- il y a 10 heures
Ce mardi 9 juin, Gerôme Billois, associé en Cybersécurité et Confiance numérique chez Wavestone ; Pascal Le Digol, directeur France de WatchGuard Technologies ; Michel Juvin, ecosystem advisor chez Alliancy, et Benoît Grunemwald, expert en cybersécurité chez ESET France, se sont penchés sur l'existence d'une urgence stratégique autour de la cyber, notamment avec l'arrivée de l'IA, dans l'émission Tech&Co Business présentée par Frédéric Simottel. Tech&Co Business est à voir ou écouter le mardi sur BFM Business.
Catégorie
📺
TVTranscription
00:06BFM Business présente Tech & Co Business, le magazine de l'accélération digitale, Frédéric Simotel.
00:13Et on parle cybersécurité avec le décryptage de l'actualité cyber avec nos invités.
00:19Est-ce qu'il y a une urgence stratégique autour de la cyber ? Oui encore et deux fois plus
00:24oui avec l'IA qui arrive.
00:25On va en parler avec Benoît Grunemval, expert en sécurité chez IZ France. Bonjour.
00:29Benoît. Pascal Ledigold, directeur général France de WatchGuard. Bonjour.
00:33Bonjour. Pascal. Michel Juvin, écosystème advisor chez ADNC. Bonjour.
00:36Et Jérôme Bilois, expert en cybersécurité, en confiance numérique chez Wavestone. Bonjour.
00:42Bonjour. Jérôme. Alors c'est toi qui va beaucoup parler parce que pour tout vous dire, on était un petit
00:46peu fainéants.
00:47Enfin moi en l'occurrence, je me suis dit tiens il y a une belle étude de Wavestone qui est
00:50sortie.
00:50Et finalement, comme chacun dans le fonctionnement, chacun propose des sujets.
00:55Et on va recouper un peu tous les sujets que chacun a proposés.
00:58Donc Jérôme, études, c'est un baromètre annuel, c'est un panorama annuel de la cyber France.
01:06Même plus largement.
01:07Enfin je laisse le dire, de groupe européen.
01:10Et qui nous dit plusieurs choses sur l'état de maturité, sur les budgets, sur les compétences.
01:14On va parler de tout ça.
01:15La première chose, c'est que la maturité générale qui s'installe à 55%, c'est plus 1,3%
01:23pour les entreprises.
01:24Les budgets, c'est 6,7% des budgets SI, c'est ça, et qui atteint un plateau par rapport
01:32à l'année dernière.
01:32Les années d'avant, on a augmenté de 3-4% de hausse dans la maturité.
01:36Ça stagne depuis deux ans.
01:38C'est bizarre parce qu'on a l'impression qu'on est tous, là encore, on a eu l'actualité
01:41autour de Mythos.
01:42Quand on se dit, ça y est, tout le monde s'est engagé là-dedans, qu'est-ce qui se
01:46passe ?
01:46Alors déjà, pour comprendre, il faut remettre le contexte.
01:48C'est effectivement une étude qui est faite auprès de 200 grandes entreprises françaises et européennes,
01:53des grands groupes internationaux.
01:55On va les voir sur le terrain, on fait des entretiens avec eux,
01:58parce que c'est des prestations que Wavestone fait d'évaluation de ses clients,
02:01et on consolide tout ça.
02:02Donc on n'est pas sur un sondage administratif à distance.
02:05On a été sur le terrain, on a mesuré, on a récupéré des preuves,
02:07on a échangé avec les experts de chacun des sujets chez nos clients,
02:11et ça nous permet d'avoir effectivement cette évaluation de la maturité générale
02:15par rapport aux référentiels internationaux,
02:18on le fait par rapport au NIST ou à l'ISO,
02:20et qui nous dit qu'effectivement, là, on voit une stagnation depuis deux ans.
02:24On avait plus un an l'année dernière, plus 1,3 cette année.
02:27Alors ce qu'il faut quand même comprendre, c'est que c'est avant la vague Mythos,
02:30qu'il y a quelques mois, là on est vraiment...
02:32Tout le monde, même s'il y a beaucoup de communication autour d'Enthropic,
02:36bon, il y a quand même...
02:37L'outil est là, et pour ceux qui l'ont testé,
02:38disent qu'effectivement, ça va chercher des choses en profondeur.
02:41Donc il faudra voir, peut-être l'ISO de l'année prochaine,
02:43en tout cas dans les mois qui viennent, les changements budgétaires,
02:45parce que là, les grandes entreprises rentrent dans les cycles budgétaires
02:48pour l'année prochaine,
02:49est-ce qu'il va y avoir un vrai effet de surinvestissement ?
02:52Je commence à le voir chez certains clients,
02:54chez d'autres, c'est plutôt wait and see,
02:55on va voir s'il y a vraiment quelque chose qui se passe,
02:58mais sur 10-15% des clients,
03:00on a vraiment une mobilisation très forte,
03:02qui est en train d'arriver par rapport à Mythos.
03:05C'est ce que vous voyez tous les deux,
03:07WatchGuard, Isette, par rapport à ce que dit Jérôme,
03:10c'est-à-dire que ça stagne un peu,
03:11on sent qu'on a du mal à franchir une étape,
03:13et peut-être que là, ça pourrait être le moyen de franchir, je ne sais pas, Pascal ?
03:17Alors, nous, on est PME-ETI,
03:19donc on n'a pas le scope complet,
03:21on avait fait un sondage, alors juste un sondage,
03:23on ne peut pas prendre ce temps-là avec nos clients,
03:26hélas, on adorerait,
03:28et ça montre un peu la même chose sur ce monde à deux vitesses,
03:31et sur le fait que, en tout cas dans la PME,
03:34ce qui fait la maturité, c'est le fait de s'être fait tapé,
03:37d'avoir eu l'enjeu de l'impact.
03:40Et effectivement, on voit que tous les autres
03:44ne gagnent pas en maturité,
03:45en fait, cette maturité vient de ceux qui s'est fait taper.
03:47Donc nous, c'est ce qu'on voit, en fait.
03:49Benoît ?
03:49Oui, et nous, on voit la même chose.
03:50Alors, on va sortir le 25 juin une étude
03:53similaire à celle de WaveStone,
03:55où on est sur un questionnaire.
03:56Plutôt sur le SMB,
03:58on a interviewé 4400 entreprises en Europe
04:01et 500 en France,
04:031000 postes maximum,
04:04donc vraiment un panel assez large.
