- il y a 5 heures
6,7 % c’est la part moyenne du budget informatique des entreprises allouée à la cybersécurité. L’innovation est essentielle pour que les sociétés puissent mieux l’intégrer. L’IA et la réglementation sont les éléments essentiels qui permettront d’atteindre cet objectif.
Catégorie
🗞
NewsTranscription
00:04VivaTech, c'est le plus grand salon tech et startup d'Europe.
00:08Il se tient du 17 au 20 juin à la Porte de Versailles à Paris.
00:10A cette occasion, on parle cybersécurité.
00:12Je vous présente mes invités.
00:14Jérôme Bilois, bonsoir.
00:16Bonjour, bienvenue.
00:17Vous êtes partenaire cybersécurité et confiance numérique au cabinet de conseil Wavestone.
00:21Sonia Sissé, bonjour et bienvenue.
00:23Vous êtes avocate à la cour chez Linkletters.
00:26Alain Mouillet, bonsoir et bienvenue.
00:29Bonsoir, bonjour.
00:30Choisissez.
00:30Délégué général du Cézin, c'est le club des experts de la sécurité de l'information et du numérique.
00:35De toute façon, notre émission est visible à l'heure que vous préférez.
00:40Tiens, VivaTech, une ou deux questions.
00:41Vous y serez ? Oui, forcément.
00:43Oui, forcément.
00:44Il y a quand même énormément d'innovation là-bas.
00:45La cyber a besoin d'innovation, mais l'innovation a aussi besoin de cybersécurité.
00:50Donc, on y va pour rencontrer les startups, emmener nos clients, leur montrer les dernières innovations
00:54et puis passer la bonne parole sur les bonnes pratiques de sécurisation du numérique.
00:58Et vous, Sonia Sissé ?
00:59Oui, mais plus par curiosité.
01:01Par curiosité, pour compréhension de l'environnement technologique général, global.
01:07Également parce que ça va bien sûr influer également la manière dont on va conseiller nos clients sur les dossiers
01:12pour comprendre ce qui se passe en pratique sur le terrain.
01:15Qu'est-ce que ça dit de la puissance française ?
01:18Je mets des guillemets, peut-être que je ne devrais pas, dans ces métiers-là, le fait d'organiser VivaTech,
01:23après vous ?
01:24En fait, si on se focalise sur la cyber, on a fait un petit exercice au Cézain.
01:30On s'est dit, mais finalement, il y a beaucoup de catalogues autour de la cyber, des startups, des grandes
01:37entreprises, des petites, des moyennes, etc.
01:39Mais il n'y avait pas véritablement de catalogue global.
01:43On a fait cet exercice et en fait, on s'est rendu compte qu'il y avait 320 entreprises.
01:49Alors, il y a des startups, il y a des plus grandes entreprises qui font du...
01:55Enfin, on ne parle que de solutions cyber.
01:58Et du coup, on se dit, voilà, finalement, le panorama de la cyber en France n'est pas aussi, on
02:07va dire, pauvre qu'on pouvait l'imaginer.
02:09Il y a énormément de solutions, énormément d'innovations.
02:15Alors évidemment, 300 solutions, ça fait beaucoup pour un pays comme la France.
02:18Donc, il faudra aussi peut-être envisager de rassembler un peu tout ça et puis de compléter les solutions entre
02:26elles.
02:26Mais ça montre quand même qu'il y a un dynamisme qui ne se dément pas dans notre pays.
02:32Alors, vous publiez avec Webstone une étude sur le degré de maturité des entreprises sur les questions cyber.
02:40Peut-être un bilan, un constat principal de cette étude.
02:44Qu'est-ce que vous en retirez ?
02:44C'est une étude sur plus de 200 grandes entreprises, on regarde vraiment le haut du marché.
02:49Aujourd'hui, on voit que la maturité par rapport aux standards internationaux de cyber, les normes internationales, on est à
02:5455%.
02:55Qu'est-ce que ça veut dire ?
02:56Alors, ça veut dire que par rapport à ce qu'on devrait faire, l'ensemble de ce qui a été
02:58identifié dans les normes et les standards, on n'en fait que la moitié.
03:01Ce qui explique, finalement, la ribambelle d'incidents de sécurité qu'on voit très régulièrement.
03:07On observe une petite montée cette année de 1,3% par rapport à l'année dernière.
03:12C'est plutôt à 54% l'an dernier.
03:13Voilà, c'est une montée progressive.
03:16Alors qu'il y a quelques années, on avait connu des plus 4, plus 5% avec des vrais gros
03:20efforts.
03:21On se souvient tous des cyberattaques majeures qui avaient touché la France en 2017, 2018.
03:25Et là, on sent qu'on atteint un peu un plateau.
03:29Aussi dans les budgets, où on est autour de 6%, du budget informatique, dans les effectifs.
03:33On est à une personne cyber pour 979 employés.
03:36Mais tout ça est en train un peu d'arriver à un plateau.
03:39Et ça pose un problème parce que les attaquants, eux, ils ne sont pas eu du tout sur un plateau.
03:44Il n'y a qu'à voir l'actualité récente.
