00:04Mon invité à diriger la cybersécurité du comité d'organisation des Jeux Olympiques et Paralympiques de Paris 2024.
00:10Il est désormais le directeur cybersécurité de BPI France.
00:15Bonjour France Régule.
00:16Bonjour.
00:16Merci beaucoup d'être avec nous.
00:19D'abord un énième bravo.
00:20Merci.
00:21Parce que ces JO, ça a été mémorable en termes évidemment sportifs, mais aussi de cybersécurité.
00:27Il n'y a pas eu d'incident majeur, alors qu'on sait que pendant ces périodes les menaces sont
00:32extrêmes.
00:33Quel est le souvenir que vous en gardez aujourd'hui avec le recul ?
00:37Beaucoup, beaucoup de souvenirs.
00:38En fait, c'est tout d'abord un très bel effort collectif et un très beau résultat collectif.
00:43Et c'est une grande fierté d'avoir été au cœur de cette organisation et puis de voir qu'aujourd
00:48'hui encore,
00:48on est salué par nos confrères, par nos collègues concernant ce succès, puis concernant l'effort de mobilisation.
00:55Et c'est vrai que, compte tenu de l'actualité du moment, ça résonne particulièrement cette capacité que nous avons
01:02eue en France
01:02à nous mobiliser autour d'un événement et que beaucoup de gens aimeraient maintenant retrouver quand la situation internationale l
01:10'exige.
01:10On ne peut pas être en mode JO tout le temps, j'imagine. On continue.
01:14Moi, en tout cas, je ne le souhaite à personne.
01:16Alors, on va s'intéresser maintenant à votre rôle de responsable de la sécurité des systèmes d'information au sein
01:23de BPI France.
01:23En quoi ça consiste ?
01:25Alors, je suis le RSSI, très concrètement, de BPI France.
01:28C'est-à-dire que la mission que mon équipe et moi-même avons, c'est de protéger la banque
01:32publique d'investissement.
01:34Organisation publique, acteur bancaire également, titulaire d'une licence bancaire.
01:37Et donc, cible ?
01:38Cible comme la plupart de nos confrères d'un certain nombre de cyberattaquants.
01:42Également associés à l'image de l'État et du gouvernement français.
01:46Donc, au même titre que la maison mère, la caisse des dépôts et consignations, nous sommes un acteur avec une
01:51exposition, une coloration politique.
01:54Que ce soit justifié ou pas, ce n'est pas la question.
01:56Ça intéresse en tout cas les cybercriminels.
01:58Et puis, bien sûr, comme dans beaucoup de structures similaires, nous avons aussi avec mon équipe une préoccupation autour de
02:05comment servir nos clients.
02:06Les clients, en l'occurrence de BPI France, les entrepreneurs français, dans le domaine de la cybersécurité.
02:11Mais pas seulement, en essayant de mobiliser non seulement les expertises auxquelles nous avons accès au sein de BPI France,
02:17mais également notre écosystème pour promouvoir l'émergence de champions nationaux.
02:22Non seulement en protégeant nos entrepreneurs et nos créateurs de richesses,
02:26mais également en accompagnant et en essayant de coacher à notre échelle les futurs champions de la cybersécurité.
02:33Parce que vous avez à protéger en termes de données, ce sont quoi ?
02:36Ce sont des référentiels d'entreprise ?
02:39Quels sont les actifs, en fait, vraiment à protéger ?
02:44Alors, je ne peux pas rentrer dans le détail trop trop fin.
02:46Mais, comme je le rappelais, on est une banque.
02:49Donc, on a une connaissance fine de l'activité du profil économique,
02:54de l'activité du personnel, du staffing, de l'organisation de nos clients.
02:59On a également des liens étroits avec certains acteurs critiques en France.
03:03Nous avons des activités auprès d'acteurs régaliens, auprès d'acteurs de la base industrielle et technique de défense.
03:09Nous travaillons avec l'État, nous travaillons avec de nombreux créateurs d'entreprises et entrepreneurs
03:14qui ont un savoir-faire dont la propriété intellectuelle est au cœur de la valeur de leur entreprise.
03:19Et donc, on doit les aider à la protéger.
03:22Et puis, évidemment, travaillant avec des entrepreneurs, avec des personnes physiques,
03:26on collecte et on traite une certaine quantité de données personnelles.
03:30Et donc, on est assujettis au RGPD.
03:32Et comment est-ce que vous travaillez à l'ère de l'IA ?
03:36Est-ce que c'est un sujet dont vous vous emparez pour, justement, renforcer la cybersécurité ?
03:42Alors, c'est un vaste sujet.
03:44Ou, au contraire, vous dites, ah ben non, là, c'est le moment plutôt de renforcer notre sécurité face à
03:50l'IA ?
03:51Alors, on est impacté très largement.
03:54Aujourd'hui, ma conviction, c'est que l'IA affecte la menace.
03:58Elle ne change pas nécessairement la structure même de la menace, mais elle la rend industrielle.
