00:00Tech & Co-Business, l'invité.
00:03Voilà, ça faisait un moment que je voulais parler de ce baromètre.
00:06C'est le 11e baromètre Cézanne Opinion Way sur l'état des lieux de la cybersécurité des entreprises françaises.
00:11On vient à l'instant de parler de l'état des lieux des petites communes, c'est un peu compliqué.
00:15Et nous allons parler de tout ça avec Alain Bouillet. Bonjour Alain.
00:17Bonjour.
00:18Merci de travailler avec nous, délégué général du Cézanne.
00:20Alors c'est le club des experts de la sécurité et de l'information du numérique.
00:23C'est plus de 1200 membres issus de toutes les entreprises, administrations, secteurs d'activité,
00:27industrie, ministère, entreprise, du CAC 40, USB F120.
00:31Enfin voilà, ça fait un état des lieux assez complet quand on présente ce baromètre.
00:35Je le présentais rapidement dans le sommaire.
00:36J'ai des cyberattaques moins nombreuses, mais beaucoup plus virulentes.
00:40On va revenir dessus.
00:42Et évidemment, dans le contexte actuel, une menace cyber qui est quand même très liée au contexte géopolitique.
00:47C'est ce que dit ce baromètre.
00:49Tout à fait.
00:49Alors la géopolitique s'est invitée dans l'agenda des RSSI.
00:53Et singulièrement depuis quelques mois avec l'élection de Trump, des pressions en effet importantes sur la disponibilité du système
01:05d'information
01:05qui va même au-delà des questions de cyber.
01:09Et ça, c'est clairement un des sujets.
01:12Ça veut dire quoi ? Ça veut dire du cyberespionnage beaucoup plus important ?
01:14Alors cyberespionnage, c'est aussi la conséquence.
01:16C'est-à-dire qu'à force d'avoir livré toutes les données dans des data centers étrangers, dans des
01:23clouds étrangers,
01:25il y a un moment donné où les curieux peuvent se servir un peu plus facilement qu'avant,
01:30où il fallait pénétrer dans les réseaux et utiliser des backdoors, etc.
01:34Maintenant, les données sont livrées sur des plateaux d'argent.
01:36Donc c'est vrai que le cyberespionnage reste quelque chose de plus en plus prégnant
01:43et avec des moyens pour s'en prémunir qui sont quand même un peu compliqués.
01:46Oui, parce qu'évidemment, quand on parle cloud data center, on sait bien qu'en France, on a quelques acteurs,
01:52mais quand on est soi-même un client d'envergure mondiale, c'est compliqué de passer au-delà de nos
01:59acteurs américains que l'on connaît bien.
02:01Puis on peut protéger les données par des systèmes de chiffrement, etc.
02:04Mais on sait bien qu'après, la convivialité côté utilisateur en prend un coup et en règle générale, ça s
02:10'arrête assez vite.
02:11Alors, Alain Bouillet, ce panorama existe depuis 11 ans, depuis 2015.
02:19Et justement, il y a un point très précis, je trouve intéressant, c'est la souveraineté.
02:23Parce qu'on a toujours parlé de souveraineté, il faut des solutions souveraines.
02:26Est-ce que là, enfin, il y a un petit seuil ou un seuil qui a été franchi par rapport
02:30à cet enjeu de souveraineté ?
02:31Parce qu'on se disait toujours, oui, je veux des solutions, mais on n'y allait pas vraiment.
02:35Mais là, peut-être qu'aujourd'hui, il y a un peu de prise de conscience ?
02:37Il y a eu clairement un déclic avec, encore une fois, l'élection américaine, mais avec des menaces nouvelles.
02:43C'est-à-dire que la question de la souveraineté, on l'a longtemps regardée sous l'angle de la
02:47protection de la donnée.
02:48Est-ce que je mets mes données dans des data centers étrangers, dans des clouds étrangers,
02:52et au risque du cyber-espionnage dont on parlait tout à l'heure, et d'autres choses ?
02:58Et on adressait plutôt le problème en se disant, finalement, c'est quoi mes données sensibles,
03:02et est-ce que je les mets ou pas dans ces endroits-là ?
03:06La question qui se pose aujourd'hui, elle est plus systémique.
