#114 AXA : Frédéric Coppin décrypte les nouveaux défis de la cybersécurité | Les Afters de la Transformation

Description

Découvrez l’expertise de Frédéric Coppin et les nouveaux défis de la cybersécurité.

Alors que les cyberattaques se multiplient et deviennent de plus en plus sophistiquées, les entreprises doivent adapter leurs stratégies pour renforcer leur protection. Entre intelligence artificielle, cybercriminalité et grands événements comme les JO 2024, la cybersécurité est plus que jamais un enjeu stratégique.

Au programme :

L’évolution des cybermenaces : comment les attaques se transforment et quelles sont les nouvelles cibles privilégiées
L’impact des grands événements : retour sur les JO 2024 et les stratégies mises en place pour protéger les infrastructures critiques
L’intelligence artificielle et la cybersécurité : opportunité pour renforcer la protection ou nouvel outil pour les hackers ?
La prévention et les solutions de protection : comment AXA accompagne les entreprises pour mieux gérer leurs risques numériques
Les tendances à venir : quelles innovations et bonnes pratiques adopter pour faire face aux cyberattaques de demain ?

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Anthony Baron
On a eu un événement majeur en 2024 en France, à Paris notamment, qui était les Jeux Olympiques. Est-ce que les Jeux Olympiques, on a pu observer une augmentation des cyberattaques ?
Frédéric Coppin
On a pu observer une augmentation extrêmement importante des cyberattaques pendant les Jeux Olympiques, mais la chance entre guillemets que nous avons pu avoir, c'est que finalement, il y a eu une très très forte anticipation justement de cette augmentation des cyberattaques. Et l'État s'est préparé de façon assez impressionnante pour défendre nos intérêts. et le bon déroulement des Jeux Olympiques. Et donc, vous l'avez, vous, vécu personnellement, finalement, il n'y a pas eu, finalement, d'attaque réussie sur l'organisation des Jeux Olympiques. Les afters de la transformation, le podcast des acteurs qui façonnent l'entreprise de demain. Un rendez-vous qui donne la parole aux dirigeants. Une production Adequancy.
Anthony Baron
Bonjour et bienvenue dans l'émission Les Afters de la Transformation, une émission qui accueille des leaders entreprenants, acteurs de l'économie réelle, portant au quotidien des mutations et des innovations dont les actions impactent notre société. Immersion aujourd'hui dans l'univers de la cybersécurité, nous recevons Frédéric Coppin, directeur technique chez AXA France. Bonjour Frédéric et bienvenue à vous dans ce nouveau numéro des Afters de la Transformation.
Frédéric Coppin
Bonjour.
Anthony Baron
Alors dans cette interview, nous allons revenir sur les éléments de votre parcours, nous allons dresser également un panorama de la protection des sociétés face aux menaces et aux attaques cybersécurité, les solutions que propose AXA, également les nouvelles technologies et l'impact de l'IA sur la cybersécurité et les usages, notamment par les cybercriminels. Alors Frédéric, sur votre parcours, vous êtes ingénieur Arts & Métiers de formation, vous avez débuté votre carrière en tant qu'ingénieur travaux chez Bouygues en 95 et ensuite vous rejoignez le groupe AXA en 2000 en tant que souscripteur construction. En 2003, vous devenez responsable souscription de la branche construction, puis en 2011, directeur régional IARD Entreprises en charge de la région Nord-Est. 2015, move à Madrid en Espagne où vous prenez la responsabilité transversale Entreprises des Pays Immergents du groupe AXA, notamment sur l'Amérique du Sud, l'Afrique, l'Asie, la Turquie notamment. Et depuis juin 2022, vous êtes directeur technique et souscription, grands comptes, performances opérationnelles et marketing du marché du professionnel et des entreprises chez AXA France. Première question pour vous Frédéric, comment vous avez vécu cette promotion et ce retour en France au sein d'AXA ?
Frédéric Coppin
Écoutez, c'est une continuité finalement d'un ADN que j'ai qui est la passion des entreprises, d'accompagner les entreprises. J'ai eu plusieurs expériences finalement en France, à l'étranger, et accompagner aujourd'hui les entreprises pour justement concevoir les offres, les services, et les accompagner au mieux en fonction de l'évolution du marché. Aujourd'hui, on va parler du cyber, notamment de l'évolution des différentes technologies, etc. Eh bien, c'est quelque chose qui me passionne énormément.
Anthony Baron
Parfait. Et vous êtes également vice-président du GAREAT. Le GAREAT, c'est la gestion de l'assurance et de la réassurance des risques attentats et des actes de terrorisme. Et président de la commission des risques entreprises chez France Assureurs. Est-ce que vous pouvez nous parler un petit peu justement du GAREAT ? Quel est le rôle de cette institution ?
Frédéric Coppin
Le GAREAT, suite aux attentats qui ont eu lieu il y a maintenant quelques années, notamment aux États-Unis, a été mise en œuvre pour justement mutualiser finalement ces risques au sein des différentes compagnies d'assurance et de mutuelle, ces risques de dommages matériels suite aux attentats.
Anthony Baron
D'accord. Et votre rôle en tant que vice-président consiste à quoi ?
Frédéric Coppin
D'abord, concevoir finalement la protection de nos sociétés d'assurance et mutuelle, c'est-à-dire de réassurer finalement nos risques. et puis de gérer les quelques sinistres que nous pouvons avoir et puis les estimer surtout dans le temps.
Anthony Baron
Ok, parfait. Merci beaucoup Frédéric en tout cas pour ces explications. Alors AXA France, c'est 29 milliards d'euros de chiffre d'affaires, donc grosse grosse PME, 8 millions de clients particuliers, c'est une PME sur 3 qui est aujourd'hui assurée chez AXA, 32 000 collaborateurs au global en France, répartis sur 3 000 agences. Et vous, votre activité au sein de la cybersécurité, c'est aujourd'hui à peu près 13-15 millions de chiffres d'affaires, 5000 clients au global et une activité qui est née il y a 10 ans.
Frédéric Coppin
Voilà, en fait, finalement, c'est une activité qui est assez récente. Alors, l'informatique existe depuis de très nombreuses années, bien entendu, mais l'effervescence finalement des attaques cyber, on en a pris conscience finalement il y a une dizaine d'années et il nous semblait important en tant qu'acteur de l'assurance. et de l'économie, justement, de sécuriser, de protéger les entreprises au regard de ces risques-là.