04:06Et ce que l'on voit,
04:08c'est que 45% disent s'être fait attaquer,
04:10et que 75% se disent tout de même confiants.
04:14Et quand on rentre dans le détail de l'étude,
04:16on voit qu'il y a une lecture paradoxale
04:19entre l'état de la menace,
04:21l'état de préparation de ces entreprises,
04:22de ces SMB,
04:23petites et moyennes entreprises,
04:24et la réalité du terrain.
04:26Et quand tu dis des entreprises
04:27qui se sont fait attaquer,
04:28mais qui ont subi des conséquences,
04:29qui ont juste paré des attaques,
04:30parce que je pense que la notion,
04:32elle est importante aussi.
04:33C'est une bonne question.
04:34Dans l'étude que l'on a menée,
04:36ils disent s'être fait attaquer,
04:37ce qui veut dire qu'il y a des conséquences opérationnelles.
04:39D'accord.
04:39Michel ?
04:41Oui, c'est un point qui est intéressant.
04:43C'est vrai que les chiffres,
04:44on n'aurait pas de quoi se plaindre,
04:46parce que 6,7% du budget de la DSI,
04:49il y a quelques années,
04:50on était à 3, 4%.
04:52Donc, il y a une vraie progression.
04:54Mais elle est aussi en rapport
04:55avec le nombre d'attaques.
04:56Il faut citer un chiffre aussi,
04:58c'est celui du ComSiberME,
04:59qui cite 453 000 entreprises
05:02qui ont été attaquées en 2025.
05:05Ce n'est quand même pas rien.
05:06Ça veut dire que l'attaque,
05:07elle est forte.
05:08Et ça croît de 10, 12% tous les ans.
05:11Mais qu'est-ce qu'on fait pour gagner en maturité ?
05:12Parce que là, c'est bien.
05:13Les chiffres, c'est bien.
05:15On a l'impression qu'il y a 453 000,
05:17mais moi, je suis là,
05:18453 000, 001.
05:19Moi, je suis tranquille.
05:22Je suis placé à côté.
05:23En fait, le fond du problème,
05:25c'est cette notion de maturité
05:27qu'il faut approfondir.
05:29Je pense qu'on est encore
05:29à une définition de la maturité
05:32qui n'est pas cohérente
05:33par rapport au niveau de risque.
05:34Une vraie maturité,
05:36comme on le voit avec mes pères
05:38au sein des entreprises,
05:39c'est qu'on est en mesure
05:40de contrôler que tout ce qu'on doit
05:42mettre en place comme contrôle
05:44est effectivement mis en place.
05:45Et c'est cette notion de contrôle
05:47qui prend du temps,
05:48qui n'est pas facile à faire,
05:49qu'il faut vraiment aller
05:51un petit peu plus loin
05:52pour être certain
05:53d'avoir les protections nécessaires.
05:55Jérôme ?
05:55Oui, j'adhère à ce qui vient d'être dit
05:57pour justement avoir de la confiance
05:58finalement dans son système
05:59et pouvoir la mesurer.
06:00Ce qui est souvent une tâche
06:01qui consomme beaucoup d'énergie.
06:03Parce qu'il faut aller chercher
06:04jusqu'au dernier petit élément, etc.
06:06Donc, il y a eu,
06:07on le voit l'année dernière,
06:08des augmentations là-dessus.
06:08Et on voit de plus en plus
06:09d'automatisation
06:10de la vérification de ce contrôle
06:12qui est aidé justement
06:12par l'arrivée de l'IA.
06:14L'autre aspect
06:15où il y a eu quand même
06:16des investissements l'année dernière,
06:17c'est sur la réaction aux incidents.
06:18On a eu une augmentation
06:19assez nette
06:20du nombre d'entreprises
06:21qui sont passées en 24-7
06:22dans leurs équipes
06:23de réponses à incidents.
06:24Alors, soit en interne,
06:26soit avec des prestataires externes.
06:27Mais ça a été un des axes
06:28d'investissement fort.
06:30Parce que justement,
06:31les attaques,
06:31elles arrivent le vendredi soir,
06:32elles arrivent le week-end.
06:33Oui, on va prendre les vacances.
06:35Voilà.
06:36Je vais citer un exemple de contrôle.
06:38J'ai un parcours
06:39un peu d'auditeur.
06:40Par exemple,
06:40on va discuter avec l'administrateur
06:42des postes de travail.
06:43On lui demande
06:43est-ce que vous avez un master
06:45que vous avez vérifié
06:46conforme à la politique de sécurité
06:47que vous avez déployé
06:49sur tous les postes ?
06:50Et il répond oui.
06:51Est-ce que...
06:51Et la question suivante,
06:52c'est...
06:53Lui, il est confiant
06:54parce que le master, il marche.
06:55Mais la question suivante,
06:56c'est est-ce que vous contrôlez
06:57que le master est toujours appliqué
06:59après quelques années ?
07:00C'est tout ça la différence, en fait.
07:01C'est être certain
07:02qu'effectivement,
07:04c'est bien fait.
07:05Justement,
07:06quand on voit
07:06la surface d'attaque
07:07qui s'élargit,
07:09Benoît, on voit,
07:10et on peut rester là
07:11sur cette maturité,
07:12que même les plus grands
07:13se font avoir.
07:14Bon, il y a les dernières failles
07:16mythos
07:16qui sont allées chercher...
07:18Voilà.
07:19On peut en dire un mot, justement ?
07:20Parce qu'on a...
07:21L'autre jour,
07:22je discutais avec quelqu'un
07:23qui dit
07:23mais mythos,
07:23il n'est pas public.
07:24Enfin, ils ne l'ont pas ouvert
07:26au grand public.
07:27Bon, il y a quand même
07:27pas mal de gens
07:28qui l'utilisent déjà.
07:29Oui, l'accès à mythos
07:31a été élargi.
07:32Ça, c'est une première chose.
07:34À quelques sociétés américaines,
07:35ça a été élargi.
07:36Mais ce que l'on voit,
07:37c'est qu'au-delà de mythos
07:39qui est à la fois
07:39un bon coût marketing
07:40et certainement un bon outil
07:41pour rechercher des failles,
07:42il y a déjà des modèles
07:44qui sont spécialisés
07:45dans cet objectif-là.
