Transcription

• Speaker #0

  Bienvenue dans l'œil de la cyber, le podcast qui donne la parole aux acteurs du numérique. Je suis Anne-Laure de Larivière, directrice de la communication chez Gatewatcher. Et aujourd'hui, c'est une édition spéciale car elle est enregistrée en direct des assises de la cybersécurité à Monaco, là où se croisent les stratèges du numérique, les gardiens de la donnée et les bâtisseurs de la confiance numérique. Le numérique est devenu l'infrastructure invisible de nos vies, paiement, épargne, santé, service public. Un monde entier repose sur des systèmes qu'on ne voit jamais, mais dont la moindre faille peut tout faire vaciller. Entre réglementation et innovation, comment bâtir la confiance numérique ? Pour en parler, j'ai le plaisir de recevoir Christophe Cabreau, directeur de la sécurité, de l'architecture et de la stratégie technologique de la Caisse des dépôts. Nous évoquerons la confiance entre secteur public et privé, les infrastructures invisibles qui soutiennent notre économie et les défis que posent l'IA et l'innovation à notre souveraineté et à notre résilience. Retrouvez tous nos podcasts sur www.gatewatcher.com, catégorie podcast. Si vous aimez ce qu'on fait, pensez à vous abonner au podcast Dans l'œil de la cyber sur toutes les plateformes d'écoute pour ne pas rater la sortie du prochain épisode. Bonne écoute ! Bonjour Christophe.

• Speaker #1

  Bonjour Anne-Laure.

• Speaker #0

  Merci d'avoir accepté mon invitation.

• Speaker #1

  Plaisir.

• Speaker #0

  J'ai beaucoup l'habitude de commencer chaque épisode en revenant sur le parcours de mon invité. Vous êtes titulaire d'un Executive Master de l'ESCP Business School. et un master en IT et Télécom de l'université Pierre et Marie Curie. Ensuite, vous êtes devenu consultant en sécurité, puis ensuite vous avez rejoint la Société Générale, où vous cumulez différentes expériences, dont CISO, for Global Investment Management and Services. Aujourd'hui, vous intervenez en tant que directeur sécurité, architecture et stratégie technologique à la Caisse des dépôts. Est-ce que vous pouvez rappeler les missions de la Caisse des dépôts et en quoi consiste votre rôle chez eux, Christophe ?

• Speaker #1

  Alors, la mission de la Caisse des dépôts, il y en a... C'est un nombre nombreux. C'est un nombre que tout le monde connaît, le nom de Cazepo en tout cas j'espère. Elle a de très nombreuses missions. Ce que je peux vous dire, c'est quels sont ses trois axes stratégiques. Le nouveau directeur général, qui est arrivé en juin, a posé sa stratégie sur trois axes. Le premier, c'est la cohésion sociale et territoriale. Le deuxième axe, c'est la transition, la transformation écologique. Et le troisième axe, c'est la souveraineté. Et donc, si on découle cette stratégie en mission, on a la mission de protéger l'épargne populaire des Français. Le livrage, je pense que ça parle à tout le monde. La cohésion sociale, la Caisse des Pôles est un investisseur dans le logement social. On accompagne le parcours de vie des Français, notamment, tout le monde a entendu parler du compte formation. Et effectivement, on est un investisseur dans l'économie, soit direct avec la Caisse des dépôts, mais également avec BPI. Donc là, le groupe Caisse des dépôts est assez riche, très hétérogène, mais très cohérent, et effectivement avec des missions transvertes au service des Français et de l'intérêt public.

• Speaker #0

  Merci pour cet éclairage. Vous avez aussi piloté la cybersécurité... à la Société Générale, puis à la Caisse des dépôts. Deux mondes à la fois proches et assez différents, d'un côté la logique de performance et de rentabilité, et de l'autre la mission d'intérêt général. En quelques mots, quelle est selon vous la principale différence entre sécuriser une institution publique comme la Caisse des dépôts et une banque commerciale ? Qu'est-ce qui change concrètement dans la façon de gérer les risques, les budgets et la gouvernance de la sécurité ?

• Speaker #1

  Alors, moi je pense que la sécurité c'est la même.

• Speaker #0

  Oui.

• Speaker #1

  Il n'y a pas de différence à sécuriser la caisse dépôt qui est effectivement un énorme volet financier ou la société générale. Oui, il y avait une logique de performance très forte à la société générale, mais elle existe aussi à la caisse des dépôts. Donc, les budgets étaient contraints à la société générale, sont contraints à la caisse dépôt. Et encore plus contraints à la caisse dépôt parce qu'effectivement, il y a une logique de dépenser l'argent public correctement. Donc, beaucoup de choses sont similaires. Bien que la principale différence n'est pas tant sur le volet sécurité, mais plus sur le volet souveraineté. Et là, ça fait écho à ce que je vous disais sur la stratégie qui est portée par notre directeur général Olivier Sichel, où la souveraineté prend toute son importance. Et je pense que vous l'avez vu ces derniers mois, avec les élections américaines qui ont bouleversé complètement le monde entier, en particulier l'Europe, on s'est rendu compte que finalement... cette logique de souveraineté qui était portée depuis longtemps par la sécurité, les équipes sécuritaires ont porté cette logique de souveraineté dans la protection des données, de faire attention aux données, de ne pas tout mettre dans des cloudeurs américains notamment. Et on voit que ça prend une importance encore plus forte. Et là, je suis assez content effectivement d'être à la caisse des dépôts, puisque ça fait longtemps que la souveraineté est dans notre ADN. Ça a été renforcé avec le nouveau directeur général. accélérer notre stratégie sécurité et souveraineté. On a un clodeur interne qui est NumSpot, donc c'est un clodeur souverain qui vient concurrencer les autres clodeurs du marché.

