalement la sécurité
42:01dans ces modèles.
42:02Donc,
42:02ça veut dire
42:02qu'il va y avoir
42:03différents ateliers ?
42:05Comment ça va s'orchestrer
42:06pour que chacun puisse aller
42:07à la conférence finalement
42:08qui le concerne le plus ?
42:10Voilà,
42:10on va avoir
42:11six interventions différentes
42:12qui vont mixer
42:12à la fois
42:13des aspects recherche,
42:15des aspects produits
42:16avec un nombre
42:17de démonstrations aussi
42:18qui pourront être faites,
42:19des aspects plutôt
42:20normalisation aussi,
42:21par exemple,
42:22comment gérer
42:22l'identité des agents
42:24d'IA,
42:25comment on leur donne
42:25accès aux données
42:26et puis des choses
42:28sur comment aussi
42:29démarrer au sein
42:30de son entreprise.
42:31Et là,
42:31on pourra s'appuyer aussi
42:32sur des publications
42:33d'Uclusif.
42:34On a publié
42:36une politique
42:37de sécurité type
42:38pour justement
42:38bien sécuriser
42:39les usages de l'IA
42:40et qui est à disposition
42:41de tout le monde
42:42et qui peut être utilisé
42:43justement pour démarrer.
42:45Ce qui est sympa,
42:46je trouve aussi
42:46dans les conférences
42:47d'Uclusif,
42:48c'est qu'il y a toujours
42:48des retours d'expérience
42:49avec des vrais cas concrets.
42:50Vous racontez des histoires
42:52vécues.
42:53Ce sera le cas également ?
42:54Oui,
42:55ce sera le cas également.
42:56C'est vrai qu'on le fait
42:56dans notre conférence annuelle
42:57qui est le panorama
42:58de la cybercriminalité
42:59où on revient
43:00et justement,
43:00j'avais traité
43:02cet aspect des attaques
43:03par l'IA.
43:04Mais là,
43:04effectivement,
43:05on va aussi revenir
43:05sur des cas très concrets
43:06à la fois d'attaques
43:08mais aussi de défenses
43:09et c'est intéressant
43:10de savoir ce qui se passe
43:12sur le terrain finalement.
43:15je devais vous demander
43:17en une phrase
43:17ce qui doit motiver
43:19aujourd'hui
43:19une personne
43:20qui est dans le domaine
43:21de la data,
43:22pas forcément
43:23un responsable de la sécurité
43:24mais de venir
43:25à cette conférence,
43:26ce serait quoi ?
43:26Finalement,
43:27c'est ouvrir les yeux
43:28sur les nouveaux risques
43:29auxquels on ne pense pas forcément
43:30sur les systèmes
43:31d'intelligence artificielle
43:32et apprendre
43:33à comment évaluer
43:34le niveau de confiance
43:35qu'on peut faire
43:36dans l'intelligence artificielle.
43:37C'est vraiment ça
43:38aujourd'hui,
43:38on met de l'IA partout
43:39mais comment je lui fais confiance ?
43:41Quelles sont les bonnes questions
43:42qu'il faut que je pose
43:43pour savoir
43:44si je peux faire confiance
43:45à l'intelligence artificielle
43:46et c'est en assemblant
43:47les contenus
43:48de cet après-midi
43:48qu'on pourra répondre
43:49à cette question ?
43:50On repartirait
43:51avec quelques outils ?
43:52Oui,
43:53des outils très concrets,
43:54des règles à appliquer,
43:55une connaissance aussi
43:56des produits du marché
43:58parce que
43:58Sécuriser l'IA
43:59c'est l'alliance
44:00de processus,
44:01d'une bonne gestion
44:02de la sécurité des données
44:03et puis de mesures techniques
44:04complémentaires
44:05de sécurité
44:05qu'on va mettre.
44:07C'est parfait,
44:08je pense que tout le monde
44:08va être convaincu
44:09et se déplacer le 19 par-chef
44:10parce qu'il y aura
44:11de la place pour tout le monde
44:12d'ailleurs.
44:12Alors il y a aussi
44:13une version en ligne
44:14donc voilà,
44:15on pourra accueillir
44:15beaucoup de monde
44:16parce que c'est vrai
44:16que le sujet
44:17est d'actualité
44:18et on espère
44:19qu'il y aura
44:19beaucoup de monde.
44:20Parce que la culture cyber
44:21en fait c'est en permanence
44:22qu'il faut venir
44:23se mettre à jour
44:24et je crois qu'on l'a bien compris
44:25aussi dans le débat
44:26que nous avions juste avant.
44:28Merci beaucoup Jérôme Billois,
44:29donc je rappelle
44:29que vous êtes partenaire
44:30de cybersécurité
44:31chez WaveStone
44:32et administrateur
44:33du Clusif
44:34qui sera donc
44:35à la tête
44:35de cet événement.
44:36Merci à vous
44:37de nous suivre,
44:38c'était SmartCyber,
44:40votre rendez-vous
44:41mensuel
44:41sur la chaîne Bismarck
44:42autour de la confiance numérique.
44:44Merci à tous
44:44de nous suivre,
44:45à très bientôt.
Commentaires