Anthony Baron
Aujourd'hui, on est en 2025. Les attaques cyber, on le voit, sont en forte augmentation chaque année. On sait qu'il y a à peu près 43% des organisations en France qui ont subi au moins une cyberattaque en 2024, et une cyberattaque réussie. C'est quoi aujourd'hui les types d'attaques que subissent les entreprises ?
Frédéric Coppin
Alors avant ça, peut-être effectivement, on peut donner un petit panorama justement de ce qui se passe sur le marché et puis ce qu'on peut apercevoir sur le risque cyber. On fait une étude chez AXA qui s'appelle le Future Risk Report que nous publions chaque année et qui fait figurer finalement les risques des entreprises telles qu'elles le vivent. Ce qui est important de dire aujourd'hui, c'est que ce risque cyber est en troisième position des craintes finalement dans le monde pour les entreprises.
Anthony Baron
Pour un dirigeant, c'est le troisième risque identifié pour son entreprise, c'est le risque cyber.
Frédéric Coppin
C'est un risque très important derrière les risques climatiques et les risques sociaux. Donc une menace cyber qui est extrêmement présente, qui augmente en fréquence, en sophistication, également d'année en année, qui touche les grandes entreprises, les TPE, les PME, vraiment tout le panel des entreprises, vous disiez une entreprise sur deux sur 2024 qui est atteinte finalement par une attaque cyber. Et puis aujourd'hui, ce qui est important de dire aussi, c'est que les entreprises finalement sont très acculturées à ce risque cyber, ce qui est moins le cas et donc protégée en conséquence, ce qui est moins le cas pour les TPE, PME, on reviendra sur ce sujet, avec une hausse extrêmement importante finalement sur les cyberattaques pour les TPE, parce que justement, elles sont moins protégées que ces grandes entreprises. Et en fait, ces attaques, elles sont de deux natures. D'abord, d'une nature technique, c'est-à-dire que pour qu'une attaque cyber fonctionne, il faut bien entendu une vulnérabilité technique. Donc sur des accès à distance au système d'information qui est mal protégé, des défauts de mise à jour de logiciels, des ports ouverts. des sites web ou des messageries qui sont mal configurées. Ce sont une liste de vulnérabilités techniques assez courantes. Et puis, on a surtout des vulnérabilités humaines, c'est-à-dire que les attaques cyber s'attaquent au travers, notamment, de vulnérabilités humaines, c'est-à-dire de collaborateurs qui gèrent mal leur messagerie.
Anthony Baron
Ça, c'est le phishing, typiquement ?
Frédéric Coppin
Exactement. Dans plus de 80% des cas, les attaques cyber passent par le phishing.
Anthony Baron
D'accord, ok. On a aussi entendu parler des arnaques au président. C'est quelque chose que vous avez également identifié.
Frédéric Coppin
Alors, on l'a identifié effectivement de façon très ponctuelle. Après, la majorité...
Anthony Baron
Elles sont souvent assez médiatique.
Frédéric Coppin
Oui, c'est assez médiatique. La majorité aujourd'hui des attaques sont assez connues, sont les attaques à la rançon, au travers de ce qu'on appelle des ransomware. On est toujours en hausse là-dessus. On voit effectivement une professionnalisation des ransomware. C'est-à-dire qu'aujourd'hui, on a même des cyberattaqueurs, des cyberhackers qui conçoivent des ransomware, qui les vendent à des malveillants qui vont justement déployer ces ransomware auprès des entreprises et demander effectivement des rançons.
Anthony Baron
Et selon vous, ces attaques vont continuer à augmenter sur les prochaines années ?
Frédéric Coppin
Alors elles vont augmenter avec notamment plusieurs conséquences, ou plusieurs origines plutôt, qui sont notamment l'intelligence artificielle. On y viendra peut-être tout à l'heure, mais on a une évolution de la technologie qui fait que finalement, l'intelligence artificielle est aussi utilisée pour mieux cibler les entreprises et pour élargir finalement le spectre d'attaques. Donc les hackers sont vraiment au fait des nouvelles technologies et ils l'utilisent à mauvais escient.
Anthony Baron
Et est-ce qu'on est tous armés quand on est une entreprise, qu'on soit une PME, une ETI, un grand groupe, face aux attaques de cybersécurité ?
Frédéric Coppin
Très bonne question. On a une différence essentielle. Comme je vous le citais tout à l'heure, les grandes entreprises sont acculturées et très protégées sur ces attaques. Elles sont protégées parce qu'elles ont des équipes informatiques dédiées. Elles ont des partenaires de sécurité informatique sérieux, très spécialistes sur le sujet. Elles ont des plans de continuité également. Aujourd'hui, on ne peut pas considérer que les protections sont 100% efficaces et donc il faut mettre en place des plans de continuité et donc elles sont résilientes. En revanche, les TPE, PME, ça n'est pas du tout le cas aujourd'hui. Alors ce n'est pas un sujet de non-préoccupation, mais elles ont aujourd'hui une méconnaissance du risque au regard d'une complexité, d'une interconnexion de tous les systèmes informatiques. Et donc, ce qui est important de prendre conscience, c'est finalement une complexité de résolution. justement de ces cyberattaques.
Anthony Baron
Puis c'est un coût aussi, j'imagine, de se défendre face à des menaces de cyberattaques.
Frédéric Coppin
C'est un coût, mais ce qui est important finalement, c'est d'être en capacité, d'être bien accompagné pour résoudre finalement ces cyberattaques. Aujourd'hui, on estime qu'on a à peu près 15% des TPE-PME qui sont assurés et bien accompagnés sur justement le risque de cyberattaques. 62% des entreprises, d'après le site cybernemaveillance.gouv, ne se sentent pas concernées chez les TPE. Donc on a un vrai gap finalement de couverture, d'accompagnement de ces entreprises aujourd'hui qui ne sont pas bien accompagnées.
Anthony Baron
Et donc demain, une entreprise se fait attaquer, je suis une PME ou même une ETI, mal équipée pour me défendre. Qu'est-ce qui se passe derrière ? C'est quoi les préconisations à prendre ?