• Speaker #0

  D'accord. Alors que ce soit dans une banque internationale ou dans une institution publique, une crise informatique, elle a toujours des conséquences humaines, des clients bloqués, des citoyens privés de service, des salariés sous pression. La différence, c'est peut-être la nature de l'impact économique d'un côté et plus sociétal de l'autre ?

• Speaker #1

  Sociétal et en termes d'image, la caisse dépôt est un tiers de confiance. Donc si effectivement on devait faire face à une attaque dans laquelle on venait à perdre des données clients ou que nos services étaient indisponibles pendant un temps important, notre image de tiers de confiance forcément serait cornée. très longtemps à avoir ce tiers de confiance, mais on le sait, au premier incident, cette image-là risque d'être écornée, salie, peut-être détruite sur un seul incident. Donc, effectivement, il y a une pression très forte sur un niveau de sécurité qui doit rester au meilleur niveau, conserver cette image de tiers de confiance, et effectivement, l'impact ne serait pas forcément directement financier, encore que, puisque la caisse dépôt c'est aussi une banque, la Banque des Territoires.

• Speaker #0

  Oui.

• Speaker #1

  Donc, on a euh... un certain nombre de flux sociaux qui passent par la caisse dépôt. Donc, énormément d'argent passe par la caisse dépôt. Donc, il y a de l'argent qui passe là. Donc, on sait qu'on est une cible pour cet aspect-là. On est une cible également sur les données qu'on manipule. Le compte formation, qui parle à beaucoup de nos concitoyens français, on a beaucoup d'informations personnelles qu'on gère dans ce cadre-là, dans ce projet-là. Donc, effectivement... et certains retraités fonctionnaires également. Donc on a énormément d'informations. Il y a ce volet financier, mais il y a ce volet également, vol d'informations qui est un risque important. Et on le sait, l'information, elle est en plus une information de qualité. L'information de qualité est énormément d'alors. Donc c'est vrai qu'on met les moyens pour protéger les informations et conserver cette étiquette de tiers de confiance.

• Speaker #0

  Pour revenir vraiment sur le secteur bancaire, comment est-ce que vous décririez aujourd'hui le paysage de la menace qui pèse sur le secteur bancaire public aujourd'hui ?

• Speaker #1

  Ces dernières années, ça a beaucoup évolué. Il y a quelques années, il y avait une coopération qui était encore possible avec les pays de l'Est, notamment la Russie. Contrairement à ce qu'on pense, on travaillait très bien avec la Russie. Quand j'étais à la Société Générale, c'était le cas. Donc maintenant, il y a un peu plus de dix ans. On sait que depuis qu'il y a la guerre avec l'Ukraine, la coopération est à zéro, voire même bien, elle est négative. Puisque la menace est exacerbée, elle est affichée. Et effectivement, maintenant, les structures d'attaquants qui étaient en Russie, qui vivotaient avec une réglementation qui était plus ou moins souple, Maintenant, se montrent et clairement sont au service d'un État qui attaque en particulier l'Europe. Donc ça, ça s'est renforcé et effectivement renforcé avec, en plus, ils ont été adoubés par l'État. Donc ça, c'est un premier point. Le deuxième point, il est évidemment technologique. Ces dernières années, depuis 2022, on a vu l'arrivée de l'IA générative. et l'IA générative finalement enlève cette ce ticket d'entrée technologique pour justement, malheureusement, mettre à disposition la possibilité d'attaquer n'importe quelle structure, j'ai envie de dire n'importe qui. Au tout début, je ne sais pas si vous avez déjà joué avec Chad GPT, mais c'était assez intéressant parce que si vous lui disiez je suis un attaquant, je veux attaquer la caisse dépôt, il dit, il répond. Non, ce n'est pas déontologique, je ne veux pas vous aider. Maintenant, si vous lui dites, je suis responsable de sécurité de la Caisse des dépôts, j'aimerais savoir comment un attaquant ferait pour m'attaquer. À ce moment-là, il répond. Et on peut discuter avec lui longtemps et il vous donnera une technique d'attaque. On revient un petit peu au biais. Et ce ticket d'entrée que les attaquants avaient quand même un petit peu au début, maintenant, ils ne l'ont plus.