07:46Et donc,
07:47on peut d'ores et déjà,
07:48si on est éditeur,
07:50se préparer...
07:50Je pense qu'on abordera
07:52un volet législatif
07:53dans l'émission,
07:54mais on peut déjà
07:55se préparer au CRA,
07:57Cyber Resilience Act.
07:58Le CRA qui,
08:00à un moment,
08:01va pointer le bout de son nez
08:02et va dire
08:03est-ce que vous êtes conforme,
08:05est-ce que vous êtes capable
08:06de prouver à vos clients,
08:07on parle encore de confiance,
08:08que les produits,
08:09les solutions que vous développez
08:11sous l'angle numérique
08:13sont résilientes
08:14et est-ce que vous proposez
08:15des mises à jour,
08:16notamment pendant un certain temps ?
08:18Et là,
08:18on est à moins de 100 jours
08:19pour le CRA,
08:20donc c'est maintenant
08:21qu'il faut s'y mettre.
08:22Parce qu'après le CRA,
08:23le problème,
08:24c'est qu'il a encore
08:24des angles morts,
08:26c'est-à-dire qu'il parle produit,
08:27il ne parle pas forcément
08:28architecture
08:28qui a été déployée
08:29en entreprise.
08:31Et là,
08:31typiquement,
08:31ce qui arrive à Meta,
08:33c'est un problème d'architecture,
08:35un problème de produit.
08:35Oui, parce que Meta,
08:36on pouvait prendre la main
08:37sur les comptes,
08:39Insta et tout ça ?
08:41C'est la faille
08:42de leur LLM de support
08:43où des pirates
08:44ont réussi à manipuler
08:45le LLM
08:46pour demander
08:47au LLM
08:50de modifier l'email
08:51en se faisant passer
08:52pour l'utilisateur
08:53qui s'est fait pirater.
08:54Donc en fait,
08:55c'est de l'ingénierie sociale
08:56versus le LLM de Meta,
08:57ce qui est quand même...
08:58En plus,
08:59c'était juste un dialogue
09:00avec Lire ?
09:00Juste un dialogue
09:01et il a fait le changement
09:02d'email,
09:02envoyé le code
09:03et voilà.
09:04Donc c'est relativement simple,
09:05c'est presque aussi basique
09:06que l'ANTS.
09:08Mais c'est aussi basique
09:09que l'ANTS.
09:11C'est pas aussi basique.
09:12On rappelle,
09:13c'est l'Agence Nationale
09:14des titres sécurisés.
09:15Ce terme sécurisé,
09:16ils l'avaient un petit peu
09:17oublié à un moment.
09:18Et donc,
09:19c'est là où on a
09:19le passeport,
09:20le garde d'identité,
09:21etc.
09:21Il suffisait de changer
09:22quelques chiffres
09:23dans l'adresse
09:24et hop,
09:24on avait accès un peu...
09:26Enfin,
09:26ça part aussi simple
09:27mais je crois que c'était
09:27aussi simple que ça.
09:29En tout cas,
09:29pour Meta,
09:31c'était extrêmement simple
09:32parce qu'il suffisait
09:33de parler en disant
09:34j'ai perdu l'accès
09:35à mon compte,
09:35voici mon email
09:37et le chatbot
09:38envoyer l'email.
09:39Donc là,
09:39il n'y a même pas besoin
09:39de comprendre
09:39comment un site marche.
09:41Il faut juste exprimer
09:43le besoin
09:44de récupérer son compte.
09:45Donc c'est en anglais
09:46ou en français
09:47de tout un chacun.
09:47Et je crois que c'est
09:49l'un de vous,
09:49c'est Benoît
09:49qui a remonté aussi
09:50le chat qui permettait
09:52de mettre un chat
09:53avec Claude
09:54et de mettre un malware
09:55sur Mac.
09:56Tout à fait.
09:56Donc là,
09:56on va encore plus loin
09:58dans l'ingénierie sociale.
09:59Il y a plus de réflexion
10:00côté attaquant.
10:01L'idée,
10:02c'est de créer un chat
10:03avec Claude,
10:04de le partager
10:05en tant qu'hameçonnage
10:06et en fait,
10:07quand la victime
10:08va voir cette URL,
10:09elle va voir une URL légitime
10:11vu que c'est chat.claude,
10:12etc.
10:12De là,
10:13on va faire croire
10:14à la personne
10:14qui a cliqué sur l'URL
10:15qu'il arrive dans un assistant
10:16qui va lui permettre
10:17d'installer Claude
10:18pour Mac.
10:19Donc l'origine
10:20est souvent des publicités
10:21officielles
10:22mais malveillantes.
10:23Et une fois
10:24qu'on est dans ce chat-là,
10:26le chat se fait passer
10:27pour le support Apple
10:28ou le support Claude
10:29et vous invite
10:30à télécharger
10:31un installeur
10:32qui effectivement
10:33n'est pas le vrai Claude
10:34mais un bot.
10:37Pascal ?
10:38En fait,
10:38là,
10:38ce qui pose problème,
10:39c'est qu'on sourit
10:41en parlant
10:42d'ingénierie sociale
10:43versus l'LM
10:45mais au moins
10:45avec des humains,
10:46on peut sensibiliser.
10:47On parle tout le temps
10:48de sensibiliser.
10:48Oui, là,
10:49les agents ?
10:49Là,
10:50l'agent,
10:50s'il n'a pas les garde-fous,
10:52il n'a pas les garde-fous
10:52parce que de toute manière,
10:53il n'a pas la notion
10:54du bien,
10:54du mal.
10:55Et ça,
10:55on peut le faire
10:55pour ceux qui nous écoutent
10:56qui ont dans leur entreprise
10:58un responsable
10:59à un ciseau,
11:00etc.
11:01Ils peuvent aller les voir,
11:02aller voir les équipes IT
11:03et dire
11:03on peut mettre
11:03des garde-fous
11:04autour de ces agents
11:06pour les former
11:08un peu,
11:09être plus sensibles.
11:10C'est tout le problème.
11:11c'est qu'on a lancé
11:12des produits
11:13sans sécurité
11:15by design.
11:16On va plus vite
11:17que la musique,
11:18en fait.
11:19Pour en revenir
11:19sur ce point-là,
11:21aujourd'hui,
11:21quand on évalue
11:22la maturité
11:22des grandes entreprises
11:23pour qu'elles sécurisent
11:24leurs IA,
11:25on est à 38% de maturité.