Frédéric Coppin
Alors, ce qu'on conçoit nous chez AXA, c'est que l'assurance en elle-même ne suffit pas, c'est-à-dire venir après coup, après la cyberattaque. Finalement, on va dire que c'est trop tard, le mal est fait. Et ce qui est important, c'est d'intervenir en amont, avant la cyberattaque pendant et après la cyberattaque. Alors en amont, c'est quoi ? C'est faire de la prévention. Et donc, la prévention, c'est quoi ? C'est deux choses essentiellement, mettre à disposition des entreprises d'abord la capacité d'auditer finalement le système informatique, y voir ses failles et puis donner des recommandations de manière à être mieux sécurisée.
Anthony Baron
Donc ça, vous le faites ?
Frédéric Coppin
Pour le coup, nous le faisons, effectivement, c'est un nouveau service que nous avons mis en offre tout récemment. La deuxième chose, comme on le disait tout à l'heure, c'est que finalement, la porte d'entrée, c'est essentiellement le collaborateur de l'entreprise. Et donc, il faut absolument former les collaborateurs des TPE et des PME, justement, au risque d'attaque cyber, pour faire en sorte d'éviter effectivement l'attaque cyber. Et puis ensuite, on a la deuxième phase, c'est pendant l'attaque cyber, c'est faire intervenir des entreprises qui sont très spécialisées dans la reconstitution de données, la reconstitution de systèmes informatiques, etc. Donc, nous avons des partenaires comme Orange Cyber Defense qui sont très habitués, effectivement, à résoudre ces problématiques de façon très réactive pour éviter, justement, une perte totale des données ou des systèmes informatiques que nous ne pouvons pas remettre en fonction.
Anthony Baron
D'accord. Et comment est accueillie aujourd'hui cette offre parmi les clients d'AXA ?
Frédéric Coppin
En fait, elle est extrêmement bien perçue puisque finalement, elle répond à un besoin que nous couvrons concernant la cybersécurité de façon générale dans l'entreprise, non seulement sur la partie assurance, mais également sur l'accompagnement, sur l'audit des risques et sur la formation.
Anthony Baron
Justement, sur le point de la formation des collaborateurs, comment les collaborateurs aujourd'hui perçoivent justement les risques cyber est ce qu'ils se responsabilisent face à ce type de menaces ? Est-ce qu'il n'y a pas des craintes aussi de leur part ? Quelles évolutions vous voyez aussi du côté des collaborateurs ?
Frédéric Coppin
Alors ça les rassure énormément, effectivement. Ils sont très étonnés des risques que peut prendre une entreprise et surtout des conséquences que peut avoir une entreprise. Les conséquences que peut avoir une entreprise sur le risque cyber, c'est par exemple le déni de service, c'est-à-dire n'être plus en capacité de mettre en œuvre un site web et l'avoir bloqué pour plusieurs jours par exemple. Eh bien ça, c'est assez choquant pour un collaborateur de voir son entreprise complètement stoppée, bloquée. C'est dramatique. C'est dramatique. Et donc finalement, ça les rassure. Ils apprennent beaucoup. Et donc je pense que le chef d'entreprise est très rassuré finalement que les employés puissent être accompagnés par ces services que nous mettons en œuvre.
Anthony Baron
Moi, j'avais vu une statistique sur les attaques cyber qui ont lieu notamment en 2024. C'est une entreprise sur deux uniquement qui dépose plainte. Et derrière, on a 16% de ces plaintes qui amènent l'identification des hackers. On est quand même sur des ratios relativement faibles. Déjà, le dépôt de plaintes n'est pas systématique. Et derrière, l'identification des hackers également est faible. C'est quoi votre analyse sur ce sujet-là, Frédéric ? Notamment, déjà, est-ce que vous incitez vos clients à faire des dépôts de plaintes ?
Frédéric Coppin
Alors, en fait, c'est une obligation, les dépôts de plaintes. D'accord. Donc, beaucoup d'entreprises ne sont pas, effectivement, au fait que c'est une obligation. Pourquoi c'est une obligation ? Parce que nous avons besoin de connaître cette menace, les types d'attaques cyber, de manière à mieux nous y préparer au niveau de l'État lui-même et puis également nous en termes d'assurance pour pouvoir mieux accompagner les entreprises.
Anthony Baron
Il existe également l'Agence française de sécurité informatique, l'ANSSI. Quel est son rôle précisément ? Je suis une PME, une ETI, je subis une attaque, est-ce que je dois contacter l'ANSSI en parallèle de faire mon dépôt de plainte ?
Frédéric Coppin
Alors l'ANSI, c'est un organisme qui permet de recevoir l'état des cybermenaces en France, les analyser, mettre en œuvre finalement des solutions sur le marché. Aujourd'hui par exemple, elle a participé à la mise en œuvre d'une réglementation qui s'appelle NIS 2, qui permet justement de mieux réguler, de mieux protéger finalement le territoire français. C'est une réglementation européenne, mais notamment le territoire français. au regard justement de ces menaces avec certaines obligations qui pèsent sur certaines activités qui sont essentielles en France. Voilà, donc c'est un enjeu de souveraineté nationale avant tout et de protection finalement du tissu économique français. Donc c'est une bonne chose finalement. Et aujourd'hui, déposer plainte, ça permet effectivement de nourrir justement toute cette connaissance des cyberattaques en France.
Anthony Baron
D'accord. Et vous, vous suivez justement ces différentes étapes, le dépôt de plainte, les relations avec l'ANSSI, etc.
Frédéric Coppin
Oui, tout à fait. Nous sommes extrêmement liés justement à divers organismes en France. Donc, bien entendu, l'ANSI, mais pas que. Nous avons par exemple des collaborateurs chez nous qui sont réservistes à la Gendarmerie nationale sur l'activité cyber ou à la police judiciaire, à l'OFAC. l'office anticriminalité cyber pour justement bien être courant de l'évolution de ces menaces en France et pouvoir y répondre au mieux.
Anthony Baron
Tout à l'heure, on le disait, l'activité cyber existe depuis dix ans. Aujourd'hui, c'est combien de personnes au sein du département et de cette offre ?
Frédéric Coppin
Chez AXA, c'est 20 personnes aujourd'hui qui sont en capacité de répondre et d'étudier les dossiers des entreprises, en capacité de les conseiller également. Ce sont deux experts qui sont aujourd'hui très formés et très proches de ces organismes.
Anthony Baron
Donc des experts en cybersécurité ?