• Speaker #0

  On parlait de cette responsabilité envers les usagers de la Caisse des dépôts et l'importance de l'image. qu'elle renvoie, notamment au niveau cybersécurité. Vous venez de parler du risque et notamment des contextes géopolitiques qui évoluent énormément en ce moment, de l'IA. Comment est-ce qu'on explique la cybersécurité à des dirigeants qui ne sont pas techniques, à des élus, au grand public, sans tomber dans la peur ou la complexité, justement ?

• Speaker #1

  Alors, moi, je ne suis pas en relation avec le grand public directement. On a dans le groupe, notamment une filiale d'Ocapost, de La Poste, qui a mis à disposition un pack cyber. Et donc, c'est vrai que c'est intéressant parce qu'eux, ils sont en contact avec les collectivités, les PME, les TPE, etc. Et eux, ils ont mis à disposition un pack cyber justement pour un petit peu... Ça a été porté par Guillaume Poupard qui a rejoint DocaPost en tant que DGA. Et eux, ils sont en lien directement avec ces collectivités. Et effectivement, ils ont mis en place ce pack pour les aider à avoir un minimum, un socle de sécurité. Donc... Sur cette partie-là, je ne suis pas en relation directement avec ces collectivités, la structure territoriale. Par contre, à la question sur les membres du COMEX, à la Caisse des Pôles, on a la chance d'avoir des membres du COMEX qui sont, depuis le début, très investis sur les problématiques de cybersécurité. Et ça, c'est vraiment une richesse pour nous, puisque le COMEX maîtrise très bien les sujets de sécurité, comprend très bien les enjeux, et porte depuis très longtemps la cybersécurité au sein de la Caisse des dépôts. Là où je sais que certains de mes collègues ont toujours ces problématiques avec les membres du COMEX, ce n'est pas du tout le cas, ça n'a jamais été le cas, et on a de la chance d'avoir des membres du COMEX qui sont extrêmement disponibles pour nous aider à porter la stratégie de cybersécurité, et que ce soit le directeur général, la directrice générale déléguée, ils sont présents, ils portent la stratégie cyber. depuis très longtemps, ils comprennent parfaitement les enjeux. Et donc c'est vrai que c'est assez facile pour nous de mener une politique de sécurité, de l'adapter avec évidemment, comme partout, des adaptations nécessaires en fonction du contexte. Et c'est vrai que nous on a la chance d'avoir un COMEX mature.

• Speaker #0

  C'est effectivement intéressant parce que ce n'est pas le cas partout. Les systèmes financiers, les réseaux publics et les plateformes numériques forment aujourd'hui les infrastructures vitales de notre société. Leur interdépendance crée une nouvelle fragilité où une faille locale peut provoquer un effet domino national. Est-ce qu'on est encore capable en France de piloter cette résilience de manière coordonnée ou est-ce qu'on reste prisonnier d'une approche en silo, en tracteur ?

• Speaker #1

  Aujourd'hui, on est, je trouve, de mieux en mieux coordonné.

• Speaker #0

  Ok.

• Speaker #1

  Donc d'une part, les acteurs publics travaillent beaucoup ensemble. Nous, on est très très proche de la Banque de France. On travaille beaucoup avec les équipes de la Banque de France. On a des mécanismes de résilience qui permettent, évidemment, on prévoit les pires scénarios, destruction partielle ou complète de notre système d'information avec des mécanismes de reprise que la Banque de France pourrait porter dans certains cas et d'autres acteurs. Donc ça c'est vrai que... On a une vraie collaboration avec les différentes entités. On a également une forte collaboration avec l'ANSI. Là, ils viennent de terminer l'exercice Rempart 25. Il y avait à peu près 1000 acteurs qui étaient présents, dont de nombreux acteurs publics. Et je crois que c'était sur 8 fuses horaires. Donc c'était quand même un exercice, une simulation qui était de grande ampleur, à grande échelle. Et ça montre la collaboration qu'on a. On a un CERT, le CERT est en contact avec tous les CERT, donc à l'inter-CERT notamment, donc les CERT français, on est présent également au TFC CERT européen et au FIRST plutôt américain. Et les CERT discutent tous les jours ensemble, et effectivement on a une stratégie commune, il n'y a pas de conquiant sur la cible d'insécurité.

• Speaker #0

  On vous parlait de stratégie commune, la Caisse des dépôts c'est un acteur privé. entre l'État, les territoires et le monde économique. Mais à chaque crise, le moindre maillon peut paralyser un service. Concrètement, comment est-ce qu'on orchestre la responsabilité partagée sur cette chaîne ? Est-ce que vous pouvez citer un cas où un partenaire a permis d'éviter l'effet domino, par exemple ?