11:27On est bien en-delà
11:27des 55 dont on parlait
11:28tout à l'heure.
11:29On est à 76%
11:30sur j'ai écrit des règles
11:32et je les diffuse.
11:33On sait ce qu'il faut faire.
11:35Par contre,
11:35quand on regarde
11:36je détecte des attaques
11:37sur les IA
11:38et je suis capable
11:38de réagir,
11:39on est à 8%.
11:40On voit qu'on a fait
11:41la gouvernance,
11:42les règles.
11:42On commence à être
11:43dans la protection.
11:44Aujourd'hui,
11:45il y a beaucoup d'entreprises
11:46qui achètent des systèmes
11:47de guardrails
11:47pour éviter ce type d'attaques
11:48et qui sont en train
11:49de les tester.
11:50Par contre,
11:51quasiment personne
11:52n'a encore ouvert
11:53le « je subis une attaque
11:55sur mon IA
11:56et je suis capable
11:57de réagir,
11:58de comprendre
11:58et de répondre ».
11:59Messieurs,
11:59il y a la question
12:01de l'utilisateur
12:02qui se retrouve
12:03face à ces IA
12:04et qui lui aussi
12:05va soit recevoir
12:06des commandes
12:06ou des promptes
12:07malveillants,
12:08lui-même pourrait
12:09être amené
12:10en injecter
12:11et on voit
12:11que l'industrie
12:12de la défense
12:13et des défenseurs
12:13est en train
12:14de s'armer contre ça
12:15à la fois
12:16sur les grands systèmes
12:17mais également
12:17sur les postes de travail
12:18ou les navigateurs
12:19là où il y a
12:20une interaction
12:21avec l'IA
12:21qui va permettre
12:22d'analyser
12:23finalement un peu
12:24comme un antivirus
12:25ou un EDR
12:25des comportements
12:26malveillants
12:27qui proviendraient
12:28de l'IA
12:28et ou qui seraient
12:29injectés dans l'IA
12:30côté utilisateur.
12:31Pascal ?
12:32Moi ce qui m'embête
12:32dans cette histoire
12:33c'est qu'on n'apprend
12:34pas du passé
12:34c'est-à-dire qu'on a sorti
12:36des logiciels
12:36on s'est demandé
12:37après comment les sécuriser
12:38parce que le Secure by Design
12:41ça fait quand même quelque chose
12:41Et là on ressort des IA
12:43et on se pose la question après
12:44mais comment on va le sécuriser ?
12:46Typiquement dans l'EI Act
12:49c'est-à-dire européen
12:50l'article 15
12:51qui dit qu'effectivement
12:52les systèmes d'IA
12:53au risque
12:53doivent être sécurisés
12:55ne dit pas comment
12:56il faut aller voir
12:57chez Anthropique
12:58qui sort des choses
12:59j'ai l'impression
13:01qu'on refait les choses
13:02à l'envers.
13:03Alors justement
13:03il y a l'importance
13:04de la régulation
13:05ça c'est aussi
13:06un des thèmes abordés
13:07par cette étude
13:08Wavesum
13:09par ce panorama
13:10avec 10% de maturité
13:12en plus
13:12pour les acteurs
13:13alors eux régulés
13:14Oui
13:15on se dit toujours
13:17la réglementation
13:18voilà là c'est lourd
13:19plein de choses à faire
13:19etc.
13:20En vrai on voit
13:21que ça a quand même
13:21un effet positif
13:22sur le niveau
13:22de cybersécurité
13:23ça aide à flécher
13:24des investissements
13:25ça aide à avoir
13:27des solutions concrètes
13:28alors après tout dépend
13:29de la réglementation
13:30comme tu le disais
13:30les Hayakt
13:31peut-être un peu flou
13:32dans son application
13:33si on regarde
13:33sur Nice 2
13:34ce que l'Annecy
13:35en France a sorti
13:36avec le référentiel
13:37Récif
13:37là pour le coup
13:38c'est du très précis
13:38ça dit exactement
13:40voilà ce qu'il faut faire
13:41et comment il faut le faire
13:41donc ça enlève
13:43beaucoup de débats internes
13:44beaucoup de débats d'experts
13:45beaucoup de débats
13:46avec le top management
13:47en disant voilà
13:47le régulateur a réfléchi
13:49pour nous
13:49alors des fois
13:50on peut ne pas être d'accord
13:51sur certaines choses
13:51c'est sûr
13:52mais en tout cas
13:53ça aide à flécher
13:54les investissements
13:55et puis ça ajoute une chose
13:56c'est le contrôle
13:57derrière
13:57parce qu'on sait
13:58qu'il va y avoir un audit
13:59on sait qu'il va y avoir
14:00des auditeurs
14:00qui vont arriver
14:00on sait qu'on peut avoir
14:02potentiellement des amendes
14:03alors tout le monde
14:04n'en aura pas
14:04et ça va prendre du temps
14:05mais il y a cette épée
14:06de Damoclesse qui est là
14:07et qui permet finalement
14:08de conduire le changement
14:09ce qui est souvent
14:10le plus difficile en cyber
14:11parce qu'aujourd'hui
14:12le top management
14:12est bien sensibilisé
14:14les équipes cyber
14:15savent ce qu'il faut faire
14:15mais le plus dur
14:16c'est de faire changer
14:17au sein de l'ADSI
14:18au sein du fonctionnement
14:20des utilisateurs au quotidien
14:21et un des thèmes clés
14:23des années à venir
14:23c'est vraiment
14:24la conduite du changement cyber
14:25dans les grandes structures
14:26Michel justement
14:27autour de ce qu'a fait l'ADSI
14:28avec Récif
14:29c'est un beau travail aussi
14:31alors effectivement
14:32là on peut remercier
14:34effectivement l'ADSI
14:34d'avoir pris en compte
14:35la demande des entreprises
14:37qui disaient
14:37mais j'ai plein de réglementations
14:38dans tous les sens
14:39je fais 10 fois
14:40les mêmes contrôles
14:40et là avec Récif
14:41merci au moins
14:43là on a
14:44comment dirais-je
14:44une solution
14:45pour pouvoir gagner du temps
14:46dans tout ce travail
14:48qui consiste à rapporter
14:49l'efficacité des contrôles
14:51mais je suis moins enthousiaste
14:53que toi Jérôme
14:54sur le fait
14:55que ces contrôles
14:56ils sont vraiment efficaces
14:58et opérationnels
14:59et je pense que là
15:00il faut vraiment
15:01qu'on fasse
15:01un processus
15:03d'éducation
15:04et de formation
15:04en fait
15:05de l'ensemble
15:05des experts cybersécurité
15:07avec l'aide des ESN
15:09avec l'aide des conseils
15:10que nous apportent
15:10et les vendeurs
15:11de solutions
15:12de logiciels
15:13et en même temps
15:14les ESN
15:15à améliorer nos contrôles
15:16parce que la quantité
15:18d'attaques augmente
15:19mais nous
15:20en l'intérieur
15:21il faut vraiment
15:22aller un peu plus loin
15:23que simplement
15:24faire ces contrôles
15:25on en a déjà parlé
15:26de ça
15:27mais franchement
15:28il y a une phase
15:29de maturation
15:30à apporter
15:30auprès des experts cyber
15:32qui arrivent
15:32dans le gros de la troupe
15:33plutôt par le monde
15:34de l'infrastructure
15:35alors qu'il faut
15:36passer un état au-dessus
15:38et penser
15:39procédure de sécurité
15:40je suis en procédure sécurité
15:41Nice 2
15:42Dora
15:42tout ça
15:43ça apporte
15:44oui c'est en train
15:45de prendre ou pas
15:46Pascal ?