Frédéric Coppin
Experts en cybersécurité, exactement. Et puis, ce sont bien entendu, puisque nous avons des sinistres en matière de cybersécurité, une vingtaine également de règleurs sinistres qui sont à même, effectivement, de bien orienter les entreprises pour bien gérer les sinistres. Donc ça, c'est en interne. Mais ce qui est important de dire, c'est que nous appuyons sur des spécialistes du marché. Je citais tout à l'heure les deux services, les services d'audit de risque avec une société qui s'appelle Board of Cyber, qui est très spécialisée sur le marché français. Les formations aujourd'hui sont réalisées par un autre partenaire également spécialiste de la formation au travers du gaming, qui s'appelle Kamae. Je vous citais tout à l'heure aussi pour la résolution des attaques Orange Cyber Défense. Ce ne sont pas que des collaborateurs chez nous qui sont formés pour accompagner les entreprises, ils sont aussi justement un choix de grands spécialistes sur le marché. pour bien accompagner avant, pendant et après le sinistre l'ensemble des entreprises que nous assurons.
Anthony Baron
Et donc, qu'est-ce que je couvre en tant que dirigeant d'entreprise quand je souscris effectivement à ce type de contrat ?
Frédéric Coppin
Alors, ce qu'on couvre essentiellement, effectivement, en termes d'assurance, ce sont les vols de données et donc la reconstitution justement de ces données sont l'atteinte au système d'information, donc à l'informatique, je dirais, dans l'entreprise. et donc la reconstitution du système d'information. Et puis, on couvre également les pertes d'exploitation, donc la perte d'activité finalement consécutive à ces pertes de données et de systèmes informatiques.
Anthony Baron
Alors ça, c'est un sujet en général, effectivement, que les dirigeants se posent. Comment je mesure ma perte d'exploitation liée à une attaque cyber ? Est-ce que vous avez des méthodes pour ça ? Effectivement, quand on aborde une étude avec une entreprise, on lui pose un certain nombre de questions sur sa protection. Non seulement sa protection, mais aussi on pose des questions sur le plan de continuité d'activité. C'est-à-dire qu'on met en place une analyse de risque qui permet de voir quelles seraient les conséquences dans l'entreprise d'une attaque cyber. Une journée, deux journées, cinq jours d'interruption d'activité. Qu'est-ce que finalement ça a comme conséquence dans l'entreprise ? Et puis, ce qu'il faut mettre en place du coup, en conséquence, pour protéger l'entreprise au regard de ces arrêts d'activité. Voilà, donc j'ai quelques exemples justement d'entreprises qui ont été touchées par ces attaques cyber. C'est toujours assez parlant de... Oui, de ce qui était des exemples. Pour contrer un peu ce que j'allais dire, je suis par exemple, demain, je suis dirigeant d'un site marchand et 100% de mes revenus sont issus de mon site internet et mes ventes en ligne, j'ai une attaque cyber, j'ai une perte de revenus où je passe de 100 à 0. Du jour au lendemain.
Frédéric Coppin
Des exemples effectivement très factuels de ce qu'on peut vivre dans notre activité. C'est une PME industrielle, par exemple, d'une vingtaine de millions d'euros qui subit une attaque cyber, qui exploite une faille technique d'un serveur d'accès qui est à distance. On reviendra là-dessus sûrement, mais effectivement, à partir du moment où on externalise de plus en plus finalement Le système informatique, on crée des ponts qui sont non sécurisés ou peu sécurisés. Et le résultat pour cette entreprise que nous avons en portefeuille, c'est une production qui a été complètement stoppée pendant deux jours. Totalement à l'arrêt. Totalement à l'arrêt et qui a repris progressivement sur un mois. Donc, on prend bien conscience effectivement de l'impact que ça peut avoir sur l'entreprise. Et une perte concrètement qui s'est montée à plus d'un million d'euros pour cette entreprise. Donc, 90% justement. en perte d'exploitation, c'est-à-dire en arrêt d'exploitation.
Anthony Baron
Donc là, c'est 900 000 euros que vous avez indemnisés.
Frédéric Coppin
Exactement. Alors ça, on est sur une entreprise industrielle. On a le cas également des entreprises plutôt dans le domaine du conseil. On pourrait se dire, dans le conseil, c'est moins flagrant, etc. Si, si, dans le conseil, ça arrive aussi. C'est au travers, justement, d'ouverture d'une pièce jointe. On parlait des mails tout à l'heure, des messageries. Un collaborateur a laissé passer la cyberattaque, qui a consisté à crypter l'ensemble des fichiers du système d'information, avec en conséquence une activité qui a été stoppée pendant une semaine et puis un retour progressif à la normale en six semaines. Pour une TPE, une petite entreprise, c'est 14 000 euros qui sont liés essentiellement à la perte d'exploitation et à la reconstitution des données. Ce 14 000 euros pour une grosse entreprise peut sembler peu, mais pour une TPE, c'est quelque chose qui peut être absolument important. Alors, heureusement pour ces deux entreprises, je dirais, finalement, on a réussi à reconstituer les données et ces entreprises ont pu perdurer dans le temps. On a permis de limiter l'impact. Mais il arrive effectivement que les entreprises ne se remettent pas. Finalement, c'est une question de pérennité de l'entreprise également. D'où... On voit dans ces deux exemples l'importance de travailler la prévention. Si pour ces entreprises-là, il avait été mieux finalement appréhender et la formation des collaborateurs d'une part, et l'évaluation des risques du système informatique en amont, ce que nous faisons désormais avec notre offre, notre service de façon hebdomadaire, eh bien on n'aurait peut-être pas eu effectivement ces cyberattaques dans ces entreprises.
Anthony Baron
Oui, bien sûr. J'imagine que le risque zéro n'existe pas ? et que aussi les hackers, les cyber-attaqueurs, s'outillent et change aussi leurs process, leurs habitudes et d'où le lien justement sur l'usage des nouvelles technologies. Voilà, donc qu'est-ce qu'il en est aujourd'hui ? On voit effectivement l'émergence de l'IA, en quoi l'IA peut être aussi un outil utilisé par ces attaques et les hackers au niveau des entreprises.