• Speaker #1

  Il y a quelques années, ça remonte un peu, ils avaient communiqué très largement. Donc, Soprasteria, en 2020, avait eu un incident de sécurité. Nous, on utilise des produits de Soprasterien, notamment dans la banque. Ils ont été extrêmement réactifs, extrêmement transparents dès le début. Je trouvais que c'était un cas d'école hyper intéressant, puisque dès le début, on a eu une attaque. C'était Riuque qui avait fait parler à Ronson Moller. Ils ont été très transparents dans leurs investigations, parce qu'au début, quand on gère une crise, il y a quand même beaucoup d'incertitudes. Et c'est vrai qu'on a, à ce moment-là, pu prendre des bonnes décisions sur notre système d'information grâce à eux, grâce à cette transparence. Et honnêtement, moi, j'ai toujours trouvé que cette crise-là avec Sorpresteria était un cas d'école, puisque c'est vrai que je pense qu'aujourd'hui, plus personne n'a peur de parler de sa nation de sécurité, parce que tout le monde peut en avoir, tout le monde en a, plus ou moins grave. Il n'y a plus de honte autour de ça. Il n'y a plus de honte parce que de toute façon, en face de nous, on a des gens qui ont des moyens démesurés et de toute façon, on se dit « ça peut arriver à tout le monde » . Donc, il n'y a pas de moquerie d'avoir été attaqué. Là, en fait, en général, la réaction qu'il y a eu sur le passage, c'était une très, très bonne réaction. Ils ont tout de suite été transparents avec leurs clients. Donc, très vite, on a pu prendre une décision. On a eu des discussions avec eux très intelligentes. On s'est dit « jusqu'où on devait aller dans nos niveaux de protection ? » en fonction de leurs investigations, ils ont été très clairs dès le début, et nous... ça nous a permis de prendre des bonnes décisions, d'arrêter les mesures, les contre-mesures qu'on avait mises en place parce qu'il fallait mettre des contre-mesures en place. Et effectivement, c'est un cas d'école. Je pense qu'en 2020, cet exemple-là, c'est un vrai cas d'école. Pourtant, c'était une partie Covid, donc ce n'était pas un environnement très agréable. Et là, clairement, grâce à ça, grâce à leur professionnalisme, on a pu éviter un effet domino.

• Speaker #0

  Et à l'inverse, est-ce que ça vous est déjà arrivé d'avoir un cas où l'absence d'alignement a... à bloquer tout un service ?

• Speaker #1

  Je n'ai pas en tête d'exemple. Ce n'est pas que je ne veux pas en parler. Je n'ai pas en tête d'exemple où je me suis dit, là, vraiment, ils n'ont pas été bons.

• Speaker #0

  C'est rassurant.

• Speaker #1

  C'est rassurant parce qu'encore une fois, je pense qu'il n'y a plus de honte. avoir un incident. Parce que tout le monde, on peut avoir les meilleures équipes de sécurité et je pense qu'on a beaucoup d'entreprises en France, on a très très bonnes équipes de sécurité, ça peut arriver à tout le monde. Et donc quand il y a un incident, les équipes de sécurité collaborent très très vite, les CERT collaborent très vite, échangent les fameux IOC, indices de compromission, et tout le monde peut prendre les bonnes décisions pour éviter une propagation, une contagion. maintenant, il n'y a plus de honte. Et très souvent, dernièrement, il y a eu un incident d'une petite structure de sécurité qu'on utilisait. Le RSS s'est appelé en disant « j'ai eu tel problème, les aïeussies, en avance de phase du communiqué de presse. » On voit que c'est maintenant rentré dans les mœurs. Et tant mieux. On a passé cette phase restons heureux, restons cachés. On n'en parle à personne, parce que tout le monde sait de toute façon. Et en plus, vous devez déclarer les incidents.

• Speaker #0

  Oui, elle s'est obligée.

• Speaker #1

  Il y a la réglementation. De toute façon, Plutôt que de se dire « je vais cacher et ensuite, de toute façon, je vais devoir le dire, je n'aurai pas appelé mes clients, mes contreparties » , de toute façon, ça va, autant leur faire gagner du temps et déstresser.

• Speaker #0

  Effectivement, oui. Alors tout à l'heure, vous parliez du poids géopolitique qu'il y a en ce moment, de la guerre informationnelle, de la cybercriminalité organisée. Nos infrastructeurs sont devenus des armes économiques ou des cibles, ça dépend comment on voit les choses. Les règles d'équivalence et les cadres transfrontières ont parfois été invalidées ou gelées, compliquant des transferts de données, des choix de cloud ou d'interconnexion. Dans ce contexte, comment est-ce que la Caisse des dépôts arbitre-t-elle ses partenariats technologiques, juridiques, opérationnels pour rester ouverte sans s'exposer ? Est-ce que vous avez un exemple ou un cadre d'équivalence bloqué qui a réellement paralysé un projet ?

