- il y a 8 heures
Ce mardi 17 mars, François Deruty, directeur des opérations chez Sekoia.io ; Thomas Gayet, fondateur de Scovery se sont penchés sur la façon dont il faut protéger nos services publics dans l'émission Tech&Co Business présentée par Frédéric Simottel. Tech&Co Business est à voir ou écouter le mardi sur BFM Business.
Catégorie
📺
TVTranscription
00:01Tech & Co-Business, les invités.
00:05Allez, on va démarrer tout de suite.
00:06Une forte émission, très axée sur la cybersécurité aujourd'hui.
00:10Vous l'avez compris, avec nos deux invités,
00:12on va parler de comment protéger nos services publics.
00:14On va aussi aborder le thème de la souveraineté avec eux.
00:16Thomas Gaillet, bonjour.
00:17Bonjour.
00:18Co-fondateur de Scovery.
00:19Et François Deruti, directeur des opérations de Sequoia.io.
00:24Bonjour.
00:25Merci d'être avec nous.
00:27Juste un mot sur Scovery.
00:28J'ai oublié de prendre ma note.
00:30En Scovery, on est une solution de cybernotation.
00:32On s'intéresse à découvrir la surface d'attaque des entreprises,
00:36les vulnérabilités qui les concernent,
00:37et on établit un cyberscore qui représente
00:40leur posture cybersécurité et leur risque de vivre une intrusion.
00:43Voilà, et c'est donc avec vous qu'on va voir.
00:44Les administrations sont un peu en dessous de la moyenne.
00:46Et Sequoia.io, on vous connaît, c'est toute l'IA au service de la cyber.
00:50Je résume ça en trois mots, mais c'est autour de ça.
00:52Détection, protection, suivi des menaces et réponse aux incidents.
00:55Une de nos belles pépites tricolores.
00:57Alors, tiens, première question, il y a eu le premier tour des municipales.
01:02Est-ce qu'on a vu des choses, des attaques fortes au cours de, je ne sais pas, qui peut
01:06?
01:07On a regardé un peu, alors peut-être qu'il y a des choses qui vont sortir après,
01:10mais pour l'instant, pas d'événements majeurs.
01:13Il y a eu pas mal d'événements ou de petits sentiments avant,
01:16plutôt dans l'écosystème.
01:17Mais voilà, on a vu des sites internet pour les élections développer un peu en urgence,
01:20avec des faiblesses de sécurité, utilisées par l'IA pour aller un peu vite.
01:24Donc des données personnelles des lecteurs, des choses comme ça.
01:26Des fuites de données qui peuvent toujours être impactantes.
01:29Et beaucoup de désinformation.
01:30On a quand même une échéance, on sait à quelle date ça se trouve et tout ça.
01:32On aurait le temps de préparer ça en amont, mais comme à chaque fois, ça se fait un peu dans
01:35la précipitation.
01:36Les attaquants, le glauver, le bouclier, souvent un temps d'avance côté attaque.
01:39Donc il faut réagir.
01:40Et puis c'est des systèmes qui sont complexes à protéger quand même.
01:42– Alors on va revenir un peu plus sur ces administrations, ces services publics.
01:47C'est quoi les principales menaces aujourd'hui ?
01:48Ça reste les rançons GCL, enfin les ransomware ?
01:51– Alors aujourd'hui, il y a les rançons GCL, mais on est plus sur l'extorsion de la fuite
01:54de données.
01:55C'est-à-dire que le chiffrement du système d'information, ce blocage,
01:57comme on a eu dans les hôpitaux il y a quelques années ou dans des précédentes élections, arrive moins.
02:02Donc aujourd'hui, on est plus sur la fuite de données, l'extorsion de la donnée à la rente publique.
02:05Et si possible, s'en servir ou les attaquants s'en servent.
02:08Si jamais dans ces données-là, il y a quelque chose qui peut créer la confusion, le chaos,
02:11ou les modifier par l'IA, on peut créer un peu de doute dans le système électoral en jouant là
02:16-dessus.
02:17C'est la plus grosse menace des informations et des fuites de données aujourd'hui.
02:20– On voit beaucoup les deepfakes et tout ça, on en voit apparaître, mais ce n'est pas encore généralisé.
02:27– Alors pas encore autant sur ce type d'élections qui sont assez locales.
02:31Je suppose qu'à l'approche des élections présidentielles, on va voir plus de choses monter.
02:34On en voit surtout sur les conflits armés en dehors.
02:37Mais sur ces élections locales-là, c'est encore restreint comme usage.
02:40– Ce qu'on voit effectivement, c'est que depuis le début de l'année,
02:42il y a eu la mise en œuvre d'un observatoire pour regarder un petit peu ce qui se passait
02:45dans le cadre des élections.