Frédéric Coppin
Alors effectivement, l'IA est une chance pour nous tous, mais elle a effectivement ses côtés positifs et négatifs. Alors je commencerai par le côté négatif. Aujourd'hui, les hackers, comme je vous disais tout à l'heure, se professionnalisent et ils utilisent également l'IA, finalement, pour mieux cibler les entreprises qui sont du coup moins protégées. Ce que nous faisons, nous, en termes d'analyse de risque au travers des audits que nous pouvons mettre en œuvre, les hackers le font eux-mêmes. et cible du coup les entreprises qui sont le moins protégées, et puis se permettent effectivement de le faire de la façon la plus large et automatisée possible. Donc ça, c'est l'effet négatif de l'IA. Finalement, ils vont utiliser ces hackers l'IA à cette destination. Les effets positifs, c'est quoi ? C'est que de même, nous, de notre côté, nous pouvons utiliser l'IA pour justement détecter plus rapidement ces cyberattaques ou ces failles. Et nous sommes en train justement d'essayer de trouver un partenaire aujourd'hui, pour justement utiliser cet IA à destination des entreprises pour mieux les protéger et de façon plus réactive. Ça, c'est une orientation qui est, à mon sens, très positive.
Anthony Baron
Vous avez des anciens hackers dans vos équipes ou chez vos partenaires ?
Frédéric Coppin
Ce ne sont pas des hackers, en revanche, chez nos partenaires, de façon certaine, je pense que nous en avons fait,
Anthony Baron
effectivement. Très bien. Et aujourd'hui, si on devait faire une estimation par rapport au nombre de PME en France, celles qui sont « couvertes » par ces risques cyber et celles qui ne le sont pas, on en est où aujourd'hui ?
Frédéric Coppin
Aujourd'hui, on estime que 15% des entreprises sont couvertes correctement en termes d'assurance, en tout cas. C'est très peu. Donc, c'est très peu. Avec une prise de conscience, quand je vous disais tout à l'heure, on les interroge sur, d'après eux, quels sont les risques majeurs dans l'avenir. À 85% d'entre elles, elles disent qu'effectivement, c'est le risque cyber. Et quand vous comparez ce 85% au 15% de couverture, on sent bien effectivement que nous avons un gap. Et en termes d'assurance, d'ailleurs, c'est le seul finalement risque sur lequel cette différence est aussi importante.
Anthony Baron
Et typiquement, aujourd'hui, je suis une entreprise, dirigeant d'une entreprise, on sait évaluer mon risque d'être attaqué dans l'année 2025, par exemple ?
Frédéric Coppin
Alors, on sait évaluer, non pas de façon extrêmement précise. En revanche, aujourd'hui, on a des critères, finalement, et notamment qui sont nos critères de souscription, qui nous permettent, finalement, de prédire si une entreprise est plus à même d'être attaquée par une cyberattaque ou non ? Alors, les questions que nous posons aux entreprises, elles sont assez classiques. La présence d'un antivirus de parfeu, par exemple, c'est assez classique et c'est pour les particuliers également. Mais pas que, c'était aussi le fait d'avoir des systèmes de sécurité, c'est-à-dire des codes pour rentrer dans les systèmes informatiques. Donc, les employés aujourd'hui, eux-mêmes, ont des codes. Mais c'est aussi le fait qu'il y ait ou pas justement des formations dans l'entreprise pour sensibiliser les collaborateurs, et puis des partenaires ou pas qui sont effectivement à même de bien accompagner les entreprises. On pose ce type de questions, et si la réponse est non à l'ensemble de ces questions, le risque d'être attaqué par des cyberattaques est extrêmement important.
Anthony Baron
Et ce qu'on a vu aussi en préparant naturellement cette interview, C'était essayer de voir quels étaient un petit peu les secteurs particulièrement ciblés par les cyberattaques, dont dans les études qu'on a pu analyser. Premier secteur serait la santé. Deuxième, ce sont les organisations publiques. Et en trois, ce sont plutôt les grands groupes, visiblement, notamment les banques, le secteur de l'énergie, la SNCF aussi, donc au niveau des transports. Alors, l'idée n'est pas de rentrer dans le détail, en fait, de cette analyse, mais on a eu un événement majeur en 2024 en France, à Paris notamment, qui était les Jeux Olympiques. Est-ce que les Jeux Olympiques, on a pu observer une augmentation des cyberattaques ?
Frédéric Coppin
On a pu observer une augmentation extrêmement importante des cyberattaques pendant les Jeux Olympiques, mais la chance que nous avons pu avoir, c'est que finalement, il y a eu une très forte anticipation de cette augmentation des cyberattaques. Et l'État s'est préparé de façon assez impressionnante. pour défendre nos intérêts et le bon déroulement des Jeux Olympiques. Et donc, vous l'avez, vous, vécu personnellement, finalement, il n'y a pas eu d'attaque réussie sur l'organisation des Jeux Olympiques. Pour revenir sur ce que vous disiez juste avant, effectivement, quelles sont les entreprises ou les administrations qui sont attaquées ? Pourquoi elles sont attaquées ? Elles sont attaquées, comme je le disais tout à l'heure, parce qu'elles sont très vulnérables et mal protégées. C'est le cas des administrations publiques aujourd'hui. Elles sont attaquées parce qu'elles disposent de données extrêmement intéressantes pour les hackers. Par exemple, les entreprises de santé, les hôpitaux ont été très attaquées les mois, les années précédentes. Et on voit aujourd'hui qu'il y a une vraie prise de conscience dans le domaine public, dans les hôpitaux, et donc une montée en compétences et des protections qui se mettent en œuvre de plus en plus. On a également, vous le citiez, des activités essentielles qui sont attaquées de façon volontaire par les hackers, comme l'énergie, vous l'avez citée.
Anthony Baron
Oui, absolument. Et les transports également. Et parmi vos 5000 clients, c'est quoi la répartition sectorielle ?
Frédéric Coppin
Aujourd'hui, on est en capacité d'accompagner l'ensemble des activités. Aujourd'hui, chez AXA, nous assurons une entreprise sur trois en France. Et donc, notre vocation, c'est d'accompagner toutes les entreprises qui nous font confiance aujourd'hui. Donc, dans toutes les activités industrielles, entreprises de conseil, tertiaires, etc.
Anthony Baron
Et sur l'activité cybersécurité, est-ce que vous voyez des demandes un peu plus fortes sur certains secteurs d'activité ou également ça reste assez généraliste ?