03:46Et vraiment, le message dans ce benchmark, c'est que là, il faut se réveiller.
03:49Il faut aller vers une deuxième phase d'investissement beaucoup plus forte pour qu'on puisse tenir, finalement, à l
03:55'évolution de la menace.
03:55Sonia Sissé, il y a toujours des angles morts que, effectivement, les attaquants cherchent.
04:01Les angles morts les plus critiques des organisations face aux cyberattaques, c'est quoi, selon vous, aujourd'hui ?
04:05Alors, peut-être en premier lieu, ce serait tout simplement le quotidien des entreprises.
04:09Tout le monde est très occupé.
04:10Et c'est vrai que la cybersécurité est un pan très important,
04:14mais qui, malheureusement, n'est pas toujours prioritaire, en tout cas dans certaines entreprises françaises.
04:19Et donc, les individus ne sont pas formés ou, quand bien même on a déployé un peu de documentation obligatoire,
04:26on oublie de sensibiliser à l'existence de cette documentation ou même de la tester,
04:32de voir si, en pratique, elle fonctionne en cas de cyberattaque.
04:35Il y a également, bien sûr, la chaîne, la chaîne d'approvisionnement, les sous-traitants, les co-contractants,
04:40qui sont souvent, malheureusement, je dirais, le maillon faible des grandes entreprises.
04:45Et si on a investi, pour sa part, dans un grand programme de cybersécurité,
04:51il est possible que son plus grand sous-traitant ne l'ait pas fait.
04:54Et puis, peut-être, pour finir, tout simplement, l'humain, encore une fois, sensibilisé, formé,
05:01qui, malheureusement, fait preuve par moment d'erreur, de négligence,
05:04et qui ouvre la porte aux cyberattaquants.
05:07Est-ce qu'il y a des vecteurs d'attaques qui sont prioritairement identifiés aujourd'hui, Alain Bouillet ?
05:13Alors, dans les études que nous faisons au CESA, on a classifié ces vecteurs.
05:19Le premier, ça reste le phishing.
05:21C'est quand même plus facile de demander gentiment à quelqu'un de nous donner son mot de passe
05:26plutôt que d'aller attaquer des murailles parfois difficilement franchissables.
05:30Ça, c'est le premier vecteur d'attaque.
05:33Le second, c'est que ça reste quand même l'exploitation de failles,
05:37c'est-à-dire que tous les systèmes sont faillibles.
05:41On l'a vu avec Anthropique et Claude Mythos.
05:46On va en parler. J'ai prévu un chapitre là-dessus.
05:49On a vu l'étendue des dégâts.
05:51Donc, cette lutte contre permanente vulnérabilité,
05:57corriger les vulnérabilités, etc.
05:59On est quand même dans un environnement un peu particulier.
06:01Le monde du logiciel est un monde pratiquement pas régulé.
06:05C'est-à-dire que vous pouvez acheter n'importe quelle boîte de petits pois à Carrefour.
06:10Aujourd'hui, vous avez plein de labels sur la boîte.
06:13Vous achetez une boîte de logiciel, vous pouvez chercher.
06:15Il n'y a pas marqué « Sécurité inside ».
06:16Donc, en fait, cette question de la vulnérabilité reste prégnante dans les vecteurs d'attaque.
06:24Et puis, vous l'avez dit à l'instant,
06:28ce qui vraiment augmente année après année,
06:32ce sont les fournisseurs, c'est-à-dire la chaîne de liaison.
06:35Pourquoi ? Parce que les entreprises, finalement,
06:38elles sous-traitent de plus en plus de choses.
06:39On ne sous-traitent pas que l'informatique,
06:41on sous-traite plein de choses dans l'entreprise.
06:43Et pour sous-traiter ces activités, ces process,
06:47il y a des données qui circulent.
06:49Et à un moment donné, le fournisseur est généralement,
06:52je ne dis pas que tous les fournisseurs sont mal équipés en matière de sécurité,
06:59mais en règle générale, la sécurité est plus faillible chez les fournisseurs que chez le client.
07:04Pourquoi ? Parce que c'est cher ?
07:06Et les fournisseurs n'ont pas forcément les moyens de se payer une cybersécurité ?
07:09Non, mais c'est une prise de conscience.
07:10Je pense que quand vous avez une opération marketing,
07:14au hasard, je n'ai rien contre les marqueteux,
07:16mais une opération marketing qui va être lancée,
07:19on prend le fichier client,
07:21on l'envoie au sous-traitant marketing pour faire l'opération.
07:27Et puis si le sous-traitant n'a pas le minimum de sécurité,
07:32c'est comme ça que les données s'envolent.
07:33Je pose la question du budget,
07:35parce que vous l'avez évoqué tout à l'heure,
07:37le budget cybersécurité, c'est en moyenne 6,7%,
07:41c'est dans votre étude, 6,7% du budget informatique.
07:45Double question, est-ce que ça progresse ?
07:48Vous avez dit légèrement tout à l'heure,
07:49et puis surtout, est-ce que c'est suffisant ?
07:51Clairement non ?
07:52Alors clairement non, parce qu'on voit bien les résultats quelque part.
07:55Le budget, il faut le regarder aussi en fonction du secteur d'activité.