02:46Et au final, il n'y a pas eu d'événement majeur à impact fort
02:50qui est venu perturber soit les organisations en tant que telles de l'élection,
02:54soit effectivement sur la menace un peu informationnelle.
02:56Il y a eu des événements, mais qui restent relativement mineurs.
02:58– D'accord, alors justement, en plus, il y a eu le panorama de l'Annecy,
03:01l'autre jour qui est sorti, alors qu'il nous disait qu'en gros,
03:04je crois que c'est une attaque sur deux, elle est plus ou moins connue.
03:10Je ne sais plus quelles étaient les statistiques,
03:12mais ils ont revendiqué 86 attaques, qui sont des vraies attaques,
03:18sur je ne sais plus combien de...
03:19– Il y a 1300 incidents à peu près, et après il y a les opérations,
03:22les incidents majeurs et les opérations de cyberdéfense,
03:24qui est là où ils se déploient.
03:26– Mais il y a eu beaucoup d'attaques qui étaient connues,
03:28c'est souvent les pirates qui communiquent un peu pour un peu faire peur,
03:32alors que c'est des attaques qui sont connues des spécialistes comme vous.
03:36– Il y a aussi, dans le monde cybercriminel au sens large,
03:38que ce soit étatique ou cybercriminel,
03:40il y a aussi une course à la réputation, avec le premier attaquant,
03:43à la revendication, parfois une revendication d'attaques qu'ils n'ont pas saisie.
03:46– Parce qu'ils ont des chiffres à faire, ils ont un ROI.
03:47– C'est un système professionnel, ils ont des CPI, ils recrutent,
03:50ils ont besoin de ce genre de choses.
03:52– Mais effectivement, beaucoup aussi de fausses revendications,
03:54qu'on voit quand même, notamment dans le monde des rançonchiciels,
03:57régulièrement, on apprend la potentielle compromission d'une entreprise
04:00et on se rend compte que finalement, elle n'était pas avérée
04:02et que c'était plutôt un coup de com' de la part du groupe d'attaquants.
04:04– Et ce que je vois, c'est plutôt paralysie des services
04:07par des attaques cybercriminelles,
04:09déstabilisation par des activistes,
04:10ce que l'on voit aussi de temps en temps.
04:12– L'IA aussi commence à amplifier un peu la menace, François Doré ?
04:14– Tout à fait, on a notamment des campagnes qu'on visait un peu avant les élections,
04:17la presse quotidienne et régionale, des campagnes qu'on appelle Storm 15-16,
04:21on trouve des noms de groupes un peu fancy.
04:24– Et dont on parle ici de temps en temps.
04:25– Exactement, et du coup, il y a ce groupe-là qui est assez connu
04:28pour faire la désinformation, avait notamment créé automatiquement,
04:31avec de l'IA, un peu plus de quasiment 150 faux sites
04:34qui prennent des articles légitimes.
04:36et avec un prompt IA, il les modifie en disant
04:38« Changer le narratif pour instiller un peu plus de chaos
04:41dans le cadre du sud du virus ukrainien »
04:43et après on les déploie.
04:44– On déploie sur les réseaux sociaux et on se fait un peu de chaos,
04:46on reprend avec des bots, on reprend sur Internet
04:48et on crée cette confusion, on se doute,
04:50et très dangereux pour une démocratie.
04:51– Et puis on se fait avoir évidemment quand on fait dérouler un peu
04:53tous ces sites, enfin toutes ces petites vidéos,
04:58toutes ces petites infos sur nos réseaux sociaux.
05:02Thomas Gaillet, avec Discovery, vous regardez justement cette notation,
05:04on en parlait un instant.
05:07administration, services publics, ils apparaissent comme les plus vulnérables.
05:09Alors on se dit oui, il y a toujours cette histoire de moyens,
05:13mais voilà quand même ces dernières années,
05:15les hôpitaux, le nombre innombrable de sites,
05:19d'agglomérations, de villes qui ont été piratées,
05:22avec quand même il y a des données sensibles dans tout ça,
05:25c'est toujours le cas aujourd'hui.
05:27– Alors ça reste effectivement un secteur qui est un peu plus vulnérable,
05:29nous on a fait un focus très particulier sur l'élection municipale,
05:32on allait étudier les mairies un petit peu,
05:34en termes de posture cybersécurité,
05:36et on constate ces structurelles,
05:37elles sont globalement 14 points en dessous
05:39de la moyenne que nous pouvons avoir des cybersports.
05:41– Et 14 points c'est beaucoup ?
05:42– Et c'est significatif dans notre façon d'évaluer, effectivement.
05:45Elles ne sont pas forcément toutes en bas du tableau,
05:46mais ça reste tout à fait significatif.