Frédéric Coppin
Alors ça n'est pas généraliste, effectivement. Les entreprises tertiaires ont tendance à ne pas s'assurer. On a des entreprises, par exemple, du numérique, qui elles sont extrêmement exposées, bien entendu. Et eux sont très bien assurés. En revanche, effectivement, il y a une appétence certaine à l'assurance cyber.
Anthony Baron
Absolument. Selon vous, Frédéric, quels sont les grands défis, ou en tout cas les priorités, qui vont être celles de l'activité cybersécurité d'AXA dans les prochaines années ?
Frédéric Coppin
Les grands défis, c'est d'abord l'accompagnement de la formation, la sensibilisation des entreprises, comme on le disait à l'instant ensemble. Notre but, c'est justement d'accompagner les entreprises et les sensibiliser à ce risque cyber et tenter effectivement de les accompagner, de les assurer. Alors ce n'est pas un sujet qui est facile, donc on a vraiment une volonté d'accompagner finalement tout le réseau des entreprises. Et donc nous sommes très impliqués au niveau des territoires en France, non seulement au travers de nos agents généraux. Nous avons 3000 agents généraux en France qui aujourd'hui sont formés justement pour pouvoir accompagner les entreprises. Mais c'est aussi des événements que nous organisons au sein, par exemple, des centres de commerce ou des forums que nous organisons pour faire émerger justement cette connaissance. Et puis, le deuxième enjeu, c'est la veille constante. Vous le citiez tout à l'heure, l'évolution technologique est assez forte sur le marché de l'informatique. Et donc, il nous faut non seulement avoir une clairvoyance sur l'évolution justement de ces évolutions technologiques, Et puis également faire en sorte que nos collaborateurs, nos distributeurs, nos agents généraux soient formés justement à ces nouvelles technologies et ces nouveaux risques.
Anthony Baron
Peut-être pour aller vers une conclusion, quels conseils vous donneriez aux dirigeants d'entreprise aujourd'hui concernant la cybersécurité, les leviers de couverture ? Alors, on imagine prendre et souscrire un contrat chez AXA, mais voilà, vraiment les conseils à donner en premier lieu.
Frédéric Coppin
Le conseil, c'est d'abord de prendre conscience. avant tout, qu'une cyberattaque, je dirais qu'en un clic, peut détruire une entreprise. Il en va vraiment de la pérennité de l'entreprise. Ça, c'est un premier sujet. Et la problématique qu'on a aujourd'hui, c'est que la cybersécurité ou l'informatique, de façon générale, pour un chef d'entreprise. C'est quelque chose, finalement, d'assez abstrait. Je fais le parallèle par rapport à l'incendie, qui est quelque chose d'absolument tangible. Eh bien, l'informatique et le cyber, de façon générale, est assez abstrait. Et donc, le premier sujet pour moi, le premier conseil, c'est anticiper, travailler la prévention dans l'entreprise, se préparer avant qu'il ne soit trop tard, de manière à garantir une continuité d'activité et permettre finalement de satisfaire les clients dans les délais qu'un chef d'entreprise peut garantir. Et puis la deuxième chose, le deuxième conseil que je peux donner, c'est de sensibiliser les équipes. Comme on le disait tout à l'heure, dans la majeure partie des cas, C'est par les collaborateurs, par les employés que passe finalement cette cyberattaque. Et donc, plus on sensibilise les équipes et moins, effectivement, on a de probabilités finalement d'être touché par une cyberattaque.
Anthony Baron
Je suis une entreprise, je souhaite souscrire un contrat auprès d'AXA. Comment je fais ?
Frédéric Coppin
Alors, comme je disais, on a un réseau d'agents généraux qui est formé justement sur ce risque cyber et qui connaît parfaitement justement l'accompagnement que nous pouvons proposer. Et donc, le territoire français émaillé, justement, de ces agents généraux, il suffit de contacter un de ces agents généraux, et nous serons à même d'accompagner, soit au travers de l'agent général, soit pour des ETI, des entreprises plus importantes, au travers de nos collaborateurs, nous serons à même de conseiller au mieux ces entreprises.
Anthony Baron
Un grand merci Frédéric, c'était un plaisir en tout cas de vous accueillir aujourd'hui dans cette émission des Afters de la Transformation. Moi, ce que je retiens, c'est effectivement l'importance en tout cas de se protéger en tant que dirigeant d'entreprise. On a aujourd'hui 70 000 dirigeants qui nous écoutent chaque semaine sur cette émission. La nécessité, vous l'avez beaucoup insisté dessus, de former les collaborateurs vraiment au risque cyber. Et puis finalement, même face à une attaque, on a la capacité de se sécuriser et de protéger nos données, notamment à travers des partenaires tels que vous. Donc un grand merci. C'est un réel plaisir, Frédéric, de vous accueillir. Qu'est-ce qu'on peut vous souhaiter pour la suite ?
Frédéric Coppin
Qu'est-ce qu'on peut nous souhaiter ? Justement, faire en sorte que ce monde des entreprises soit conscient de ces risques et puis que nous soyons en capacité de les accompagner au mieux. Merci de votre invitation en tout cas.
Anthony Baron
Merci beaucoup Frédéric. Je recevais aujourd'hui Frédéric Coppin, directeur technique chez AXA France, notamment en charge de l'activité cybersécurité. Les Afters de la Transformation, une émission à écouter et réécouter sur l'ensemble des plateformes de streaming musical. Et on vous souhaite une excellente journée et à la semaine prochaine.
Générique
Les Afters de la transformation une émission à écouter et à télécharger sur adequancy.com et toutes les plateformes de podcast.

Description

Découvrez l’expertise de Frédéric Coppin et les nouveaux défis de la cybersécurité.

Au programme :

L’évolution des cybermenaces : comment les attaques se transforment et quelles sont les nouvelles cibles privilégiées
L’impact des grands événements : retour sur les JO 2024 et les stratégies mises en place pour protéger les infrastructures critiques
L’intelligence artificielle et la cybersécurité : opportunité pour renforcer la protection ou nouvel outil pour les hackers ?
La prévention et les solutions de protection : comment AXA accompagne les entreprises pour mieux gérer leurs risques numériques
Les tendances à venir : quelles innovations et bonnes pratiques adopter pour faire face aux cyberattaques de demain ?

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Anthony Baron
On a eu un événement majeur en 2024 en France, à Paris notamment, qui était les Jeux Olympiques. Est-ce que les Jeux Olympiques, on a pu observer une augmentation des cyberattaques ?