07:58Évidemment, la banque où tout est numérique
07:59va devoir investir beaucoup plus que des industries
08:01où il y a peut-être beaucoup encore de physique.
08:03Mais clairement, il faut plutôt être dans la tranche 8-10,
08:06pour être rassuré aujourd'hui.
08:09Et on voit les entreprises qui subissent des cyberattaques
08:12et qui doivent rattraper finalement rapidement un retard,
08:15montent jusqu'à 15% de leur budget informatique dédié à la cybersécurité.
08:19Et il y a aussi beaucoup à faire aujourd'hui,
08:21parce que les entreprises s'équipent d'intelligence artificielle,
08:24et il va falloir aussi mettre du budget pour les sécuriser.
08:26Vous parliez des nouveaux vecteurs d'attaques,
08:28il y en a un cette semaine, moi, qui m'a frappé.
08:30C'est quand même, on le connaît tous, Meta, avec Instagram.
08:33En fait, ils ont mis un nouveau chatbot
08:35pour aider les personnes qui ont perdu leur mot de passe.
08:37Et il suffisait de demander gentiment à ce chatbot...
08:40Ça part d'un bon sentiment, c'est ça ?
08:41Ça part d'un très bon sentiment.
08:42Bon, ils ont aussi licencié une partie de l'équipe
08:44qui faisait la sécurité juste avant.
08:46Mais rendez-vous compte, il suffisait de demander gentiment à ce chatbot
08:49en disant, j'ai perdu mon mot de passe.
08:51Donc là, il lance le processus.
08:52Et j'ai plus accès non plus à mon adresse e-mail.
08:54Peux-tu renvoyer le mot de passe pour résister sur cette adresse e-mail-là ?
08:58Et donc, en fait, il y a des comptes de personnalité,
09:02de gens de l'armée américaine, de marques connues
09:05qui ont perdu l'accès à leur compte Instagram,
09:08qui ont perdu leur identité sur ce réseau
09:09à cause de ce mécanisme-là.
09:12Et on voit bien que l'IA qui arrive de partout,
09:14on la met vite, et je comprends qu'il faille aller vite
09:16pour être puissant sur le marché,
09:19mais il ne faut pas oublier de la sécuriser au passage.
09:21Effectivement, c'est un des éléments, j'imagine,
09:24Sonia Cissé, de fragilité des entreprises,
09:28des salariés qui utilisent l'IA
09:31sans forcément, un, avoir été formés,
09:34avoir été alertés des dangers,
09:36notamment, par exemple, sur les données
09:37qui peuvent être confidentielles et qui sont partagées.
09:39Mais même en matière de sécurité,
09:41vous parliez de l'erreur humaine,
09:42c'est un nouveau levier d'erreur humaine,
09:44d'une certaine façon ?
09:45Absolument.
09:46D'ailleurs, pardonnez-moi l'anglicisme,
09:48mais on parle de shadow AI,
09:49c'est-à-dire que c'est aujourd'hui des salariés
09:52qui vont utiliser de l'intelligence artificielle
09:54parce que ça les rend plus efficaces,
09:56parce que ça va plus vite,
09:57mais qui n'est pas une intelligence artificielle
09:59autorisée, encadrée, par leur entreprise.
10:01Et par conséquent, on assiste alors à de nouveaux usages,
10:05effectivement, des problèmes de cybersécurité,
10:07des manquements même réglementaires,
10:09puisqu'il y a des violations de données
10:12au sens du règlement général sur la protection des données.
10:16Et bien entendu, plus largement,
10:18ça met toute l'entreprise à risque, effectivement.
10:22En péril.
10:22Alors, puisqu'on parle d'IA, parlons de Claude,
10:25Claude Mythos.
10:26Donc, c'est vraiment l'actualité de la semaine.
10:28On ne pouvait pas mieux tomber.
10:30C'est peut-être parce qu'il y a Vivatec qui arrive.
10:32Comment vous l'interprétez, Jérôme Millois ?
10:35Parce que moi, je lis un peu tout et son contraire
10:38dans les articles.
10:39Je lis un article des Echos qui dit, grosso modo,
10:42que les entreprises, les grandes entreprises
10:44ne sont absolument pas prêtes et que c'est quoi ?
10:46C'est un logiciel, c'est une IA qui permet
10:49de détecter les failles informatiques,
10:51donc qui fait votre job, quoi.
10:53C'est ça ?
10:53Alors, une partie de notre job.
10:54Le job de déméder de la sécurité et de la cybersécurité.
10:57Alors, une toute petite partie quand même,
10:58est une partie critique.
10:59Pourquoi ?
10:59Parce qu'un logiciel, c'est du code source.
11:01C'est-à-dire, c'est un ensemble d'instructions
11:03qui suivent, etc.
11:04Et d'habitude, on le regarde
11:04et on le regarde avec nos yeux humains
11:06et on essayait de trouver des failles dedans.
11:08Et là, Anthropic a développé
11:10une intelligence artificielle
11:11qui, elle, est particulièrement efficace
11:12pour lire ce code source.
11:14Donc, qui va détecter toutes les failles.
11:15Et trouver plein de failles.