15:46je vois sourire en coin
15:48oui parce que
15:49en PME
15:50c'est particulier
15:51on va toucher
15:52c'est environ
15:5315 000 entreprises
15:55tout compris
15:56il y a 360 000 PME
15:58donc
15:59il va en manquer un bout
16:01et c'est ce
16:02savoir déjà
16:02si on en fait partie
16:03ou pas
16:04et du coup
16:05il y a un peu
16:05l'oeuf et la poule
16:06entre la régulation
16:07et puis la maturité
16:09c'est-à-dire est-ce que
16:10les entreprises
16:11qui sont Nice 2
16:12c'est la réglementation
16:13qui les aide
16:14à monter en cyber
16:15ou c'est parce que
16:15c'est leur métier
16:16c'est la nature
16:18de ce qu'ils font
16:18qui fait qu'ils le prennent
16:19un peu plus en considération
16:21mais effectivement
16:22ceux qui ne sont pas du tout
16:23Nice 2
16:23s'en fichent royalement
16:24ça on est d'accord
16:25ça eux n'y vont pas du tout
16:28il n'y a qu'à prendre
16:29l'exemple de la RGPD
16:29la RGPD
16:30avec assez peu de contrôle
16:33est assez peu suivie
16:34en PME
16:35voire
16:36très très peu
16:37sauf les plus grosses PME
16:40et le deuxième effet
16:41de Nice 2
16:42c'est que
16:42si on monte en maturité
16:44d'un côté
16:44de l'autre côté
16:45on ne monte pas
16:46et on va se faire taper
16:47un peu plus
16:47alors j'espère que la maturité
16:48viendra de là
16:49de se faire taper un peu plus
16:51Nice 3
16:52pardon
16:53Nice 3
16:53ça sera Nice 3
16:54pour les petits et moyennes entreprises
16:56oui on y arrive
16:57alors on fait énormément
16:58de communication
16:59nous et de sensibilisation
17:00auprès des dirigeants
17:01d'entreprises
17:01pour les alerter déjà
17:03sur Nice 2
17:03leur rappeler qu'effectivement
17:05s'ils sont le maillon faible
17:06de la chaîne
17:06c'est eux qui vont prendre
17:08quand les grandes entreprises
17:09sont quand même
17:10majoritairement bien sécurisées
17:11et celles concernées
17:12par Nice 2
17:12ont à mon avis
17:14pris déjà
17:15le train de Nice 2
17:17et nous on essaye
17:18de rendre
17:19finalement
17:20la cybersécurité
17:21des petits
17:22et des moyens
17:22accessibles
17:23Jérôme tu évoquais tout à l'heure
17:24la supervision 24-7
17:26c'est exactement
17:26notre objectif
17:27mais pas uniquement
17:28pour les grandes entreprises
17:29pour tout le monde
17:30il faut que ça passe à l'échelle
17:31exactement
17:31et grâce à l'IA
17:33alors on a un manque de talent
17:35c'est évident
17:36mais nous on arrive
17:37à récupérer des talents
17:38nous fournisseurs
17:39on arrive à récupérer des talents
17:40on les mutualise
17:41et c'est grâce à ça
17:42qu'on arrive à passer à l'échelle
17:44pour les petites et moyennes entreprises
17:45alors justement
17:45c'est une transition
17:46à tout effet
17:47vers justement
17:48les enjeux humains
17:49un expert cyber
17:50pour un peu moins
17:51de 1000 collaborateurs
17:52ça fait pas beaucoup
17:54puisque ces collaborateurs
17:54ils sont tous en train
17:55de se balader un peu partout
17:56que ce soit avec leur portable
17:57avec leur téléphone portable
17:58ou avec leur ordinateur de bureau
18:00ou leur ordinateur portable
18:02voire même
18:02via leur domicile
18:05quand ils ont un VPN
18:06ou pas
18:07et là
18:07les experts cyber
18:08poursuivent leur progression
18:09avec un expert cyber
18:10donc pour 1000
18:10c'est mieux qu'en 2025
18:12enfin pour 1979
18:13alors que c'était 1 pour 1025
18:14voilà
18:15la nuance est importante
18:18là
18:18voilà
18:19je crois que c'est les acteurs financiers
18:20les plus avancés
18:21c'est ça ?
18:21Voilà
18:21les acteurs financiers
18:22certains acteurs financiers
18:24un peu particuliers
18:24sont un expert cyber
18:26pour 100 collaborateurs
18:27pour vous donner un peu
18:28le niveau maximum
18:29qu'on voit
18:30donc là
18:30c'est des métiers
18:31très très régulés
18:32très sensibles
18:32évidemment
18:33on va pas dire
18:33à tous les gens
18:33qui nous écoutent
18:34que pour 100 employés
18:35on va mettre un expert cyber
18:36ça ne marchera pas
18:36mais le 1 pour 1000
18:38effectivement est trop faible
18:39on dit souvent
18:40que c'est 1 pour 600
18:41700
18:42qui est une bonne cible
18:43tout secteur d'activité
18:44confondu
18:45parce qu'elle donne les moyens
18:46justement de pouvoir agir
18:47de pouvoir aller
18:48au contact des utilisateurs
18:50au contact de la DSI
18:51et de pouvoir changer
18:52la cyber
18:53le problème qu'on a
18:54depuis des années
18:54c'est le recrutement
18:55c'est la présence d'experts
18:56c'est la formation
18:58autour de ces sujets-là
18:59et puis c'est pas de se dire
19:00quelque part
19:00tiens l'IA
19:01il y a peut-être des tâches
19:02l'IA ça va pouvoir les faire
19:03donc est-ce que je recrute ?