• Speaker #1

  Je ne sais pas s'il y a des arbitrages de ce type-là. Au niveau informatique, je n'en vois pas. Par contre, ce qui est intéressant, début juillet, on a la Caisse Dépôt avec Decaposte, avec RTE, lancé l'indice de résilience numérique. Et on a eu la chance d'avoir la ministre qui était venue d'ailleurs, du numérique, faire le lancement. Ce qui est intéressant, c'est qu'effectivement on a été rejoint par d'autres partenaires, CMA, CGM, je crois que la Total, Orange, Aéroports de Paris, j'en oublie sûrement. Et ce qui est intéressant, c'est qu'effectivement cet indice de résilience humaine fait écho à cette volonté de souveraineté. Donc c'est l'initiative aujourd'hui française, mais je pense qu'en général les Français on est plutôt bons sur les idées. Là on va fournir des outils pour pouvoir dérouler. Et je pense que l'Europe, probablement, j'espère, s'inspirera de ce qu'on va faire pour justement mesurer cette dépendance aux technologies américaines, qui aujourd'hui est un risque, puisqu'on sait qu'il y a un président américain qui peut prendre des décisions parfois difficiles à comprendre. Et donc il y a quand même une crainte que demain on puisse plus accéder aux technologies américaines. Il faut savoir que le CICREF fait une étude très intéressante, la consommation numérique de l'Europe. c'est un peu plus de 260 milliards par an sur les technologies américaines. Donc on voit qu'il y a quand même une manne importante. Peut-être que ça vaudrait le coup de se poser des questions. Je pense que cet indice de résilience numérique, IRN, va nous permettre de répondre à cette question-là. C'est-à-dire, quelle est notre exposition et quelles stratégies on peut peut-être mettre en place pour en sortir ?

• Speaker #0

  Oui, c'est intéressant. Et justement, vous parlez de souveraineté numérique. C'est un sujet qui revient sans cesse. On parle des géants américains, il y a également la Chine. Mais la souveraineté, ça ne se résume pas à une posture politique. Ça dépend aujourd'hui de notre capacité à produire, à héberger et à protéger nos propres infrastructures numériques. Il y a le rapport Draghi, entre autres, qui pointe à un paradoxe. L'Europe règlemente mieux qu'elle n'innove. Elle crée les règles du jeu sans toujours être sur le terrain. Selon vous, où en est réellement la France et la Caisse des dépôts en particulier dans cette quête d'autonomie numérique ? Est-ce qu'on peut parler d'une souveraineté en construction ou d'une dépendance que l'on gère avec pragmatisme ?

• Speaker #1

  C'est une bonne question. Où en est la Caisse ? Je vous l'ai dit, la Caisse, c'est un acteur économique important du tissu français-européen, français évidemment. On a la Caisse d'époque qui a investi dans des structures françaises et on a BP également. On le voit, moi je suis plus mesuré, je pense qu'effectivement on est très bon en Europe pour réguler, on le sait, c'est toujours la plaisanterie, Tesla envoie des fusées sur la Lune, la Chine copie et l'Europe régule. Par contre ce qu'on voit c'est qu'on a quand même de très belles entreprises françaises, européennes, qui sont des leaders. Aujourd'hui, on a Mistral sur la partie LLM. C'est donc BPI a investi dedans. On a des structures françaises. Ça fait longtemps qu'on a des très bonnes structures françaises en cyber dans lesquelles BPI a investi, dans lesquelles les dépôts ont investi. Donc, il y a Géry, Acuity, il y en a plein d'autres. Et donc, en l'occurrence, je pense que le... La souveraineté, elle est peut-être en construction, mais elle est vraiment en accélération. Et je suis content finalement de ce qui se passe avec les Américains, puisque ça permet de réveiller les consciences. Ça nous force tous. Alors, la crise des postes, ça fait longtemps qu'on a une conviction souveraine, mais c'est vrai que maintenant, on le voit, tous les délicits se réveillent. Je pense que le voyage de Noce est fini, la nuit de Noce est terminée, c'est fini en cauchemar. Et donc, avant que ce soit réellement un cauchemar, il faut réagir. Et là, je pense que... Tous les DSI sont en train de réagir, l'IRN va prendre et on va accélérer notre souveraineté puisque tout cet argent, je parle de plus de 260 milliards, c'est quand même énorme, qui part aux États-Unis pour le numérique, si une partie de cet argent, 10, 20, 30, 40%, j'en sais rien, va vers la R&D en Europe, en France, forcément on aura des leaders européens, français, qui seront du même niveau. L'excuse de dire « je vais prendre une boîte américaine parce que les technologies sont meilleures, mais si on continue de donner de l'argent pour l'aérodynamicaine, forcément que les technologies françaises et européennes ne vont pas avancer. »

• Speaker #0

  Et en plus, on a des très bons ingénieurs, on forme en Europe… C'est excellent.

• Speaker #1

  Il y a d'excellentes écoles d'ingénierie, les mathématiciens français sont parmi les meilleurs dans le monde. On a des prix Nobel de mathématiques, et donc il n'y a pas de raison, on a tout pour réussir.

• Speaker #0

  Exactement. Alors quand on va plus loin et qu'on s'intéresse aux chiffres, 83… 3% du marché européen du cloud est détenu par des entreprises américaines et nos modèles d'IA dépendent encore majoritairement de GPUs produits hors d'Europe. Est-ce que la France et ses grands acteurs publics, comme la Caisse des dépôts, peuvent encore peser sur cette chaîne de valeur ? Est-ce qu'il faut viser une souveraineté totale ou plutôt une autonomie stratégique intelligente concentrée sur quelques segments clés qu'on peut réellement maîtriser, le cloud, la cybersécurité ?