11:17Mais oui, mais donc, si moi, je suis cyberattaquant,
11:19j'utilise Mythos, Claude Mythos
11:21et je vais détecter les failles
11:22dans n'importe quelle entreprise
11:24ou organisation publique, non ?
11:25Quelque part, on pourrait dire oui,
11:26mais il faut avoir accès aux modèles.
11:27Il faut quand même savoir s'en servir
11:28et puis il faut avoir accès aux codes sources
11:29parce qu'il y a beaucoup de codes sources
11:30qui sont propriétés des entreprises.
11:32Et surtout qu'il n'y a pas que Mythos maintenant.
11:33Il y a d'autres modèles.
11:34Open Air, il y a Couru derrière
11:36avec GPT-55 Cyber
11:38qui a des très bons niveaux de résultats
11:39et des modèles open source.
11:40Mais ça fait clairement peser un nouveau risque.
11:43C'est une accélération, finalement,
11:45par rapport à ce qu'on voyait,
11:46d'arrivée de failles
11:47que Alain évoquait juste avant.
11:50Cette fois-ci, non pas une par mois,
11:51deux par mois,
11:52comme on pouvait avoir l'habitude,
11:53mais des dizaines,
11:56des failles que des attaquants
11:57sont capables d'utiliser très rapidement.
12:00Parce qu'avant, on avait une faille.
12:01C'était un peu comme on est devant une porte,
12:03il y a une serrure.
12:03Et on avait une notice qui disait
12:05cette porte, vous pouvez l'ouvrir peut-être
12:06en faisant ci ou en faisant ça.
12:08Là, ça, c'est fini.
12:09Maintenant, l'IA donne la clé.
12:11Donc, il y a la faille et la clé avec
12:12pour ouvrir la porte.
12:13Et donc, c'est ça qui fait peur
12:14aux entreprises aujourd'hui.
12:15C'est cette capacité, finalement,
12:17beaucoup plus rapide qu'avant
12:18à utiliser les failles.
12:21Et donc, aujourd'hui,
12:21il y a beaucoup d'entreprises
12:22qui sont en mode crise pour gérer ça.
12:24Alain Mouillet, on peut aussi retourner l'argument.
12:26C'est-à-dire dire que ça va permettre
12:27aux entreprises de détecter les failles
12:29et de se prémunir, c'est ça ?
12:31Ce que je disais tout à l'heure,
12:33par rapport à ces avalanches de failles
12:34qui occupent, évidemment,
12:36les responsables de sécurité
12:37que je représente,
12:39si on a des outils, en effet,
12:42très efficaces,
12:43parce qu'on avait déjà des outils
12:44qui permettaient de détecter les failles,
12:46mais ils étaient très perfectibles,
12:49là, maintenant, on va avoir quelque chose
12:50qui va pratiquement être du systématique.
12:52Donc, on peut espérer,
12:54en regardant la bouteille à moitié pleine,
12:56que cet outil serve à améliorer
13:00cette qualité logicielle
13:01qui, quand même, fait défaut
13:03et qui fait les bonnes œuvres,
13:06je dirais, de la cybercriminalité.
13:07Parce que toute faille, aujourd'hui,
13:11dans un système, quel qu'il soit,
13:13que ce soit un système très utilisé
13:16ou le système de votre docteur
13:21qui n'a pas eu la bonne idée
13:22de prendre Doctolib,
13:24eh bien, vous pouvez vous retrouver
13:26avec des données qui sont dans la nature.
13:28Le vol de données est quand même,
13:30aujourd'hui, l'impact numéro un
13:34pour les entreprises.
13:35On le voit malheureusement tous les jours.
13:38Et puis, ce n'est pas des dizaines
13:40de milliers de données,
13:41c'est toujours des dizaines
13:42de millions de données.
13:43Enfin, on a parlé de 40 millions
13:45pour les mutuelles, de France Travail.
13:47Enfin, je ne vais pas refaire toute la litanie.
13:50Mais on voit bien qu'aujourd'hui,
13:53cette question de vol de données
13:55est vraiment un fléau pour les entreprises.
14:02Et encore une fois,
14:04cette question de la qualité logicielle,
14:06alors on pourrait, en général,
14:08quand on a un problème, on légifère.
14:12dans ce pays, c'est tout de suite.
14:13C'est très bien de faire ça.
14:16Mais on a inventé un Cyber Resilience Act,
14:20justement, le fameux CRA,
14:21qui va légiférer un petit peu
14:23autour de cette qualité logicielle.
14:25Mais je crois que du coup,
14:27du anthropique, Claude, Mythos,
14:29ou tout ce que vous voulez,
14:30va peut-être aussi finir par améliorer
14:33la situation.
14:33Alors, Sonia, si vous voyez le verre
14:35à moitié vide ou à moitié plein
14:37sur Claude, Mythos et les autres ?
14:39En cybersécurité, c'est toujours un peu ambitieux
14:41de voir le verre à moitié plein,
14:44justement.
14:46Non, il faut aussi vivre avec son temps.
14:48C'est vrai que ces technologies sont là,
14:50elles arrivent, il y en aura de plus en plus.
