00:04Très heureuse de recevoir Raphaël Marichet, bonjour.
00:08Vous êtes responsable de la sécurité des systèmes d'information pour la France, l'Europe du Sud, chez Palo Alto
00:13Networks.
00:14Merci beaucoup d'être avec nous dans cette interview RSSI.
00:17Première question, peut-être un petit peu vaste, mais ça m'intéresse d'avoir votre regard sur, de manière générale
00:22aujourd'hui,
00:23que veut dire la cybersécurité dans une grande organisation ?
00:27Quelle est votre vision stratégique, les sujets majeurs qui vous semblent importants à traiter ?
00:32C'est une vaste question, merci de la poser, parce que j'aime bien prendre les choses en revenant aux
00:36fondamentaux.
00:37C'est une question de confiance d'abord. On devrait parler d'ailleurs plus de confiance numérique.
00:40Et puis cybersécurité, étymologiquement, c'est la gouvernance, c'est la navigation.
00:44Moi je suis un marin aussi d'origine et j'aime bien faire le parallèle avec savoir piloter un navire,
00:49définir un cap.
00:50Il peut se passer des aléas, mais l'objectif c'est bien de tendre toujours vers un cap.
00:55Et un cap c'est quelque chose qu'on a du mal à atteindre.
00:57Donc c'est une culture d'entreprise à diffuser et à faire vivre sur la durée.
01:01Mais la mer est de plus en plus chahutée, non ? Je me trompe ?
01:04Vous ne vous trompez pas, c'est aussi la rançon du progrès finalement, de la numérisation, de la dématérialisation.
01:12La confiance a dû se déplacer de la sphère physique vers une sphère à la fois physique et numérique, physique
01:18et virtuelle, là où les frontières s'estompent.
01:21Vous l'évoquiez dans le sommaire, entre le vrai et le faux.
01:23Je dirais aussi entre l'humain et le synthétique.
01:25C'est vrai.
01:26Et l'outillage, aujourd'hui, est devenu une partie critique, déterminante des processus opérationnels des entreprises, comme les administrations de
01:35services publics d'ailleurs,
01:36à tel point qu'on doit, je pense, en termes de compétences et d'expérience, augmenter nos humains, nos salariés,
01:44nos agents publics,
01:45pour mieux piloter l'outil et pas forcément faire les choses à la place de l'outil.
01:49Alors, vous faites référence à la confiance, ça tombe bien, parce que SmartCyber, c'est le premier rendez-vous sur
01:54la confiance numérique,
01:55mais ça me fait aussi penser à la réaction du député Philippe Latombe quand on a découvert le record historique
02:01de fuite de données en France,
02:03qui apparaît très clairement dans le dernier rapport annuel de la CNIL,
02:07qui dit qu'avec les fuites de données massives au sein des administrations, c'est la confiance qu'on perd
02:14des citoyens,
02:15l'État en est responsable aujourd'hui, et en fait, c'est même toute la confiance qu'on a dans
02:21la numérisation qui est mise à mal.
02:23Vous, vous avez occupé pendant une dizaine d'années des responsabilités de premier plan au sein de l'État français,
02:29notamment comme RSSI du ministère de l'Intérieur.
02:33Avec quel regard vous suivez ces actualités autour des fuites de données et de la manière dont ça concerne de
02:40plus en plus ces administrations ?
02:41Alors, ça remonte un peu à mon expérience, mais évidemment, vous touchez une corde insensible.
02:45J'ai quand même passé dix ans au service de l'État, donc je n'y suis pas insensible à
02:49ces commentaires et ce qui se passe aujourd'hui.
02:52Et des fois, je suis un peu triste qu'on ne remette pas en avant tout ce qui a été
02:57fait.
02:58C'est souvent quand on dit « les trains arrivent alors », on n'en parle jamais.
03:01Par exemple, l'authentification forte dont on nous rabâche aujourd'hui,
03:05le ministère de l'Intérieur l'a mis en œuvre dès 2012,
03:08avec l'authentification par carte à puce, avec code PIN et certificat sur support électronique.
03:13Donc, en plus, encore mieux que ce qu'on fait de manière générale dans le privé.
03:17Mais les faiblesses, elles n'ont pas été dans l'outil ou dans la technologie.
03:20Elles ont été dans l'instantiation de cette technologie.
03:23Et certains de ces verrous ont été volontairement désactivés.
03:26J'imagine qu'il y avait des bonnes raisons pour cela, sur certaines applications, dans certains contextes.
03:30Et c'est par là que les attaquants se sont engouffrés.
03:32Et pourquoi ça n'arrive que maintenant ?
03:34C'est aussi parce que les attaquants aidés de l'outillage peuvent scanner toute la surface d'attaque des organisations
03:40et trouver la petite faiblesse que le responsable cybersécurité n'aura pas pu voir,
03:46parce qu'il est doté de moyens qui sont limités.
03:48Il y a aussi un sujet de dimensionnement des moyens dans le secteur public.