• Speaker #1

  Je t'ai parlé du cloud tout à l'heure. Dans le groupe Caisse et dépôt, on a une filiale qui s'appelle NumSpot, qui est effectivement un cloud souverain qui a vocation à devenir un leader en France et en Europe de la souveraineté. Donc c'est un projet aujourd'hui qui est en production et effectivement les infrastructures fonctionnent. Je pense que tous les ingrédients sont réunis pour en faire un acteur très sérieux dans l'écosystème de souveraineté porté par la France et l'Europe. Donc on n'a pas à se dire que face à WS, Microsoft et Google, on ne peut rien faire, ce n'est pas vrai. Là, on a une vraie stratégie, on a des gens compétents qui gèrent cette structure-là, on a de très bons ingénieurs, donc il n'y a pas de raison que ça ne réussisse pas. la seule raison qui... qui pourrait faire que ça ne fonctionne pas, c'est que les DIC continuent de donner leur argent à des boîtes américaines. Donc, il n'y a pas de raison. Aujourd'hui, on a quelque chose qui fonctionne. Et Newspot, moi, je suis certain que ça devenait un leader du cloud souverain.

• Speaker #0

  Très bien. En tout cas, merci pour cette réponse qui est rassurante et qui donne de l'espoir. J'aimerais parler un peu innovation et régulation maintenant. On a entendu beaucoup. beaucoup parlé de DORA, une réglementation qui est dédiée au secteur bancaire, BAL3 ou encore le RGPD qui cherche à encadrer toutes ces mutations et ces innovations. Est-ce qu'il faut voir un frein à l'innovation ou au contraire un moteur de maturité numérique dans ces réglementations ?

• Speaker #1

  C'est une question qui est très compliquée. Moi, j'ai envie de dire de toute façon, on n'a pas le choix. Il faut le voir Quand on regarde le RGPD, quand on a lancé le RGPD en Europe, c'est vrai que les Américains se sont moqués de nous, en disant « encore un truc foncé, nous on mettait avec la taxe, etc. » Et après, quand on a regardé ce qui s'est passé aux Etats-Unis, il y a une prise de conscience sur le fait que les grandes entreprises de réseaux sociaux américaines utilisaient gratuitement l'ensemble des datas privées. Il y a eu une prise de conscience et certains grands patrons ont dû aller s'expliquer sur ce qui faisait. Et puis les données, finalement, ne sont plus protégées qu'avant avec le droit de retirer ces datas, etc. Mais finalement, je pense qu'il y a toujours du bon dans la réglementation. Ça permet de mettre un stop sur les excès. Parce qu'effectivement, si ça n'avait pas été possible, on aurait continué de faire n'importe quoi avec nos données qui ont une certaine valeur. Sans votre consentement. Donc moi, personnellement, si j'utilisais un réseau social, je n'ai pas envie que mes photos circulent, que l'IA regarde mes photos, etc. Donc moi, je pense qu'effectivement, dans un premier temps, c'est toujours un petit peu un choc. Ensuite, quand on regarde le fond, la Dora apporte des choses qui sont extrêmement positives sur la résilience. Ce qui est écrit dans la Dora est extrêmement intelligent. sur la matière résilience. Quand on regarde l'IA Act, on peut se dire oui, c'est un frein à l'innovation autour de l'IA. Mais quand on regarde comment c'est fait, c'est aussi intelligent dans le sens où on va protéger les... en l'occurrence, l'usage de l'IA. Est-ce que vous avez vraiment envie demain que l'IA gère votre vie personnelle dans l'entreprise sans contrôle ? Alors, bon, c'est non. Donc, je trouve que c'est très intelligent. Je pense qu'il faut le voir comme quelque chose de toute façon qui est obligatoire. voire en prendre le côté positif, il y a toujours du positif dans ces réglementations-là, et puis essayer effectivement de faire des projets intelligents autour de ces réglementations. C'est ce qu'on essaie de faire.

• Speaker #0

  Dans la continuité du prisme innovation versus régulation, j'aimerais qu'on parle de Shadow AI maintenant. Pour rappel, le Shadow AI, c'est l'utilisation non autorisée ou non supervisée d'applications ou de services d'intelligence artificielle. Comment est-ce que la Caisse des dépôts évalue-t-elle le risque posé par le Shadow AI au sein des établissements bancaires ? Et quelles sont selon vous les règles, les bonnes pratiques essentielles à mettre en place pour prévenir les fuites de données, garantir la conformité réglementaire et préserver la sécurité des infrastructures informatiques dans ce contexte ?