14:52Et vous avez raison,
14:53le sujet, c'est que la réaction européenne
14:56est de réguler, de légiférer,
14:59d'amener beaucoup d'actes.
15:01Donc, vous avez parlé du CRA,
15:03du CRA, effectivement,
15:04qui arrivera en 2027.
15:05Mais il y en a beaucoup d'autres aujourd'hui.
15:07Vous avez le RGPD qu'on ne présente plus,
15:09le Réglement de protection des données.
15:11Vous avez également Nice 2,
15:13donc c'est la directive Nice
15:15qui vient, qui a eu une petite beauté
15:17et qui est maintenant Nice 2
15:19pour toucher plus d'entreprises.
15:20Justement, c'était la question
15:21que j'allais vous poser,
15:21pardon de nous interrompre,
15:22c'est la réglementation
15:24en mode français ou européen.
15:26Très bien, mais est-ce que
15:27dans les domaines qui sont les vôtres,
15:28elle n'a pas toujours
15:29un métro de retard, la réglementation ?
15:31C'est-à-dire qu'elle est conçue
15:32pour des menaces
15:33qui sont peut-être datées
15:35quand la loi est votée ?
15:37Alors, de moins en moins.
15:38Je pense que ça a été une réalité,
15:40effectivement.
15:40Et d'ailleurs, c'est typiquement
15:41Nice 2 est venu capturer
15:44beaucoup plus d'entreprises
15:45que Nice 1,
15:46tout simplement pour justement
15:48prévenir tous ces changements technologiques.
15:50Et si vous regardez aujourd'hui DORA,
15:53qui est le Digital Operational Resilience Act,
15:55qui vise plutôt le secteur financier,
15:57la cybersécurité dans le secteur financier,
15:59mais également leurs prestataires informatiques,
16:01ces réglementations,
16:03meet the boost to the boost,
16:04elles viennent finalement créer
16:06un nouveau cercle
16:08beaucoup plus vertueux
16:09de cybersécurité.
16:10Et surtout,
16:11elles sont rédigées
16:12de façon extrêmement large
16:14pour pouvoir justement
16:15prévenir le futur
16:16et l'évolution des technologies.
16:18Je lis en préparant
16:20l'émission tout à l'heure,
16:22un article de nos confrères
16:23des Echos sur Anthropique
16:25qui lance une sorte d'alerte,
16:28en tout cas qui dit
16:28qu'il faut ralentir
16:29ou suspendre le développement
16:31de l'IA de pointe
16:33le temps que l'humanité s'adapte.
16:35Ça ne concerne pas seulement
16:36vos domaines de cybersécurité,
16:38mais enfin,
16:38ce n'est quand même pas totalement anodin.
16:39Comment vous l'analysez ?
16:41Est-ce que c'est une entreprise
16:42qui se dit
16:42« Oula, j'ai un peu d'avance
16:46donc j'essaye de geler
16:48le marché pour garder mon avance »
16:49ou alors
16:50est-ce qu'il y a un vrai danger
16:52et que heureusement
16:52ceux qui sont au cœur du réacteur
16:54nous alertent ?
16:54Comment vous l'analysez ?
16:56Il y a eu plusieurs appels
16:57de ce qui est là.
16:58Il faut se souvenir
16:58qu'Elon Musk a fait le même.
16:59C'est pour ça.
17:02Il y a plein de lectures possibles.
17:08Ce qu'il y a de sûr
17:08c'est que l'IA
17:09elle bouleverse quand même
17:09clairement tous les processus
17:11de travail
17:11dans toute l'économie
17:13et dans la cyber entre autres.
17:15Mais même sur l'humanité.
17:18Il y a une encyclique du pape
17:19sur le devenir de l'humanité.
17:21C'est quand même
17:22des questions profondes
17:23qu'on est en train de se poser.
17:23C'est des questions extrêmement profondes
17:24et qu'il faut se poser.
17:25Je pense qu'il faut les adresser.
17:27Aujourd'hui,
17:27il y a quand même par contre
17:28beaucoup d'amplification
17:29autour de l'IA.
17:30Nous, on en fait au quotidien
17:32dans nos activités
17:33chez nos clients, etc.
17:34Ça accélère.
17:34Mais pour l'instant,
17:35on n'est encore pas
17:35sur quelque chose
17:36qui fait immédiatement
17:37disparaître toutes les entreprises.
17:39On voit que dans les faits,
17:40même un acteur comme Microsoft
17:41a commencé à dire
17:42« Ouh là là, l'IA me coûte plus cher
17:44que certaines activités humaines.
17:45Donc, je vais peut-être
17:46ralentir un petit peu, etc. »
17:48Donc, derrière cet emballement,
17:50je pense qu'il faut aussi
17:50avoir une respiration
17:51qu'on n'a pas depuis
17:52à peu près un an et demi.
17:53Chaque semaine...
17:54C'est la course.
17:54C'est la course, voilà.
17:56Et voir quels sont
17:57les effets réels.
17:59Et finalement, à mon sens,
18:00on va arriver à une forme
18:01d'équilibrage
18:02où l'IA va clairement aider,
18:03va clairement apporter,
18:04mais le travail humain
18:05ne va pas disparaître.