03:10C'est-à-dire qu'en gros, la question, c'est est-ce que j'aurai encore demain l'accès
03:14à mon système d'information,
03:17encore une fois, la plupart du temps américain, du fait des soubresauts géopolitiques ?
03:22Et là, on rentre dans des questions de continuité de service, finalement,
03:27qui dépassent très largement les questions de...
03:29Et indépendamment, parce que je le rappelle, 1 200 membres du CESA,
03:34issus de tout secteur d'activité, des ministères,
03:36il y a des entreprises, évidemment, du secteur privé, de l'industrie, CAC 40...
03:41Il y a des familles, un peu, des profils d'entreprises que l'on voit plus à cheval sur la
03:45souveraineté que d'autres ?
03:47En fait, paradoxalement, c'est un peu la même chose qui s'est passée il y a 20 ans
03:51quand on a décidé le move to cloud, c'est-à-dire qu'il y a des boîtes qui sont
03:53allées,
03:54mais vraiment, voilà, il fallait tout migrer dans les clouds, et si possible américains.
04:01Et là, quand les gens se rendent compte qu'ils sont pieds et poings liés avec, en effet, ces fournisseurs,
04:08les questions se posent.
04:09Il y a des grands groupes aujourd'hui qui ont carrément des projets pour identifier,
04:13alors non plus les données sensibles, savoir si on les met ou pas dans les clouds,
04:17mais quels sont mes process sensibles et quels sont les process pour lesquels je ne peux pas me passer
04:22de l'histoire du bouton rouge.
04:24Si le bouton rouge arrive, comment je fais pour faire tourner le minimum vital de l'entreprise ?
04:29Et j'imagine avec une pression plus forte aussi de la part des directions générales,
04:32j'imagine que chaque PDG a dû dire à son ciseau,
04:36écoute, qu'est-ce qui se passe si un jour, là,
04:39Donald Trump dit à Microsoft et Google d'appuyer sur le bouton rouge ?
04:41Et c'est clairement un sujet qui est remonté directement au COMEX.
04:45Et on voit bien maintenant que ces grands projets,
04:49quand on migre du VMware, par exemple, vers une solution un peu moins coûteuse,
04:55on voit que ce sont des sujets qui sont directement suivis par les COMEX.
04:59Alors, autre sujet important, alors que c'est une tendance que l'on voit se dessiner depuis 24-18 mois,
05:05c'est cette histoire du risque, alors on appelle ça le risque tiers,
05:09c'est-à-dire, c'est pas forcément l'entreprise qui est visée,
05:12mais via ses fournisseurs, via ses partenaires, via ses sous-traitants,
05:15et bien c'est par là que les pirates réussissent à rentrer,
05:18qu'il peut y avoir des fuites de données.
05:21Ça, c'est quelque chose aussi qu'on a vu se déployer sur ces derniers mois.
05:25Là, on le voit dans le baromètre, on a plus d'un tiers de nos membres
05:28qui nous disent que la moitié de leurs incidents, accidents cyber...
05:33– C'est un tiers, c'est dû à un tiers. – C'est dû à un tiers.
05:35Et il y a même des banques qui nous disent 100%, 100% des incidents,
05:41parce que les banques sont quasiment inattaquables d'un point de vue cyber.
05:44Aujourd'hui, c'est très compliqué d'aller franchir les barrières
05:47qu'ils ont érigées autour de leur système d'information.
05:49Donc on attaque les fournisseurs qui sont,
05:53alors je ne veux pas généraliser, mais quand même en règle générale,
05:57moins bien sécurisés que les clients qui leur confient les données.
06:00Et là, on a un vrai sujet, parce que si on parlait de quelques grands fournisseurs,
06:06on pourrait dire qu'on va se concentrer sur ces fournisseurs-là
06:09et on va faire ce qu'il faut pour qu'ils soient sécures.
06:13Le problème, c'est que vous avez dans des grands groupes
06:1510 000, 20 000, des dizaines de milliers de fournisseurs.
06:19Comment peut-on gérer finalement, à s'assurer de la sécurité de ces gens-là ?
06:24Donc du coup, on a des méthodes qui, moi, ne me satisfont pas,
06:28c'est-à-dire les questionnaires de sécurité.