• Speaker #1

  La planète est très innovante là-dessus. Je pense que toutes les banques font à peu près la même chose. Globalement, on a une appétence au risque qui est quand même assez faible, comme les banques, et notamment sur les aspects de sécurité, de fuite d'informations. Donc ce qu'on a fait, c'est à peu près pareil chez tous nos collègues, on a décidé de fermer tout ce qu'on ne maîtrise pas. Donc pour éviter effectivement le shadow AI, on a décidé de fermer toutes les IA. Déjà, c'est vrai qu'il y a des IA considérées quand même assez dangereuses, il y a pas mal d'IA chinoises et autres. On est en train également de regarder évidemment comment mieux réguler à l'intérieur. Donc on a mis en place une gouvernance autour de l'IA, on a mis en place une charte de l'IA. Et on a mis en place effectivement des filtrages sur ce qu'on considère comme étant dangereux.

• Speaker #0

  Donc c'est à peu près, je pense, que toutes les banques sont en train de faire. Et c'est…

• Speaker #1

  Un salarié d'une banque française ne peut pas avoir accès à ChatGPT pour…

• Speaker #0

  Donc effectivement, on a décidé de fermer un certain nombre de chatbots. On a mis… Alors quand on ferme, on ferme par exemple, on ferme des brouilloux, on a mis à disposition une solution interne sécurisée, à disposition de l'ensemble des salariés. Donc évidemment, il y a une alternative. On n'a pas fermé sans alternative. Donc on a travaillé sur une alternative, une fois que l'alternative interne, une fois que l'alternative était viable, donc basée sur des modèles de l'élève, en l'occurrence on a une alternative en interne basée sur le bistral, et donc cette alternative on considère qu'elle est largement au niveau d'autres chatbots connus, et on a décidé de fermer tous les autres. On a quelque chose d'un très bon niveau. Il n'y a pas de raison d'essayer l'usage d'autres chatbots. Il n'y a aucune raison à ça.

• Speaker #1

  Et quand on va plutôt dans la partie métier technique, cyber, comment est-ce qu'on convainc les métiers qui sont souvent séduits par l'IA, ces métiers-là, ces métiers techniques, comment est-ce qu'on les convainc de respecter les règles sans freiner l'innovation finalement ?

• Speaker #0

  En fait, on leur met à disposition les mêmes technologies. Donc, effectivement, Encore une fois, avant de fermer, on a mis à disposition des alternatives. Donc on leur met à disposition des alternatives, on leur explique pourquoi il faut utiliser ces alternatives-là, quels sont les risques de ne pas les utiliser. Il y a quand même des risques de fuite d'informations, d'usage des informations pour l'apprentissage. Quand on utilise quelque chose sur Internet, en général les données sont réutilisées, sans parler des fuites d'informations. Donc moi, je ne peux pas garantir la sécurité d'informations qui sont sorties du SI. Et effectivement, on leur met à disposition des alternatives. On est très proactif avec nos métiers. Et dans ce cadre-là, on est amené à mettre à disposition des solutions tout à fait équivalentes.

• Speaker #1

  Pour aller plus loin dans le sujet de l'innovation, j'aimerais faire un petit focus sur les métiers du SOC. Depuis quelques années, on a beaucoup parlé de fatigue cyber, de la multiplication des alertes, de la surcharge réglementaire, de la pression permanente. On a même vu fleurir des thèmes d'événements comme CISO Under Siege, donc la pression sur la fonction, elle explose de plus en plus. Dans ce contexte, les approches et les organisations actuelles sont-elles encore pertinentes face à l'évolution des technologies, des profils et des menaces ? Ou alors est-ce qu'il faut repenser ces modèles ?

• Speaker #0

  Le modèle, il est repensé tout le temps. Le SOC qui existait il y a dix ans, Et puis le SOC d'aujourd'hui, il serait dommage de laisser penser qu'effectivement le SOC ne se repense pas. Les technologies évoluent, l'organisation du SOC évolue, ce qu'on demande aux analystes évolue, ça change rapidement. Là, ça fait maintenant deux ans qu'on regarde comment utiliser l'IA, comment intégrer l'IA. C'est vrai qu'il y a la fatigue, ce qu'on appelle la fatigue des équipes. Donc ça, on est en train de leur mettre à disposition des outils qui leur permettent de ne plus tomber dans cette fatigue. Et ils ont des outils modernes, donc leur façon de travailler a beaucoup changé. Puisque les volumes ont augmenté, le volume d'attaque a augmenté, la technicité a augmenté, forcément leur façon de travailler a changé.

• Speaker #1

  Vous pensez que l'IA peut soulager à terme cette fatigue ?

• Speaker #0

  L'IA va soulager pour moi, en fait, l'IA. va clairement soulager les analystes. Moi, je pense que ce qui est fait aujourd'hui, on va dire, analyse de niveau 1, dans trois ans peut-être, peut-être avant. C'est difficile de se projeter, donc je n'aime pas faire des projections, mais je pense que dans deux à trois ans, ce niveau 1 sera remplacé par des IA. Alors, ça ne veut pas dire que les personnes vont être remplacées, c'est-à-dire que les personnes font des choses plus intéressantes, puisque dans ce travail de niveau 1, il y a des choses qui sont quand même très répétitives. Donc tout ce qui est répétitif est fatigant, et effectivement, on va les positionner sur des tâches avec des valeurs ajoutées qui seront nettement supérieures. Typiquement, de réfléchir sur des nouvelles règles de corrélation, d'adaptation des dispositifs de surveillance, et donc ces personnes-là vont enlever leurs tâches désagréables, sans valeur ajoutée, pour les donner à une IA, à des agents, et eux feront autre chose.