18:06Mais vous le disiez tout à l'heure,
18:07on légifère toujours
18:08un petit peu en retard.
18:10Je pense que pour l'IA,
18:10ça va être pareil.
18:11Il va falloir en effet
18:12réguler un petit peu tout ça
18:13parce que là,
18:14on est quand même parti...
18:17Parfois, c'est rendez-vous
18:18en terrain inconnus,
18:19tous ces sujets-là.
18:21Et il y a déjà, effectivement,
18:22des réglementations
18:23qui sont en préparation
18:27à Bruxelles.
18:28On peut compter sur eux.
18:29Mais en effet,
18:30je pense que ce monde
18:31qui arrive là,
18:34il va falloir le réguler
18:35parce qu'il y a un moment donné,
18:38comme je disais tout à l'heure,
18:39quand il y a quelque chose
18:40qui ne va pas,
18:40on fait une loi
18:41et on essaye de remettre
18:42les choses à leur place.
18:44Donc on n'échappera pas,
18:45ce monde de l'IA
18:46n'échappera pas
18:47à la réglementation.
18:48Peut-être,
18:49ce que je retiens
18:49de ce que vous nous disiez,
18:50c'est une forme
18:51d'autorégulation
18:53qui viendra soit
18:53par le coût,
18:54soit par les matières
18:55premières nécessaires
18:56au développement
18:57de l'IA,
18:58soit par,
18:58voilà,
18:59effectivement,
18:59des voies morales
19:01qui s'élèvent
19:01pour dire,
19:02attention,
19:02il faut mettre sur pause.
19:04Il y aura un peu de,
19:06évidemment,
19:06l'éthique va rester très importante
19:08dans l'intelligence artificielle.
19:10Je pense qu'il faut aussi
19:13faire confiance au texte,
19:14au règlement tel qu'il s'applique.
19:16Il y a effectivement
19:16le règlement sur l'intelligence
19:18artificielle
19:18qui vient et qui est un règlement
19:21qui est tout neuf,
19:22en 2024 pour ses débuts,
19:24qui a rentré en application
19:25en 2025.
19:26Et déjà,
19:28il a fait l'objet
19:28d'une révision
19:30par justement
19:31nos régulateurs à Bruxelles
19:32pour pouvoir être
19:33beaucoup plus applicable
19:34et surtout,
19:35garder l'accent
19:36sur l'innovation en Europe
19:37et ne pas freiner l'Europe
19:39par rapport aux autres
19:40aspects concurrents
19:41asiatiques.
19:41Réussir à ne pas freiner
19:43l'innovation
19:43tout en contrôlant
19:46quand même
19:46ou encadrant
19:47l'IA,
19:48c'est une sorte
19:48de spécificité européenne.
19:49Oui, absolument.
19:50On peut dire ça.
19:51Il y a un équilibre difficile.
19:53Pardon,
19:53il y a ce qui s'est passé
19:54aux Etats-Unis
19:55sur les 15 derniers jours.
19:56Il faut se rappeler
19:56que Donald Trump
19:58était anti-régulation.
19:59Mythos arrive.
20:01Tout le gouvernement
20:01américain voit le risque.
20:03Donald Trump dit
20:04on va faire une réglementation,
20:05on va demander 90 jours
20:06d'observation
20:07sur tous les nouveaux
20:07modèles d'IA
20:08avant d'autoriser
20:09à ce qu'ils sortent.
20:10Levé de bouclier
20:11à gauche, à droite
20:12et là, on passe à 30 jours.
20:14Si jamais vous avez envie
20:15de nous envoyer vos modèles,
20:15Oui, c'est ça, sur le volontariat
20:17si vous avez bien compris.
20:18Et donc, on voit bien
20:19qu'il y a une course
20:19qui de toute façon
20:20est internationale.
20:21Il ne faut pas oublier
20:21la Chine derrière
20:22qui aujourd'hui
20:23est quand même extrêmement
20:24en avance
20:24sur ces sujets numériques
20:26qui va évidemment débarquer
20:27en Europe aussi
20:28à un moment ou à un autre.
20:29Et donc, il ne faut pas
20:30qu'on se bloque nous-mêmes.
20:31En même temps,
20:32il faut garder nos valeurs.
20:33C'est un équilibre.
20:34Je ne voudrais pas
20:34être régulateur aujourd'hui.
20:35Oui, effectivement.
20:36Parce qu'il y a aussi
20:38autour de ces questions
20:39un risque de dépendance technologique.
20:41On parlait du tissu
20:43d'entreprises
20:44et de solutions françaises.
20:47C'est vrai qu'on ne peut pas
20:49se retrouver dépendant
20:50de solutions technologiques
20:52totalement fabriquées ailleurs.
20:53Là, pour le coup,
20:53je vais regarder la bouteille
20:54à moitié vide
20:55parce que ça fait 40 ans
20:56qu'on la creuse
20:56notre tombe de dépendance numérique
21:00en achetant massivement
21:02pratiquement tout le monde
21:03les mêmes solutions,
21:04des gars-femmes, etc.
21:06On avait conscience
21:07de cette dépendance
21:08mais on la regardait
21:10plutôt d'un point de vue juridique.