19:05ça c'est ce qu'on va
19:05on se dit qu'on va peut-être
19:07faire évoluer le benchmark
19:07pour justement
19:08commencer à compter
19:09le nombre d'agents IA
19:10en fonctionnement
19:11dans les équipes
19:12parce que là aujourd'hui
19:13moi je vois clairement
19:13des transformations
19:14qu'on a accompagnées
19:15il y avait des équipes
19:16dans le SOC
19:16il y avait 6 personnes
19:17qui faisaient quelque chose
19:18là aujourd'hui
19:19c'est un superviseur
19:21et 6 agents IA
19:22qui tournent
19:22et qui amènent
19:24plus de fiabilité
19:25plus de réactivité
19:26et les 6 personnes
19:27ont pu être mis ailleurs
19:28et donc c'est
19:29on voit qu'il y a vraiment
19:31une transformation
19:31qui va arriver
19:33là on est dans les phases
19:34d'expérimentation de tests
19:35mais à horizon 2-3 ans
19:36je pense qu'on aura
19:37voilà qu'on comptera
19:38quelque part
19:39le nombre d'agents
19:39dans les équipes cyber
19:41On va aller sur ce côté
19:42Benoît
19:43puis ensuite Michel
19:44Oui clairement
19:45nous on a investi
19:4640 millions
19:47on a annoncé ça
19:48il y a deux semaines
19:4840 millions sur une IA
19:51fabriquée en Europe
19:53pour se désengager
19:55on va dire
19:55de la dépendance
19:56au big tech
19:57et cet investissement
19:59il passe principalement
20:00par le recrutement
20:01et la formation de ressources
20:02Oui
20:02donc on a ça
20:03Michel
20:04sur ces enjeux humains
20:06Sur ces enjeux humains
20:07il y a là un vrai paradoxe
20:08parce que
20:09effectivement
20:10le nombre d'experts
20:11en cybersécurité
20:12on le voit
20:13dans les réunions
20:14comme le Cézain ou le Cusif
20:16grossit sensiblement
20:17mais pour autant
20:18en fait
20:19on a un petit problème
20:20de compétence
20:21c'est à dire que
20:21les compétences sont plutôt
20:23des jeunes
20:23qui viennent de l'infra
20:25et vraiment
20:26il faut aller
20:26à un plus haut niveau
20:27et en même temps
20:28de l'autre côté
20:28on s'aperçoit que
20:29et bien j'ai pas mal
20:30de mes pères
20:31qui se retrouvent
20:32en train de se poser la question
20:33je vais changer
20:34mais je trouve pas forcément
20:35de poste
20:35et ce sont des personnes
20:36expérimentées
20:37c'est celles justement
20:38dont on a besoin
20:39pour guider
20:40et en même temps
20:41former potentiellement
20:42les agents IA
20:43pour qu'elles effectuent
20:45les bonnes tâches
20:46au sein des entreprises
20:47donc là
20:48on est dans une phase
20:49qui est pas confortable
20:50en fait
20:50pour l'ensemble
20:51de la population
20:52et les experts cyber
20:53et en même temps
20:54les entreprises
20:54qu'on doit protéger
20:55c'est compliqué
20:55de trouver ces besoins
20:56Pascal
20:57enfin de bien
20:58comment dirais-je
20:59de référencer ces besoins
21:02je pense qu'il y a
21:03une
21:04tu disais Jérôme
21:05tout à l'heure
21:06les équipes dirigeantes
21:07sont bien sensibilisées
21:08je pense que c'est le cas
21:08dans les grands comptes
21:09mais c'est pas le cas
21:10dans les PME
21:10et dans les ETI
21:13où là on se bat
21:14parce qu'eux se battent
21:15sur leur production
21:15de tous les jours
21:16et n'ont pas le temps
21:17de voilà
21:17si on regarde dans Nice 2
21:18dans Nice 2
21:20il y a un article
21:21qui parle de la sensibilisation
21:23des équipes dirigeantes
21:24et je pense que c'est
21:25c'est vraiment un vecteur
21:25sur lequel on doit aller
21:26parce que ça aura un impact
21:28sur le nombre
21:29d'experts cyber
21:30dans les plus petites structures
21:31tant que les dirigeants
21:32ne sont pas bien sensibilisés
21:34on n'ira pas
21:34pas assez
21:36et attention aussi
21:37quand on dit 1 pour 1000
21:38ça veut dire
21:39les entreprises
21:39qui n'ont pas 1000 employés
21:41il faut quand même
21:41qu'elles aient un expert cyber
21:44PME on est à 0 sur 100
21:45pardon
21:46parfois oui
21:47c'est bien
21:48avoir ce regard de Pascal
21:49avoir un expert
21:50dans chaque PME
21:51je pense que c'est pas viable
21:52c'est pas jouable
21:53c'est leur prestataire
21:54par contre des prestataires
21:55mutualisés
21:56des RSC mutualisés
21:57comme on l'a vu arriver
21:58sur le RGPD
21:58la protection des données
21:59à caractère personnel
22:00voilà clairement
22:01je pense en plus
22:02que c'est un écosystème
22:03qui va se créer
22:04qui va se développer
22:04avec le déploiement
22:05de Nice 2
22:06on le voit beaucoup
22:07dans les régions
22:07on a une structuration
22:08autour des campus
22:09autour de certains
22:11pôles d'activité
22:12pour arriver à mutualiser
22:13les efforts
22:14alors autre sujet
22:16qui sort de ce panorama
22:18Wafestone
22:19c'est celui de
22:19besoin de changer
22:20la cyber en profondeur
22:21il faut
22:22de la même façon
22:23qu'on refait
22:24tout un tas de métiers
22:25si on réfléchisse
22:26à nouveau à leur process
22:27parce qu'il y a de l'IA
22:28parce qu'il y a de l'IA
22:29gentil
22:30dans la cyber aussi
22:31on doit repenser un peu
22:32la façon dont on s'organise
22:34Jérôme
22:34c'est clairement ce qu'on voit
22:35parce qu'on atteint
22:36d'un côté
22:38cette limitation
22:38sur les budgets
22:39on le disait
22:40finalement
22:406,7%
22:41c'est pas si mal
22:42que ça en budget