Frédéric Coppin
On a pu observer une augmentation extrêmement importante des cyberattaques pendant les Jeux Olympiques, mais la chance entre guillemets que nous avons pu avoir, c'est que finalement, il y a eu une très très forte anticipation justement de cette augmentation des cyberattaques. Et l'État s'est préparé de façon assez impressionnante pour défendre nos intérêts. et le bon déroulement des Jeux Olympiques. Et donc, vous l'avez, vous, vécu personnellement, finalement, il n'y a pas eu, finalement, d'attaque réussie sur l'organisation des Jeux Olympiques. Les afters de la transformation, le podcast des acteurs qui façonnent l'entreprise de demain. Un rendez-vous qui donne la parole aux dirigeants. Une production Adequancy.
Anthony Baron
Bonjour et bienvenue dans l'émission Les Afters de la Transformation, une émission qui accueille des leaders entreprenants, acteurs de l'économie réelle, portant au quotidien des mutations et des innovations dont les actions impactent notre société. Immersion aujourd'hui dans l'univers de la cybersécurité, nous recevons Frédéric Coppin, directeur technique chez AXA France. Bonjour Frédéric et bienvenue à vous dans ce nouveau numéro des Afters de la Transformation.
Frédéric Coppin
Bonjour.
Anthony Baron
Alors dans cette interview, nous allons revenir sur les éléments de votre parcours, nous allons dresser également un panorama de la protection des sociétés face aux menaces et aux attaques cybersécurité, les solutions que propose AXA, également les nouvelles technologies et l'impact de l'IA sur la cybersécurité et les usages, notamment par les cybercriminels. Alors Frédéric, sur votre parcours, vous êtes ingénieur Arts & Métiers de formation, vous avez débuté votre carrière en tant qu'ingénieur travaux chez Bouygues en 95 et ensuite vous rejoignez le groupe AXA en 2000 en tant que souscripteur construction. En 2003, vous devenez responsable souscription de la branche construction, puis en 2011, directeur régional IARD Entreprises en charge de la région Nord-Est. 2015, move à Madrid en Espagne où vous prenez la responsabilité transversale Entreprises des Pays Immergents du groupe AXA, notamment sur l'Amérique du Sud, l'Afrique, l'Asie, la Turquie notamment. Et depuis juin 2022, vous êtes directeur technique et souscription, grands comptes, performances opérationnelles et marketing du marché du professionnel et des entreprises chez AXA France. Première question pour vous Frédéric, comment vous avez vécu cette promotion et ce retour en France au sein d'AXA ?
Frédéric Coppin
Écoutez, c'est une continuité finalement d'un ADN que j'ai qui est la passion des entreprises, d'accompagner les entreprises. J'ai eu plusieurs expériences finalement en France, à l'étranger, et accompagner aujourd'hui les entreprises pour justement concevoir les offres, les services, et les accompagner au mieux en fonction de l'évolution du marché. Aujourd'hui, on va parler du cyber, notamment de l'évolution des différentes technologies, etc. Eh bien, c'est quelque chose qui me passionne énormément.
Anthony Baron
Parfait. Et vous êtes également vice-président du GAREAT. Le GAREAT, c'est la gestion de l'assurance et de la réassurance des risques attentats et des actes de terrorisme. Et président de la commission des risques entreprises chez France Assureurs. Est-ce que vous pouvez nous parler un petit peu justement du GAREAT ? Quel est le rôle de cette institution ?
Frédéric Coppin
Le GAREAT, suite aux attentats qui ont eu lieu il y a maintenant quelques années, notamment aux États-Unis, a été mise en œuvre pour justement mutualiser finalement ces risques au sein des différentes compagnies d'assurance et de mutuelle, ces risques de dommages matériels suite aux attentats.
Anthony Baron
D'accord. Et votre rôle en tant que vice-président consiste à quoi ?
Frédéric Coppin
D'abord, concevoir finalement la protection de nos sociétés d'assurance et mutuelle, c'est-à-dire de réassurer finalement nos risques. et puis de gérer les quelques sinistres que nous pouvons avoir et puis les estimer surtout dans le temps.
Anthony Baron
Ok, parfait. Merci beaucoup Frédéric en tout cas pour ces explications. Alors AXA France, c'est 29 milliards d'euros de chiffre d'affaires, donc grosse grosse PME, 8 millions de clients particuliers, c'est une PME sur 3 qui est aujourd'hui assurée chez AXA, 32 000 collaborateurs au global en France, répartis sur 3 000 agences. Et vous, votre activité au sein de la cybersécurité, c'est aujourd'hui à peu près 13-15 millions de chiffres d'affaires, 5000 clients au global et une activité qui est née il y a 10 ans.
Frédéric Coppin
Voilà, en fait, finalement, c'est une activité qui est assez récente. Alors, l'informatique existe depuis de très nombreuses années, bien entendu, mais l'effervescence finalement des attaques cyber, on en a pris conscience finalement il y a une dizaine d'années et il nous semblait important en tant qu'acteur de l'assurance. et de l'économie, justement, de sécuriser, de protéger les entreprises au regard de ces risques-là.
Anthony Baron
Aujourd'hui, on est en 2025. Les attaques cyber, on le voit, sont en forte augmentation chaque année. On sait qu'il y a à peu près 43% des organisations en France qui ont subi au moins une cyberattaque en 2024, et une cyberattaque réussie. C'est quoi aujourd'hui les types d'attaques que subissent les entreprises ?
Frédéric Coppin
Alors avant ça, peut-être effectivement, on peut donner un petit panorama justement de ce qui se passe sur le marché et puis ce qu'on peut apercevoir sur le risque cyber. On fait une étude chez AXA qui s'appelle le Future Risk Report que nous publions chaque année et qui fait figurer finalement les risques des entreprises telles qu'elles le vivent. Ce qui est important de dire aujourd'hui, c'est que ce risque cyber est en troisième position des craintes finalement dans le monde pour les entreprises.
Anthony Baron
Pour un dirigeant, c'est le troisième risque identifié pour son entreprise, c'est le risque cyber.