21:12C'est-à-dire qu'en gros,
21:12on se disait
21:14les Américains,
21:15ils ont inventé
21:15un truc formidable
21:16qui sont les lois
21:18extraterritoriales.
21:19En gros,
21:19des lois qui s'appliquent
21:20à l'extérieur du territoire.
21:21Du coup,
21:22quel que soit l'endroit
21:23où vos données se trouvent,
21:24si elles se trouvent,
21:24c'est un opérateur américain,
21:25les Américains ont un droit
21:27d'espionner finalement
21:28avec ces lois,
21:30ont un droit de regard
21:31sur vos données.
21:32Bon, ça,
21:32c'était ce qui nous a préoccupés
21:33pendant, je dirais,
21:34les 15 ou 20 dernières années
21:35avec les migrations massives
21:37vers le cloud
21:38qui ont en effet
21:40fait prendre conscience
21:41qu'on avait peut-être
21:42des données sensibles, etc.
21:43Mais là,
21:43on s'aperçoit d'une chose,
21:44c'est que si M. Trump
21:47ou son successeur
21:48décide un jour
21:49d'appuyer sur le bouton
21:51d'arrêt de fourniture
21:53de services numériques
21:55aux sous-développés européens
21:57parce qu'il y aura quelque chose
21:59qui lui aura déplu, etc.,
22:01eh bien,
22:02on voit qu'on est complètement désarmé
22:04par rapport à ça.
22:04Complètement désarmé.
22:05C'est-à-dire qu'on a aujourd'hui
22:07des stratégies d'entreprise.
22:09Alors, il y avait des stratégies,
22:10par exemple,
22:11ce qu'on appelait multi-cloud.
22:12C'est-à-dire qu'on prenait
22:13un cloud chez un opérateur,
22:14un cloud chez un autre,
22:16sauf qu'en général,
22:17on prenait les deux
22:17chez les Américains.
22:18Donc maintenant,
22:19effectivement,
22:21ces questions de souveraineté
22:22depuis l'élection de Trump,
22:24il faut dire que ça a quand même
22:25été un bon aiguillon.
22:28C'est probablement
22:29notre meilleur ambassadeur
22:30de la souveraineté en Europe.
22:32Je pense qu'effectivement,
22:34les choses sont en train de changer.
22:35On voit bien des mouvements
22:36comme le Danemark,
22:37par exemple.
22:38Alors eux,
22:38avec le Groenland,
22:39ils sont quand même
22:39aux premières loges.
22:40Mais le Danemark,
22:43Copenhague,
22:43qui décide de se séparer
22:45de Microsoft,
22:45on le voit dans quelques
22:47grandes villes françaises aussi.
22:49Donc, il y a une prise de conscience,
22:50mais qui n'est pas encore,
22:51évidemment,
22:52à la mesure du problème.
22:54Et en effet,
22:55l'IA risque d'aggraver la chose.
22:57Alors, je dirais,
22:58on a deux atouts
23:00en France et en Europe,
23:01en France surtout.
23:02Le premier,
23:03c'est qu'on a de l'énergie propre
23:04et que pour faire tourner de l'IA,
23:06il faut beaucoup d'énergie.
23:08Et nous,
23:09en tout cas,
23:10on n'émettra pas
23:10des gaz à effet de serre
23:11en faisant tourner de l'IA
23:12dans nos data centers.
23:14Et puis,
23:15le deuxième,
23:15c'est quand même Mistral.
23:16Il faut quand même aussi,
23:18de temps en temps,
23:20parler des sujets,
23:21des réussites.
23:22Même si Arthur Mench,
23:23quand il a été entendu
23:24en commission à l'Assemblée,
23:26rappelait qu'il fallait
23:27que la commande publique suive.
23:28si on veut créer
23:29un champion français,
23:30il faut quand même
23:30que la commande publique suive.
23:33Il y a cette spécificité européenne
23:35dont vous nous parliez finalement
23:36qui est cette capacité
23:39à réglementer.
23:39Alors,
23:40c'est vrai pour l'IA,
23:40c'est vrai pour d'autres domaines.
23:42Est-ce que ça peut être
23:43un frein au développement ?
23:45J'imagine que c'est un argument
23:46qu'on vous oppose souvent
23:48au développement
23:49justement d'A Mistral
23:50ou des entreprises françaises
23:51ou européennes
23:52dans ce secteur.
23:53Alors,
23:53évidemment,
23:54vous avez tout à fait raison,
23:55c'est la critique
23:58la plus entendue
23:59sur la réglementation européenne.
24:02Encore une fois,
24:03il y a un véritable effort
24:04d'encadrer les choses
24:05mais de privilégier l'innovation
24:07y compris compte tenu
24:09des différentes pépites européennes.
24:11Vous avez raison,
24:11Mistral en particulier
24:12pour la France.
24:14Et aujourd'hui,
24:15c'est toute l'initiative
24:17omnibus
24:18de la Commission européenne
24:19qui a été
24:20de simplifier les textes
24:21et surtout
24:22de mettre l'accent,
24:23en tout cas je dirais
24:24de façon assez intéressante,
24:25de réviser sa copie
24:26et d'écouter
24:27ce qui remontait
24:28du marché
24:29de manière à permettre
24:31aux entreprises
24:31de continuer
24:32à avancer,
24:33à innover.