22:43et donc nous
22:43on voit clairement
22:44aujourd'hui
22:44les entreprises
22:45on leur dit
22:46rationaliser le budget cyber
22:47vous aviez eu
22:48les portes ouvertes
22:49vous avez investi
22:50dans beaucoup de technologies
22:51dans beaucoup de sujets
22:51maintenant rationaliser un peu
22:53premier axe
22:53puis deuxième axe
22:54on trouve pas les experts
22:55qui vont bien
22:56et ça sature aussi
22:57sur cet angle là
22:58on vient de le traiter
22:58donc il faut arriver
22:59à se rationaliser
23:02à plateformiser
23:02comme on dit souvent
23:03d'un point de vue technologique
23:04pour réduire le nombre
23:05de produits
23:05et puis surtout
23:06il faut arriver
23:06à automatiser
23:07et alors automatiser
23:10on porte tout de suite
23:11à l'IA
23:11mais finalement
23:12il y a beaucoup
23:12d'automatisations
23:13qui sont même simples
23:14et qui ne vont pas
23:14forcément requérir
23:15de l'IA
23:15hyper avancée
23:17pour fonctionner
23:18et c'est ce qu'on voit
23:19vraiment sur le terrain
23:20actuellement
23:20c'est des logiques
23:21de se dire
23:21ok maintenant
23:22c'est quoi
23:23mes processus cyber clés
23:24comment je les mappe
23:26et on voit
23:27une maturation
23:28des équipes cyber
23:29qui ont couru
23:30après dans la roue
23:31du hamster
23:32depuis des années
23:32et malheureusement
23:33ça continue
23:33avec l'arrivée
23:34de Mythos etc
23:34on voit des équipes
23:36qui se créent
23:37un peu en parallèle
23:37du RSSI
23:39qui a sa chaîne
23:39de commandement
23:40et qui réagit
23:41aux incidents
23:41des gens des risques
23:43c'est des gens
23:44des fois
23:44des équipes
23:46d'optimisation
23:47de rationalisation
23:48des coûts
23:48des grandes structures
23:49qui viennent en appui
23:50aux fonctions cyber
23:51pour faire un budget
23:52base zéro
23:53pour se dire
23:53qui fait quoi
23:54combien de temps ça prend
23:55qui fait une cartographie
23:57des processus
23:58et qui regarde
23:59finalement
24:00là où l'énergie
24:01est bien mise
24:02et comment on peut
24:02la réguler
24:03ça veut dire
24:04une nouvelle génération
24:05de zéro trust
24:05c'est un peu ça
24:06Benoît ?
24:07Oui
24:07moi je vois surtout
24:08une bonne nouvelle
24:09parce que ce qui se passe
24:10dans les grandes entreprises
24:11comme tu le décris
24:12généralement avec un peu
24:13de retard arrive
24:14dans les petites
24:14et moyennes entreprises
24:15mais si cette structure
24:18finalement de la cyber
24:20qui descend dans l'opérationnel
24:21et qui se met à côté
24:22des métiers
24:23arrive à donner lieu
24:24à des écrits
24:25à des bonnes pratiques
24:27je pense que les petites
24:28et moyennes entreprises
24:29en bénéficieront
24:30peut-être avec l'aide
24:31de l'IA
24:32pour l'analyser
24:33et l'adapter
24:34mais en tout cas
24:35on peut peut-être se dire
24:36qu'un peu comme la Formule 1
24:37ça peut arriver
24:38dans le grand public
24:39ou en tout cas
24:40dans les entreprises
24:40intermédiaires
24:41plus facilement
24:42oui en termes de gouvernance
24:43gestion des risques
24:43détection
24:44réponse aux incidents
24:46résilience
24:46tout ça
24:46c'est des domaines
24:47sur lesquels il faut appuyer
24:50parce que dans les PME
24:51déjà il ne faut pas appuyer
24:52sur juste le terme
24:53cybersécurité
24:53de ce que tu nous en dis
24:55mais voilà
24:55il y a peut-être
24:57essayer de sensibiliser
24:58les gens
24:59à traverser ces termes-là
25:00bien sûr
25:00et puis pour rebondir
25:01avec ce que disait Gérôme
25:02je pense que tu feras
25:04le même constat
25:08on se retrouve souvent
25:09avec des clients
25:09où ils vont garder
25:13certains domaines
25:13comme le patch management
25:15ils vont se rendre compte
25:16qu'ils ont plusieurs outils
25:16qui le font
25:18et avec des couvertures différentes
25:20donc effectivement
25:21de la rationalisation
25:22il y en a sur toute la chaîne
25:23et quelle que soit
25:24la taille de l'entreprise
25:24c'est de la discuter
25:25c'est vrai que
25:27grâce à vous
25:28grâce à vos innovations
25:28mais justement
25:31la contrepartie de tout ça
25:32c'est que
25:32chacun élargit son stock
25:34et à un moment donné
25:35il y a cette rationalisation
25:36à faire
25:37même pour une TPE
25:38très clairement
25:39et c'est pour ça
25:40que souvent
25:40on voit certaines
25:41on aurait pu parler
25:41des enjeux de souveraineté
25:42mais qui se tournent
25:43vers des grandes plateformes
25:43en disant
25:44allez je vais voir
25:45une grande plateforme
25:45au moins eux
25:46ils ont
25:47souvent américaines
25:48enfin même
25:49exclusivement américaines
25:50ces grandes plateformes
25:50en général
25:51et puis là au moins
25:52je sais que ça va répondre
25:53à tout ça Michel
25:55oui alors
25:55moi je suis assez content
25:57de voir le principe
25:58du zéro trust
25:59appliqué à l'IA
26:00je trouve que ça
26:01c'est un bon concept
26:02parce que
26:03on s'aperçoit
26:04que trop facilement
26:05ces agents IA
26:05on leur donne un peu
26:06beaucoup de pouvoir
26:07et que
26:08parfois ils le prennent
26:09tout seul
26:09aussi
26:10parce qu'on ne les a pas
26:12bien contrôlés
26:13et puis hop hop hop
26:13ils se développent
26:14ce qui est intéressant
