[Micro trottoir - Forum INCYBER] - Comment convaincre un COMEX d'investir dans la cyber en 15 secondes ? | INCYBER Voices

Description

💥 “Plutôt investir quelques milliers dans une équipe de détection… ou plusieurs millions en rançon ?”

Comment convaincre un COMEX d’investir dans la cybersécurité… en moins de 15 secondes ?

🎙️ C’est la question que nous avons posée dans les allées du Forum InCyber à Lille, à une douzaine d’experts et décideurs du secteur.
Résultat : un micro-trottoir sans filtre, porté par Melissa Perié Bretton pour le podcast InCyber Voices.

🎯 À écouter d’urgence pour affûter vos arguments face aux COMEX.

#ForumINCYBER #INCYBER #InCYBERNews
#cybersécurité #CISO #COMEX #NIS2 #riskmanagement #ransomware

Merci à nos participants : Fabrice Deblock, Florian Bombard, Hadi El-Khoury, Thibaud Binetruy, Eric Vetillard, Charlie Bromberg, Thomas Menard, Stéphane Tournadre, Eric Singer, François Deruty, Guillaume Chouquet, Florence Puybareau

Un podcast de la marque INCYBER

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour à tous et bienvenue dans InCyber Voices. Pendant le forum InCyber, je me suis amusée à poser une question d'apparence plutôt simple aux pros de la cybersécurité. Comment convaincre un comex d'investir dans la cyber en moins de 15 secondes ? Allez, c'est parti pour une microcapsule de quelques minutes.
Speaker #1
Je suis Fabrice Debloch, journaliste. Je dirais que, bien entendu, le RSSI ou le CISO sécurisent les activités business, les activités d'entreprise, ça c'est évident. Mais je dirais qu'au-delà de ça, le CISO, le RSSI apportent une vraie plus-value, une vraie valeur ajoutée au métier. J'ai un exemple, par exemple, sur une table ronde, un industriel du secteur de l'énergie qui me disait avoir développé un dispositif de supervision réseau sur un système de sécurité dédié à des centrales. Et donc, grâce à ce système, il avait à sa disposition un certain nombre de métriques réseau, mais aussi de métriques métier. Et donc, il était en capacité d'apporter aux différentes... des entités métiers, des solutions sur une échelle de temps très fine pour, par exemple, des opérations de maintenance prédictives.
Speaker #2
Florian Montbar, président de V6 Protect, un éditeur en cybersécurité basé sur Bordeaux. Alors là, l'actualité, je ne dois pas être le seul à en parler, c'est une entreprise qui s'appelle Octave, qui a mis la clé sous la porte il y a de ça quelques jours ou quelques semaines. Octave est un éditeur en logiciel. qui a subi une cyberattaque et il y a eu 50 salariés qui se retrouvent sans emploi. Et au-delà de ces 50 salariés de l'entreprise, il y a tous les sous-satans, les utilisateurs également de la plateforme qui se retrouvent impactés. Et ça touche tout le monde, même les entreprises les moins connues.
Speaker #0
Je suis Adiel Kouri, je suis dirigeant du mouvement numérique. Alors je leur raconte des histoires, des histoires qui peuvent mal tourner. J'appelle ça à moi des hacker stories, c'est-à-dire en tant que méchant, je souhaite faire ceci pour en tirer tel avantage. C'est du storytelling, ça leur permet quelque part... de scénariser ce qui peut mal tourner. On peut le quantifier ensemble en termes de probabilité et d'impact. Et après, c'est une aide à la décision et ils décident ce qu'ils veulent en faire. Et la plupart du temps, quand c'est bien raconté, ils agissent et ils décident. Et ils demandent ce qu'on peut faire pour réduire les risques. Bonjour, je m'appelle Thibaut Binétruy. Je suis responsable du CERF de Suez et accessoirement, Je suis élu au conseil d'administration d'Intercert France. Typiquement, il vaut mieux investir dans une équipe de réponse sur incident, de détection, plutôt que d'aller investir quelques millions d'euros dans une rançon. On peut empêcher des attaques et notamment on le voit bien en 2025, la plupart des victimes de ransomware sont plutôt des structures