05:48Mais il faut voir la réalité du système d'information d'une mairie.
05:50Aujourd'hui on a 35 000 communes en France,
05:52on a des très grandes communes qui sont structurées
05:54avec une direction informatique,
05:56un responsable sécurité,
05:57et de l'autre côté on a une majorité de communes
05:59de moins de 1000 habitants,
06:00où l'informatique est gérée par le maire,
06:01le secrétariat ou un prestataire externe.
06:03Donc on a évidemment des enjeux qui sont très hétérogènes
06:06en fonction de la taille aujourd'hui des mairies,
06:09et pourtant elles doivent toutes être capables
06:10de délivrer des services aux citoyens.
06:12Elles vont gérer l'état civil,
06:13elles vont gérer les inscriptions scolaires,
06:15elles vont gérer les inscriptions sur les listes électorales.
06:17Donc on a cette continuité de services qui est nécessaire.
06:20– Ça peut être des portes d'entrée vers d'autres systèmes,
06:21parce qu'elles sont connectées en traie,
06:23elles sont connectées avec le site de la région,
06:25– Il peut y avoir effectivement ça,
06:26ce qu'on voit en termes,
06:27pour expliquer un peu ce décalage dans le scoring,
06:30ce qu'on voit effectivement c'est deux sujets principaux,
06:33elles exposent un peu plus de services sensibles
06:34que le reste des autres acteurs,
06:35des services d'administration à distance
06:37ou des services un peu critiques,
06:39et elles ont un peu plus de retard
06:40dans la correction des vulnérabilités les plus critiques.
06:43C'est ce qui explique globalement ce décalage,
06:44mais qui à nouveau n'est pas du tout le même
06:46si on regarde les grandes communes,
06:47évidemment françaises,
06:48et les toutes petites communes françaises.
06:50– Et qu'est-ce qu'il faudrait faire alors
06:51pour accélérer un peu au niveau des petites communes,
06:52parce qu'effectivement,
06:53même si les grandes ne sont pas toujours
06:56suffisamment bien protégées,
06:57elles sont quand même sensibilisées
06:59avec des équipes adéquates ?
07:00– On revient sur les moyens,
07:02déjà, une harmonisation,
07:04la transposition de la directive Nice 2,
07:06qui traîne un peu,
07:08on devait la transposer en octobre 2024,
07:10aujourd'hui on est toujours
07:11en aller-retour parlementaire,
07:12donc ça il y a aussi pas mal de choses,
07:14parce que mine de rien,
07:14la réglementation ou la régulation
07:15aide à monter en maturité,
07:17des moyens et puis des offres aussi adaptées
07:19à ces mairies qui n'ont pas forcément
07:21de quoi s'acheter des solutions
07:23comme des grands groupes du CAC 40.
07:25– Il y a eu effectivement
07:26une enquête d'opinion,
07:27OpinionWay,
07:28pour Cybermaviance,
07:28Gouvez-Ferre,
07:29qui montrait que,
07:30pour la grande majorité des mairies,
07:31le budget cybersécurité annuel,
07:32c'est 2000 euros,
07:33on parle du prix d'un poste de travail
07:35bien configuré,
07:36donc il y a cette question de moyens,
07:38évidemment,
07:38rentre en ligne de compte,
07:39mais si on parle vraiment des élections,
07:41il ne faut pas oublier
07:42qu'on a quand même en France
07:42un système de vote qui est robuste
07:44et qui est globalement,
07:45qui n'est pas dématérialisé,
07:46à l'exception des 60 villes
07:48qui ont des machines à voter,
07:48il y a un moratoire depuis 2008,
07:50et puis on ne vote pas à distance.
07:53– Exactement,
07:54donc on est vraiment quand même
07:54sur quelque chose,
07:55aujourd'hui c'est physique,
07:56il y a effectivement un bulletin
07:58dans une enveloppe,
07:58dans une urne,
07:59il y a un dépouillement
08:00qui est public,
08:01et après il y a un petit peu
08:02peut-être de numérique
08:02pour la remontée,
08:03la consolidation des informations,
08:04mais le système de vote
08:05il est robuste en soi.
08:06Le danger c'est effectivement
08:07plutôt tout autour du système de vote,
08:09cet environnement autour,
08:10informationnel,
08:11le risque de paralysie
08:12qu'on évoquait,
08:13un ransomware qui tomberait
08:14là dans l'entre-deux-tours
08:15où nous sommes,
08:15ça peut rendre compliqué
08:16à l'organisation du scrutin dimanche.
08:18Voilà,
08:19ça peut être très concret,
08:20très opérationnel.