26:15ce qui est intéressant en fait
26:15c'est qu'il y a un mécanisme
26:16de mémoire en fait
26:18dans ces agents IA
26:18et donc ils conservent
26:20potentiellement des droits
26:21d'accès ou des accès
26:22à d'autres informations
26:24et donc de fait
26:25lorsque vous exécutez
26:26un agent
26:26et qu'il a la mémoire
26:28de droit d'accès
26:28sur d'autres environnements
26:29et bien il s'autorise
26:31des accès
26:31et c'est là
26:31où ça devient
26:32un vrai problème
26:33et donc il y a
26:34des tas de contrôles
26:35à mettre en place
26:36et comme tu le disais
26:37des contrôles qui sont
26:38j'en discutais
26:39avec Édouard Jansson
26:40l'autre jour
26:40mais c'est du basique
26:41c'est du bon sens
26:42qu'il faut qu'on mette en place
26:42en l'occurrence
26:44il faut regarder
26:45tous les problèmes
26:45de friction
26:46que peut avoir
26:47un agent
26:48avec d'autres domaines
26:50des limites de débit
26:51d'accès à des informations
26:53des ports non standards
26:54mettre en place
26:55la double authentification
26:56il y a plein de basiques
26:58qui sont très intéressants
26:59à mettre en place
27:00et c'est vrai
27:01que c'est un concept
27:01qu'il faut absolument développer
27:02sur lequel on va être obligé
27:04d'y aller forcément
27:04les nouveaux défis
27:06quand même
27:06c'est lié à
27:07oui le nouveau défi
27:08numéro 1
27:09aujourd'hui c'est l'IA
27:10à la fois dans les grandes entreprises
27:11pour sécuriser
27:13tous les projets d'IA
27:14et on évoquait à l'instant
27:16le Zero Trust
27:16il y a effectivement
27:17on sait que ce modèle
27:18de réflexion cyber
27:19qui dit à la base
27:21je n'ai confiance en rien
27:22donc à chaque fois
27:23je revérifie
27:24et je vérifie
27:25qui j'ai en face
27:26et j'applique un principe
27:27qui est le principe
27:27du moindre privilège
27:28en fait il y a un nouvel
27:30un nouveau principe
27:31qui arrive
27:32c'est le principe
27:33de la moindre autonomie
27:34parce qu'en fait
27:34aujourd'hui
27:35on prend souvent un agent IA
27:36et on duplique
27:37les droits
27:38de l'utilisateur
27:39mais l'utilisateur
27:40il peut faire plein de choses
27:41dans l'application métier
27:43certes
27:43mais aussi
27:43aller voir son salaire
27:44poser ses congés
27:46aller dans
27:47X domaines techniques
27:48variés
27:49accéder à plein de fichiers
27:50sur l'intranet
27:50bon quand on demande
27:52à un agent
27:52de faire une tâche
27:53peut-être qu'on peut
27:54le limiter
27:54finalement
27:55à ce dont il a besoin
27:56pour cette tâche là
27:57voilà
27:57et donc ce principe
27:58de la moindre autonomie
28:00est quelque chose
28:00qui doit rentrer
28:01dans la philosophie
28:02de sécurisation des IA
28:03et qui est nouveau
28:04et qu'on est vraiment
28:06en train de déployer
28:06sur le terrain actuellement
28:07c'est ça
28:08c'est de vos défis
28:08c'est autour de dire
28:09y compris PME
28:10Pascal
28:10je suis ravi de le voir
28:12dans le framework
28:13d'Anthropic
28:14ce Zero Trust
28:16alors j'aurais aimé
28:17le voir plus tôt
28:17mais c'est
28:18mieux vaut tard que jamais
28:20par contre
28:20à un moment donné
28:21il va le falloir aussi
28:22peut-être en termes
28:22de régulation
28:23parce que
28:23comme tu disais
28:25les IA Act
28:26il est un peu flou
28:27et ce qu'il y a
28:28dans tout le framework
28:29d'Anthropic
28:30c'est juste l'article 15
28:33de la régulation
28:34donc il y a encore
28:35quand même
28:36beaucoup de travail
28:37pour qu'on stabilise
28:38le domaine
28:38la difficulté
28:39un dernier mot
28:40là-dessus
28:40sur l'IA Benoît
28:41pour le mot de la fin
28:43il faut rester vigilant
28:44et déployer
28:45avec raison
28:46et aller voir aussi
28:48les différents guides
28:48qui ont été
28:49produits par l'ANSI
28:50il y a des guides
28:51qui sont très bien faits
28:52sur le sujet
28:52il y en a un
28:53c'est une trentaine de pages
28:54c'est assez digeste
28:55bien merci
28:56tous les quatre
28:56Pascal Lodiguel
28:57DG France
28:58de Watchguard
28:58Benoît Grunemval
28:59expert en cybersécurité
29:00chez EZ France
29:01Jérôme Bilois
29:02expert chez Weston
29:04et merci d'être venu
29:04nous présenter
29:06ce panorama
29:07et Michel Juvin
29:08qu'on retrouve d'ailleurs
29:08sur le site Webster
29:09si on veut avoir
29:10davantage
29:11enfin il n'y a pas que
29:12des chiffres
29:12on l'a bien compris
29:13c'est vraiment
29:13des témoignages terrain
29:15des données qui reviennent
29:16du terrain
29:16et Michel Juvin
29:17Ecosystem Advisor
29:18chez ANSI
29:19merci à tous les quatre
29:20pour ce décryptage cyber
29:22et ça continue
29:23à cette actualité
29:23vous allez voir
29:24on pourra continuer
29:25à en parler
29:25dans nos émissions suivantes
29:27à très bientôt
29:27pour une nouvelle émission
29:28BFM Business
29:29rendez-vous ici même
29:30la semaine prochaine
29:31même heure
29:31même endroit
29:32d'ici là
29:32excellente semaine
29:33sur BFM Business
29:34retrouvez-nous en replay
29:35évidemment
29:36et sur les chaînes YouTube
29:37à bientôt
29:40Tech & Co Business
29:41sur BFM Business
29:42Sous-titrage Société Radio-Canada
29:44Sous-titrage Société Radio-Canada
29:45Sous-titrage Société Radio-Canada
Commentaires