04:03Elle abaisse le coût d'investissement pour les cyberattaquants.
04:07Des cibles qui, il y a quelques années, n'étaient pas envisageables
04:11parce que le travail, l'outillage nécessaire pour les attaquer était trop coûteux.
04:15Et je pense à des PME, voire à des TPE.
04:17Cet outillage, son prix a énormément baissé.
04:20Pour des cibles plus exposées comme nous, l'IA permet également d'accélérer considérablement les activités.
04:27Et, en conséquence, elle nous oblige à repenser la façon dont on fait de la cybersécurité
04:31parce que les temporalités ne sont plus du tout les mêmes.
04:34On ne peut plus traiter des incidents en une affaire d'heure ou de jour.
04:38C'est parfois en une minute, donc il faut être capable de réagir.
04:41Donc, on a également évidemment une réflexion importante sur le rôle de l'IA dans notre posture de cyberdéfense.
04:47Comment cette IA peut démultiplier nos capacités, peut nous permettre de participer à la course aux armements face aux criminels,
04:55mais également et surtout comment elle peut nous permettre de repenser notre approche,
04:59de concentrer la créativité et l'intelligence humaine sur les sujets à très forte valeur ajoutée
05:04et d'automatiser tout ce qui peut l'être, mais également d'explorer des activités qui sont juste historiquement inconcevables
05:11parce qu'on n'a pas des armées d'analystes expérimentés disponibles.
05:14Mais demain, on aura peut-être des armées d'agents IA capables de mener une partie de ces activités.
05:19Et puis enfin, l'une des ambitions stratégiques de BPI France aujourd'hui,
05:24c'est de se positionner comme une fintech avec un réseau
05:26et donc de s'intéresser très fortement au potentiel de l'IA dans l'ensemble de l'activité de l
05:31'entreprise.
05:32Donc le réseau BPI France accompagne les entrepreneurs français pour qu'ils adoptent l'IA,
05:37pour qu'ils démultiplient leur capacité d'action.
05:39Et donc à ce titre, nous sommes des gros utilisateurs d'IA,
05:41nous travaillons avec un certain nombre de champions européens sur ce sujet-là
05:44et ça nous pose tout un tas de défis en termes d'adoption et de sécurisation de ces outils.
05:50Alors vous parlez de champions européens, il y a aussi une des missions de BPI France,
05:53c'est de faire progresser l'autonomie numérique, technologique de la France.
05:59Comment est-ce que vous, vous vous appropriez ce sujet de souveraineté
06:04au sein de votre service, au sein de la question cyber ?
06:09Alors moi je fais partie du camp qui préfère parler plutôt d'autonomie stratégique.
06:12Il y a évidemment une dimension souveraineté
06:14et la situation géopolitique mondiale est là pour nous le rappeler.
06:17mais il y a aussi une dimension de dépendance,
06:20de dépendance à des éditeurs qui sont sous pavillon étranger,
06:23qui peuvent avoir des politiques économiques, financières, stratégiques,
06:27très différentes des nôtres.
06:28Et donc il est important, quel que soit le domaine de notre activité,
06:32de ne pas nous mettre en dépendance,
06:33de ne pas nous mettre à la merci de fournisseurs clés.
06:36Donc à ce titre, notre réflexion, elle est encore jeune.
06:39On a une grande ambition parce qu'on aimerait bien que tout le monde se rappelle
06:43qu'on est la banque publique d'investissement
06:45et qu'on est la banque des entrepreneurs par excellence.
06:48Donc on travaille sur cette notion avec,
06:52nous sommes au début de notre parcours avec un gros travail d'inventaire,
06:56comprendre la nature des outils qu'on utilise,
06:58la nature des dépendances qui aujourd'hui existent réellement,
07:02identifier...
07:02Vous utilisez l'IRN, l'indice de résilience ?
07:04Alors on est en train de travailler dessus.
07:07On est en train de travailler dessus, mais on a bien cette idée.
07:09Alors moi, à mon domaine, à mon échelle, avec ma direction de la cybersécurité,
07:14on a bien cette idée de comprendre notre exposition aujourd'hui,
07:16d'identifier les champions français et européens
07:19qui demain pourraient nous accompagner au fil du renouvellement
07:23de notre cycle technologique,
07:25et puis d'identifier aussi le coût,
07:27parce qu'il ne faut pas se voiler la face, il y a aussi un effort à faire.
07:30Mais moi je suis convaincu qu'aujourd'hui,
07:33l'autonomie stratégique, c'est un risque parmi d'autres,
07:35et tous ces risques, ils ont des coûts liés aux risques,
07:38ils ont des coûts liés à la mitigation,
07:39et c'est ça que j'ai bien l'intention d'entreprendre avec mon équipe dans les prochains mois.
07:43Merci beaucoup France Régule d'avoir été dans Smart Cyber pour l'interview RSSI.
07:48C'est l'heure de notre talk, on va parler du phénomène des infostyleurs.
07:51Sous-titrage Société Radio-Canada
Commentaires