06:31Oui, parce que c'est ça, 85% intègrent des clauses de sécurité dans leur contrat,
06:3574% utilisent des questionnaires de sécurité,
06:38mais là, voilà, ça n'engage que celui qui coche les cases.
06:40Exactement, c'est comme les clauses dans les contrats,
06:42comme les contrats, on les regarde que quand ça se passe mal,
06:46je ne dis pas que ça ne sert à rien, ça rassure les juristes,
06:48ça rassure tout le monde, mais ça ne rassure pas les RSSI.
06:51Et je pense qu'effectivement, des fournisseurs très, comment dirais-je, sensibles,
06:56il faut les tester, il faut faire des tests d'intrusions,
07:00il faut faire des audits, il faut aller en profondeur.
07:03Il faut être tout le temps dans une dynamique, quoi,
07:05il ne faut pas juste se dire, tiens, on va faire un problème.
07:07C'est ce fameux périmètre du RSSI qui augmente,
07:11ce périmètre de surface d'attaque qui augmente,
07:14elle augmente aussi par le fait qu'on confie ces données,
07:17effectivement, à des fournisseurs parfois peu sécurisés.
07:19Et puis alors, on n'aura pas le temps de traiter tous les sujets,
07:21mais un sujet important, baromètre,
07:24que l'on peut retrouver évidemment sur le site du Césain,
07:27c'est l'IA, qui est aujourd'hui à la fois utilisée pour la cyber,
07:32mais utilisée aussi beaucoup par les pirates.
07:34Alors on demande à nos membres depuis 15 ans,
07:37quels sont les risques comportementaux de vos utilisateurs
07:40que vous craignez le plus.
07:42Donc on avait du Shadow IT,
07:43si on avait des utilisateurs qui étaient un peu trop rapides à cliquer.
07:49Il y a le Bring Your Own Device à l'époque,
07:50puis le Shadow IT et tout ce genre de choses.
07:52Et là, on a à 75%, je crois,
07:56des membres qui nous disent,
07:58c'est le fait que l'IA soit dans notre entreprise,
08:02en forme Shadow.
08:03Parce qu'en fait, si on avait eu le temps,
08:07effectivement, d'anticiper et d'installer de l'IA sécure
08:11sur tous les postes de travail,
08:12non, les gens se sont précipités sur ChatGPT
08:14et n'ont pas attendu que l'IT leur fournisse l'IA sécurisé.
08:18Oui, puis c'est tellement facile de télécharger un ChatGPT,
08:21un Google Gemini, voir sur son mobile,
08:23et passer outre.
08:24Donc là, qu'est-ce qu'il faut faire ?
08:25Quel est le conseil à donner ?
08:28On dit souvent que l'IA, finalement, est un accélérateur.
08:31Et c'est aussi un accélérateur de risque.
08:32C'est-à-dire qu'il n'y a pas beaucoup de risques particuliers à l'IA.
08:36Le vol de données, c'était connu avant,
08:38le Shadow, etc.
08:39Enfin, tous ces risques-là, finalement,
08:41on a déjà des outils pour le Shadow IT,
08:43on avait des outils qu'on peut bien utiliser pour l'IA,
08:48le DLP, l'outil qui permet de détecter les fuites de données,
08:54on peut très bien l'utiliser pour l'IA aussi.
08:56Ce qui reste, par contre, c'est quelque chose
08:58qui est un peu compliqué à adresser,
09:01c'est l'IA que j'intègre dans mes applications.
09:03Je développe des applications avec de l'IA dedans.
09:06Comment je fais pour protéger l'IA ?
09:08Et ça, on voit qu'il y a quelques start-up
09:12qui commencent à proposer des choses.
09:13Les grands, évidemment, proposent bien évidemment des solutions.
09:17mais ça reste du coup, pour l'instant,
09:20un caillou dans la chaussure du RSSI.
09:22Merci d'être venu parler de tout ça.
09:23Alain Bouillet, délégué général du CESAIN,
09:26le club des experts de la sécurité, de l'information et du numérique,
09:29pour ce point.
09:30Allez voir ce baromètre, c'est vraiment intéressant.
09:32Il y a beaucoup d'enseignements
09:33et puis ça permet de réfléchir un peu justement à sa stratégie cyber.
09:36Merci encore Alain d'avoir été avec nous.
09:38Merci.
Commentaires