• Speaker #1

  Effectivement, c'est un peu le sujet de votre atelier de demain aux assises. Vous allez revenir sur l'utilisation du NDR, de Gatewatcher, dans votre SOC, avec l'émergence des IA génératives, des LLM et des IA agentiques. Comment voyez-vous l'évolution du centre de supervision de demain ?

• Speaker #0

  Ce que je dirais demain matin, effectivement, donc déjà je suis content d'avoir une technologie européenne pour mon SOC, avec un ADN français. Clairement, toutes ces briques-là contribuent à aller vers un SOC autonome, avec des analystes augmentés, et à mon avis sur certaines fonctions remplacées définitivement par des agents IA. Clairement, on le voit, toutes ces tâches très répétitives, sans valeur ajoutée et très chronophages, et qui permettront aussi d'assurer un 24-7, puisque l'agent ne dort jamais. Et ça qui est intéressant, c'est effectivement, pour moi, le socle de demain, l'IA va, et en plus avec les volumes d'attaques qui vont augmenter, parce que comme je disais en tout début, il y a en face des attaquants, ça fait longtemps qu'ils ont intégré l'IA dans les attaques, complètement intégrés, ils ont déjà des agents d'attaque. Donc nous, on va avoir ces masses d'attaques, et sans arrêt, vous allez avoir l'équivalent de pen-test contre les infrastructures en permanence.

• Speaker #1

  Oui, donc il faut automatiser la réponse. Il faut automatiser la réponse.

• Speaker #0

  Si on n'automatise pas la réponse, ce serait une bêtise. Donc là, en l'occurrence, cette réponse va être automatisée. On va avoir un SOC qui va être quasi autonome, ou autonome dans quelques années, avec des analyses qui vont rester. J'insiste là-dessus, on ne va pas remplacer les humains. Ces analyses vont rester, et ils vont se concentrer sur des tâches extrêmement complexes. et d'évolution par rapport à l'évolution des attaques et donc des règles de surveillance.

• Speaker #1

  Effectivement, il y a des sociétés comme Gatefatcher qui proposent une approche SOC autonome pour automatiser, comme vous dites, jusqu'à 80% des tâches chronophages d'un analyste. Et donc, ça permet à ces analystes SOC de pouvoir se concentrer sur l'essentiel. Une dernière question avant la fin de cet épisode. Est-ce que vous avez un exemple concret où la vigilance humaine a permis de déjouer une attaque ?

• Speaker #0

  J'en ai plein, mais encore une fois, je vais reboucler ce que je vous disais tout à l'heure. La Caisse des Ponds a la chance d'avoir un COMEX qui est extrêmement vigilant sur les aspects de sécurité. Et évidemment, ils sont extrêmement attaqués, comme dans tous les COMEX. Et dernièrement, on a eu une tentative de fraude au président sur les directeurs généraux, mais ça a toutes les structures longues. Et là, très rapidement, c'est intéressant parce que c'est le directeur général qui nous a prévenu qu'il y avait effectivement dans ses collègues directeurs généraux de filiales une tentative d'attaque de fraude au président. Donc ça a permis tout de suite, via le CERT, d'informer l'ensemble de nos filiales et de stopper l'attaque. Et ce cas-là, toutes les banques l'ont en permanence. La fraude au président, c'est une des attaques les plus connues. Mais là, c'est intéressant parce qu'effectivement, c'est le directeur général qui nous a prévenus. Elle est avec la directrice générale déléguée, qui est également extrêmement présente sur les sujets de sécurité. Et là, on voit que cette sensibilisation qu'on a eue depuis plusieurs années fonctionne parfaitement. Et là, on a été très vite pour réagir, très vite pour prévenir les filas, et donc très vite pour arrêter une potentielle attaque qui aurait pu dégénérer.

• Speaker #1

  Et donc là, grâce à ce type d'initiative Sock Autonome, l'humain pourra encore plus déjouer des attaques.

• Speaker #0

  Exactement, c'est exactement ça.

• Speaker #1

  Très bien, c'est la fin de cet épisode. Merci à vous, Christophe Cavraud, de vous être prêté au jeu de mes questions.

• Speaker #0

  Merci, merci Anne-Laure.

• Speaker #1

  Merci à vous tous qui nous écoutez. J'espère que cet épisode vous a plu. Retrouvez les clips vidéo de cet épisode sur mon LinkedIn, Anne-Laure Delarivière. N'hésitez pas à nous suivre sur toutes les plateformes d'écoute et à nous laisser 5 étoiles sur Apple Podcast. À très vite dans l'œil de la cyber.

• Speaker #0

  Merci, au revoir.