08:20– Oui,
08:21surtout que l'on sait
08:21si on bouscule des petites informations,
08:24ça peut rendre caduque
08:25une élection
08:26parce qu'on aura modifié un bulletin,
08:28ne serait-ce qu'un bulletin,
08:29j'ai vu ça récemment,
08:31sur une liste,
08:31on n'a pas le droit de mettre
08:32qu'on était mes radjoints et tout ça,
08:33il suffit d'aller,
08:34on va faire ça,
08:35et on rend caduque.
08:36– Il y a une réglementation à suivre là-dessus,
08:37c'est sûr.
08:37– Voilà,
08:37il y a une réglementation forte à suivre.
08:38Mais aujourd'hui quand même,
08:41il y a un moment,
08:47on a une innovation galopante,
08:49on a une IA qui fait tout.
08:51Qu'est-ce qu'il va falloir faire,
08:53François Derrittier ?
08:53– Vous allez dire
08:54que je suis un peu redondant
08:55dans mes réponses,
08:55mais la stratégie
08:57de cybersécurité nationale
08:58est sortie récemment,
09:00elle a été travaillée
09:01pendant un moment,
09:02il y a eu de nombreux groupes de travail
09:03qui ont été formés
09:04sur ce sujet-là,
09:05mais avec les aléas politiques,
09:08dissolution,
09:09plusieurs fois changement
09:10de Premier ministre,
09:10elle a eu du mal
09:11à aller jusqu'au bout
09:11et surtout à être associée
09:13à des moyens.
09:14Du coup aujourd'hui,
09:14on a une stratégie
09:15qui est très,
09:16peut-être un petit peu en retard,
09:17qui a un peu 18 mois de retard
09:18parce que le monde
09:19des attaquants va vite
09:20et surtout,
09:20il manque des moyens
09:21pour la mettre en œuvre
09:22donc il va falloir
09:23travailler ces budgets-là
09:24pour être sûr
09:24qu'on puisse enfin
09:26accompagner
09:27les entreprises.
09:27– Comme on le disait,
09:28dans une petite commune,
09:29ce n'est pas forcément
09:29la priorité aujourd'hui.
09:31– Ce n'est pas la priorité
09:32mais il y a quand même
09:32de la sensibilisation.
09:33Mine de rien,
09:34on a une commune sur 10
09:35qui a été victime
09:35d'un incident cyber
09:36et malheureusement,
09:37la sensibilisation
09:38passe encore parfois
09:39par l'incident
09:40et puis nous,
09:40on voit notamment
09:41en termes de posture
09:45sur les 12 derniers mois.
09:46Donc, il ne faut pas croire
09:47que rien n'a été fait.
09:49Maintenant,
09:49on a ce paradoxe français
09:50qui est que localement,
09:51on a des enjeux
09:52de continuité de service
09:53pour les citoyens
09:54alors qu'on a d'un côté
09:55effectivement
09:56des budgets globaux
09:58et des budgets
09:59où parfois
09:59c'est l'équipement personnel
10:00du maire
10:00qui est utilisé
10:01pour pouvoir réaliser
10:03l'informatique de la mairie.
10:04– Oui, parce que c'est ça,
10:04à côté de ça,
10:05le citoyen,
10:05on les renvoie
10:06qu'ils soient dans une grande commune
10:07ou une petite commune,
10:08on les renvoie toujours
10:09vers le site internet
10:10pour leurs différentes démarches,
10:12même leurs démarches…
10:13– On a quand même pas mal
10:13dématérialisé les services
10:14– Local et tout ça.
10:16Eh bien, merci messieurs
10:17d'être venus nous parler de tout ça.
10:18Donc, Thomas Gaillet,
10:19cofondateur de Scovery.
10:20Donc, on retrouve,
10:21voilà, sur Scovery,
10:22la notation peut comme ça
10:23se situer par rapport aux autres.
10:26Et François Derruti,
10:26directeur des opérations
10:27de sequoia.io,
10:28vous connaissez bien évidemment
10:29avec l'IA
10:30au service de la cyber.
10:31Merci à tous les deux
10:32de nous parler de tout ça.
10:33On va continuer à parler cyber
10:34dans un instant
10:35avec quelqu'un
10:35que vous connaissez certainement,
10:36Alain Bouillet,
10:37le délégué général du Cézain.
10:39Ils ont fait justement
10:40le dernier,
10:41le onzième baromètre
10:42Cézain-Opinionouet.
10:44Les attaques sont moins nombreuses,
10:46tant mieux,
10:46mais beaucoup plus virulentes.
10:48C'est vrai que c'est
10:48ce qu'on remarque, ça.
10:49Merci en tout cas tous les deux.
10:50– Merci à vous.
10:50– Merci à vous.
10:50– Sous-titrage ST' 501
Commentaires