qui n'ont pas fait cet investissement et qu'il y a quand même beaucoup d'entreprises qui, en investissant et en mettant un peu d'argent pour essayer de se défendre, arrivent justement à éviter les cyberattaques. Donc autant être vertueux et faire quelque chose de positif. Bonjour, je m'appelle Eric Vettillard, je suis de l'ENISA, l'Agence Européenne de Cybersécurité, où je m'occupe de certification de produits et de services. Je pense qu'il faut leur poser une question, et la question c'est alors qu'est-ce que vous ferez le jour où nous sommes victimes d'une attaque massive et qu'au-delà des dégâts qu'on doit expliquer à nos clients et potentiellement des problèmes d'avoir perdu des données cruciales que nous ne pourrons jamais avoir, qu'est-ce qu'on va dire aux régulateurs qui viennent nous voir juste derrière pour nous expliquer qu'en plus nous n'étions pas... conforme à la réglementation, donc nous sommes hors la loi. Charlie Brombert, expert indépendant en cybersécurité. Mon métier, c'est d'accompagner les entreprises à la découverte de leurs vulnérabilités et de les aider à les corriger. Alors, en 15 secondes, j'ai une question à poser aux COMEX. S'ils avaient la possibilité de faire intervenir un cambrioleur chez eux qui aurait pour objectif ni de voler ni de détruire, mais plutôt de conseiller et d'indiquer comment et par où il est passé, est-ce qu'il le ferait ? Moi, je le ferais.
Speaker #2
Thomas Ménard, expert en cybersécurité spécialisé dans les registres distribués. je pense que la meilleure chose Pour les convaincre, c'est de leur faire une simulation d'une compromission de leur infra et de leur donner une estimation de ce que ça pourrait leur coûter d'un point de vue financier, d'un point de vue réputationnel, si un jour ils étaient compromis. Et pour ça, il y a deux manières de le faire. Soit on a un comex qui est déjà, on va dire, ouvert sur le sujet et qui attend juste les arguments. Et ça peut suffire d'avoir une projection chiffrée de ce que ça pourrait coûter, on va dire, d'un point de vue d'expert externe. soit on peut, si on a les capacités en interne, mettre une ou deux personnes qui sont payées pendant un mois à taper le système en interne, en faisant en sorte évidemment que ça reste cloisonné et que ça n'est pas les réels dommages. Mais juste pour montrer à quel point le plus souvent, c'est pas si compliqué que ça, avec de l'ingénierie sociale principalement, ce qui reste le principal risque aujourd'hui dans la cyber, on a beau dire ce qu'on veut, l'humain reste le chaînon le plus faible de la chaîne.
Speaker #3
Alors je m'appelle Baptiste Robert, je suis le... président et fondateur de PredictaLab, une société qui est spécialisée dans l'OSINT, l'Open Source Intelligence. La cybersécurité est présente, que vous le vouliez ou non. Aujourd'hui, la quasi-totalité de nos interactions passent par le numérique. Votre société, que vous soyez une petite société, une très grande société, repose sur votre infrastructure numérique. Et moi, j'aime bien montrer par l'exemple. Et donc, ce que je leur dirais, c'est de dire demain, vous arrivez, il est 9h du matin, 8h du matin, Tous les ordinateurs ne fonctionnent plus. Est-ce que vous êtes capable de survivre ? Est-ce que vous êtes capable de continuer vos opérations ? Je ne demande pas une explication, oui ou non. Est-ce que, mettons que vous mettiez un mois à redémarrer vos systèmes ? Un mois, je suis sympa. Est-ce que vous avez un mois de trésorerie ? Oui ou non. Est-ce que si ça dure six mois, vous avez encore six mois de trésor ? Et c'est de les mettre en situation. Comprendre les chefs d'entreprise et les personnes qui ont des responsabilités, il faut être très factuel, très concret. Vous arrêtez pendant trois mois, est-ce que vous avez la trésor pour ? Oui ou non, c'est simple, c'est binaire. Est-ce que les ordi s'arrêtent ? Est-ce que vous avez une société de logistique ? Est-ce que les camions sont capables de partir à la main ? Vous avez un hôpital, est-ce qu'on est capable de soigner les gens ? Et c'est de revenir encore une fois au bon sens, au fondamental, de dire est-ce qu'on est capable de faire ? Je ne demande pas d'élaborer, de conceptualiser, de théoriser. À un moment donné, il y a un boulot, il y a du business, on est là pour avoir une activité, faire de l'argent. Est-ce que si la cyber, le numérique dans mon entreprise s'arrête, est-ce que je suis capable de faire mon boulot ? Oui ou non ? La réponse est souvent non.