03:51Et cette petite brèche, ce petit trou de souris aura été exploité subrepticement par l'attaquant
03:57pendant plusieurs jours avant d'être détecté.
03:58On se pose aussi la question de la fenêtre de détection qu'il faut absolument réduire, réduire, réduire
04:03pour passer de plusieurs jours, ce qui n'est pas acceptable, à quelques minutes.
04:06Et pour ça, on a des outils d'IA.
04:08Oui, tout à fait.
04:10Alors, à la fois, c'est un danger supplémentaire, parce que ça peut, on l'a vu avec l'annonce
04:15de Mythos du côté d'Entropique,
04:17scanner très, très rapidement des logiciels et en détecter les failles.
04:21Mais d'un autre côté, c'est un outil.
04:23Parce qu'aujourd'hui, vous faites de l'évangélisation auprès d'autres RSSI, de DSI.
04:28Est-ce que ça fait partie des choses que vous abordez, ces nouveaux outils dont il faut s'emparer dans
04:32la cyber ?
04:33Bien sûr, ça fait plusieurs mois, voire années, que le marché se pose la question d'insuffler de l'IA,
04:39ou du moins d'abord de l'automatisation dans les processus, plutôt qu'outils,
04:44dans les processus de détection d'incidents, de réparation, de remédiation,
04:48avec toujours cette crainte, et c'est normal, c'est des gens qui font de la sécurité,
04:51donc ils ont envie de maîtriser le processus, ils n'ont pas envie de le confier complètement à une technologie.
04:56Et je le comprends.
04:56Oui, et ça rassure d'ailleurs, ce que vous nous dites.
04:59Ça rassure, mais on n'a plus le temps de faire des validations manuelles à chaque fois,
05:03de faire des comités d'arbitrage, des changements, avant par exemple de mettre en place un correctif de sécurité,
05:08pour dire c'est bon, on est protégé, il va falloir, là très vite,
05:11à cause de ce que démontrent Mythos et les autres modèles qui suivent,
05:14il va falloir très vite mettre en place des postures beaucoup plus dynamiques,
05:18ce qu'on appelle, on va revenir aux fondamentaux de la cyber, le Zero Trust,
05:22ne pas faire confiance a priori à des dispositifs, mais vérifier en permanence que les conditions des échanges numériques
05:28sont remplies et apportent la confiance, vérifier en permanence les critères de confiance.
05:32C'est-à-dire qu'on a un peu abandonné ça quand vous dites on revient aux fondamentaux,
05:35c'est-à-dire qu'on a un peu lâché du lest finalement en matière de cybersécurité pour faciliter les
05:41usages ?
05:42On a, deux choses, on a beaucoup investi dans des outils pour faire de la conformité,
05:49et ça c'est un peu une marotte que j'ai depuis 10-15 ans,
05:52c'est cet équilibre entre conformité et gestion des risques qui est intrinsèque au métier de la cybersécurité,
06:00il ne faut pas qu'on déséquilibre trop, donc cocher les cases pour avoir accès à une assurance cyber,
06:06parfois c'est demandé, cocher les cases de la régulation c'est demandé,
06:09mais in fine celui qui endosse les risques c'est quand même le patron d'entreprise, c'est quand même
06:12le dirigeant,
06:13et c'est lui qui doit être informé par son RSSI de la réalité des risques sur son métier,
06:18mais encore faut-il que le RSSI arrive aussi à verbaliser, à transcrire, à traduire dans un langage métier
06:23qui soit compréhensible, quelle est la réalité du risque opérationnel.
06:28Et ces derniers temps, je pense qu'on s'est peut-être un peu trop reposé sur les outils en
06:31disant
06:32j'ai besoin, et je comprends, j'ai besoin de déployer ça pour être tranquille,
06:35mais une fois que l'attaquant est dans l'entreprise, comment on le détecte ?
06:40Quelles sont les procédures en place ? Quelles sont les procédures d'arbitrage ?
06:43Est-ce que je sacrifie un système d'information au risque de perturber la production,
06:47au risque de perturber le service à mes clients ?
06:49Mais peut-être que je vais gagner en confiance, parce que justement je vais éviter
06:53d'aggraver l'incident en minimisant l'impact.
06:56On a aussi vu en communication en crise des bons exemples et des mauvais exemples.
07:01Et tout ça, c'est intrinsèquement de l'humain, mais qui doit être aidé en termes de pilotage
07:06par la machine pour aller vite, apporter du contexte d'information à l'humain
07:10pour la prise de décision, c'est là qu'on a besoin d'IA avant tout.
07:13Merci d'avoir été avec nous Raphaël Marichet, directeur de la Sécurité France et Europe du Sud
07:18de Palo Alto Networks.
07:21Merci, nous on continue à s'intéresser à la confiance numérique.
07:23On a un talk justement sur la question de distinguer le vrai du faux avec les contenus générés.
Commentaires