24:34Et typiquement,
24:35un des plus grands exemples,
24:36c'est la question
24:37de l'entraînement
24:38de l'intelligence artificielle
24:39sur des données
24:40à caractère personnel
24:41où vous aviez eu
24:43énormément de restrictions
24:45dans le règlement
24:46sur l'intelligence artificielle
24:47et aujourd'hui,
24:48dans la deuxième mouture
24:49du texte,
24:50il y a une possibilité
24:52pour des entreprises européennes
24:53d'entraîner
24:54leur système d'IA.
24:54Donc je pense qu'évidemment
24:57tout n'est pas encore parfait
24:58mais on y vient
24:59et surtout le régulateur
25:01a compris le problème.
25:02D'accord,
25:02a tenu compte
25:03de ces enjeux
25:04de compétitivité
25:05et de compétition mondiale.
25:07Un dernier chiffre
25:09sur le marché
25:11de la cybersécurité
25:12en France,
25:137 milliards d'euros,
25:14ça devrait être atteint
25:15en 2029,
25:16c'est SoSafe,
25:17le rapport de Cybermenace 2025
25:19qui nous dit ça,
25:19croissance annuelle constante
25:20de 6,29
25:21entre 25 et 29.
25:23Je ne sais pas
25:24si vous avez
25:25ces chiffres en tête,
25:26c'est toujours difficile
25:26de se projeter,
25:28d'anticiper
25:29ce que sera un marché
25:31mais de toute façon
25:31ça va être un marché
25:32en croissance régulière,
25:33ça c'est sûr.
25:34Alors oui,
25:35mais ce qu'on observe
25:36c'est que sur les très grandes entreprises
25:37on a quand même
25:38un peu un plateau
25:38comme je l'évoquais.
25:39C'est ce que vous disiez tout à l'heure.
25:40Par contre,
25:41c'est vrai qu'il y a
25:41un autre segment de marché
25:42c'est-à-dire les ETI,
25:43les PME, PMI
25:44où aujourd'hui
25:45on est dans une situation
25:46qui est quand même
25:46assez grave
25:47d'un point de vue
25:47résistance cyber.
25:48On voit que c'est
25:49très souvent
25:50elles qui sont
25:51victimes d'attaques.
25:52Nice 2 arrive,
25:5315 000 entreprises
25:54de taille intermédiaire
25:56vont justement
25:56être concernées.
25:57Donc elles vont devoir
25:58se mettre au niveau.
25:59Donc clairement,
26:00une croissance à 6%
26:02ne me semble pas délirante
26:03par rapport au chemin
26:04qu'il y a à parcourir
26:05sur ce segment de marché
26:06et puis sur le segment
26:07des grandes entreprises
26:08en fait,
26:09là c'est le moment
26:09de réinvestir
26:10à cause de l'IA
26:11et avec l'IA.
26:12Donc non,
26:13je pense que c'est un marché
26:14qui va aller en croissance
26:15mais qui va énormément
26:16se transformer.
26:17Oui, effectivement.
26:18Votre avis
26:18sur la croissance
26:19du marché
26:20pour conclure ?
26:20En fait,
26:20ce qu'on voit,
26:21on parle de solutions
26:23cyber et d'IA,
26:25bon on a parlé
26:26de l'IA pour les attaquants,
26:28l'IA pour la cyber
26:29c'est quand même
26:30quelque chose
26:30de très important
26:31aujourd'hui.
26:32On ne peut pas
26:32aller sur un salon,
26:33j'en viens,
26:34on ne peut pas aller
26:35sur un salon
26:35et on le verra sûrement
26:36à Vivatech
26:37sans que les solutions
26:39cyber soient
26:40avec du IA inside.
26:43Tout est boosté
26:44à l'IA aujourd'hui
26:45et c'est tant mieux
26:46parce que les attaquants
26:47n'ont pas attendu
26:49pour booster
26:50leur système d'attaque
26:52avec de l'IA.
26:53Donc je crois
26:54qu'effectivement
26:56on ne pourra
26:57de toute façon
26:58que voir grossir
26:59la cyber.
27:00Pourquoi ?
27:00parce que le champ
27:03d'attaque augmente
27:05tout le temps.
27:06Vous avez
27:07une numérisation
27:08galopante
27:09de toutes les entreprises,
27:11ça descend
27:11dans les plus basses couches
27:13des process de l'entreprise,
27:14donc à un moment donné
27:16vous avez un champ
27:17d'action
27:18pour l'attaquant
27:18qui est démultiplié.
27:20donc vous serez obligé
27:21de protéger
27:22plus de choses.
27:22Merci beaucoup
27:23à tous les trois
27:25d'avoir participé
27:25à ce Smart Trends.
27:27Je vous dis à bientôt
27:28sur Be Smart for Change.
27:29Merci à vous
27:30de votre fidélité
27:31à la chaîne
27:32des audacieuses
27:33et des audacieux.
27:34à très vite.
27:34Salut !
Commentaires