Speaker #4
Je suis Eric Singer, donc j'ai plusieurs casquettes en effet. Je suis d'une part directeur de la chaire cybersécurité de l'ECIIT. L'ECIIT, c'est une école de la Chambre de commerce d'industrie de Paris-Ile-de-France et donc qui prône l'inclusion et la diversité. Je suis aussi CSO, Chief Security Officer de Ingenico. Moi, je suis souvent en COMEX. Je passe toutes les semaines carrément en COMEX aussi. Et donc, comment on discute ? Il faut raconter une histoire. Il faut raconter une histoire parce que c'est compliqué la sécurité et le COMEX ne comprend pas. Et donc, il faut démystifier le sujet de la sécurité. Il faut expliquer clairement avec des mots simples. Montrer comment on protège l'information, quelle est la méthode, quelle est l'histoire. Donc, je vous ai raconté déjà. Définir les risques et que ce soit le COMEX qui soit participe à la définition des risques. Deux, de les embarquer dans la définition de ce qu'il faut protéger. Les embarquer. Les embarquer jusqu'à la mise en œuvre des politiques de sécurité qui doivent eux-mêmes valider. Et après, pour que ça marche avec le COMEX, c'est travailler main dans la main à chaque membre du COMEX, individuellement, leur expliquer, yeux dans les yeux, qu'est-ce que c'est la sécurité et comment on peut s'entraider. Et ne pas être dans l'aspect attentiste, mais plutôt les diriger, les dirigeants. C'est-à-dire aller vers eux et dire, tiens, tu as besoin de faire ça, parce que sinon, tu ne vas pas nous aider.
Speaker #0
Bonjour, François Doriti, je suis en charge du renseignement sur les menaces cyber chez Sequoia.io, une plateforme de détection et de réponse aux attaques cyber pour les SOC. J'essaie de leur dire de ne pas négliger le risque cyber parce que c'est un risque qui coûte très très cher quand on se fait prendre là-dedans. On est encore trop... Comme d'habitude, on attend toujours les catastrophes pour réaliser quelque chose. Et le risque cyber, c'est vraiment quelque chose qu'il faut prendre très tôt. Et il ne faut pas être surtout dans le déni quand ça nous arrive. J'explique souvent ça avec la courbe du deuil. Il faut passer directement le déni, la colère. Il faut passer ces étapes-là. L'acceptation, l'engagement, on gagne beaucoup de temps et du coup, on gagne beaucoup d'argent.
Speaker #1
Bonjour, je suis Guillaume Chouquet, je suis le directeur de l'ESNA de Bretagne. C'est simple, c'est comme si on prend une voiture et on ne fait pas le contrôle technique, et puis on n'a pas d'assurance, et puis on roule. Parfois ça passe, et parfois ça ne passe pas. Et quand ça ne passe pas, ça fait très très mal. Donc voilà pourquoi il faut forcément investir dans la cyber pour protéger ses données et puis éviter de rouler sans assurance et sans contrôle technique.
Speaker #0
Florence Pibarro, je suis la directrice du CLUSIF. Le CLUSIF est une association de référence de la cybersécurité en France. Oui, c'est indispensable d'investir dans la cybersécurité parce que c'est protéger l'entreprise, c'est protéger aussi les salariés de l'entreprise ou la collectivité. Donc c'est indispensable parce qu'une attaque cyber, ça peut détruire une entreprise. Donc il faut investir en cybersécurité. Si cette capsule vous a plu, une Cyber Voices, c'est aussi des formats longs, des interviews et des réflexions de fond. Abonnez-vous pour ne rien louper.