Frédéric Coppin
C'est un risque très important derrière les risques climatiques et les risques sociaux. Donc une menace cyber qui est extrêmement présente, qui augmente en fréquence, en sophistication, également d'année en année, qui touche les grandes entreprises, les TPE, les PME, vraiment tout le panel des entreprises, vous disiez une entreprise sur deux sur 2024 qui est atteinte finalement par une attaque cyber. Et puis aujourd'hui, ce qui est important de dire aussi, c'est que les entreprises finalement sont très acculturées à ce risque cyber, ce qui est moins le cas et donc protégée en conséquence, ce qui est moins le cas pour les TPE, PME, on reviendra sur ce sujet, avec une hausse extrêmement importante finalement sur les cyberattaques pour les TPE, parce que justement, elles sont moins protégées que ces grandes entreprises. Et en fait, ces attaques, elles sont de deux natures. D'abord, d'une nature technique, c'est-à-dire que pour qu'une attaque cyber fonctionne, il faut bien entendu une vulnérabilité technique. Donc sur des accès à distance au système d'information qui est mal protégé, des défauts de mise à jour de logiciels, des ports ouverts. des sites web ou des messageries qui sont mal configurées. Ce sont une liste de vulnérabilités techniques assez courantes. Et puis, on a surtout des vulnérabilités humaines, c'est-à-dire que les attaques cyber s'attaquent au travers, notamment, de vulnérabilités humaines, c'est-à-dire de collaborateurs qui gèrent mal leur messagerie.
Anthony Baron
Ça, c'est le phishing, typiquement ?
Frédéric Coppin
Exactement. Dans plus de 80% des cas, les attaques cyber passent par le phishing.
Anthony Baron
D'accord, ok. On a aussi entendu parler des arnaques au président. C'est quelque chose que vous avez également identifié.
Frédéric Coppin
Alors, on l'a identifié effectivement de façon très ponctuelle. Après, la majorité...
Anthony Baron
Elles sont souvent assez médiatique.
Frédéric Coppin
Oui, c'est assez médiatique. La majorité aujourd'hui des attaques sont assez connues, sont les attaques à la rançon, au travers de ce qu'on appelle des ransomware. On est toujours en hausse là-dessus. On voit effectivement une professionnalisation des ransomware. C'est-à-dire qu'aujourd'hui, on a même des cyberattaqueurs, des cyberhackers qui conçoivent des ransomware, qui les vendent à des malveillants qui vont justement déployer ces ransomware auprès des entreprises et demander effectivement des rançons.
Anthony Baron
Et selon vous, ces attaques vont continuer à augmenter sur les prochaines années ?
Frédéric Coppin
Alors elles vont augmenter avec notamment plusieurs conséquences, ou plusieurs origines plutôt, qui sont notamment l'intelligence artificielle. On y viendra peut-être tout à l'heure, mais on a une évolution de la technologie qui fait que finalement, l'intelligence artificielle est aussi utilisée pour mieux cibler les entreprises et pour élargir finalement le spectre d'attaques. Donc les hackers sont vraiment au fait des nouvelles technologies et ils l'utilisent à mauvais escient.
Anthony Baron
Et est-ce qu'on est tous armés quand on est une entreprise, qu'on soit une PME, une ETI, un grand groupe, face aux attaques de cybersécurité ?
Frédéric Coppin
Très bonne question. On a une différence essentielle. Comme je vous le citais tout à l'heure, les grandes entreprises sont acculturées et très protégées sur ces attaques. Elles sont protégées parce qu'elles ont des équipes informatiques dédiées. Elles ont des partenaires de sécurité informatique sérieux, très spécialistes sur le sujet. Elles ont des plans de continuité également. Aujourd'hui, on ne peut pas considérer que les protections sont 100% efficaces et donc il faut mettre en place des plans de continuité et donc elles sont résilientes. En revanche, les TPE, PME, ça n'est pas du tout le cas aujourd'hui. Alors ce n'est pas un sujet de non-préoccupation, mais elles ont aujourd'hui une méconnaissance du risque au regard d'une complexité, d'une interconnexion de tous les systèmes informatiques. Et donc, ce qui est important de prendre conscience, c'est finalement une complexité de résolution. justement de ces cyberattaques.
Anthony Baron
Puis c'est un coût aussi, j'imagine, de se défendre face à des menaces de cyberattaques.
Frédéric Coppin
C'est un coût, mais ce qui est important finalement, c'est d'être en capacité, d'être bien accompagné pour résoudre finalement ces cyberattaques. Aujourd'hui, on estime qu'on a à peu près 15% des TPE-PME qui sont assurés et bien accompagnés sur justement le risque de cyberattaques. 62% des entreprises, d'après le site cybernemaveillance.gouv, ne se sentent pas concernées chez les TPE. Donc on a un vrai gap finalement de couverture, d'accompagnement de ces entreprises aujourd'hui qui ne sont pas bien accompagnées.
Anthony Baron
Et donc demain, une entreprise se fait attaquer, je suis une PME ou même une ETI, mal équipée pour me défendre. Qu'est-ce qui se passe derrière ? C'est quoi les préconisations à prendre ?
Frédéric Coppin
Alors, ce qu'on conçoit nous chez AXA, c'est que l'assurance en elle-même ne suffit pas, c'est-à-dire venir après coup, après la cyberattaque. Finalement, on va dire que c'est trop tard, le mal est fait. Et ce qui est important, c'est d'intervenir en amont, avant la cyberattaque pendant et après la cyberattaque. Alors en amont, c'est quoi ? C'est faire de la prévention. Et donc, la prévention, c'est quoi ? C'est deux choses essentiellement, mettre à disposition des entreprises d'abord la capacité d'auditer finalement le système informatique, y voir ses failles et puis donner des recommandations de manière à être mieux sécurisée.
Anthony Baron
Donc ça, vous le faites ?
Frédéric Coppin
Pour le coup, nous le faisons, effectivement, c'est un nouveau service que nous avons mis en offre tout récemment. La deuxième chose, comme on le disait tout à l'heure, c'est que finalement, la porte d'entrée, c'est essentiellement le collaborateur de l'entreprise. Et donc, il faut absolument former les collaborateurs des TPE et des PME, justement, au risque d'attaque cyber, pour faire en sorte d'éviter effectivement l'attaque cyber. Et puis ensuite, on a la deuxième phase, c'est pendant l'attaque cyber, c'est faire intervenir des entreprises qui sont très spécialisées dans la reconstitution de données, la reconstitution de systèmes informatiques, etc. Donc, nous avons des partenaires comme Orange Cyber Defense qui sont très habitués, effectivement, à résoudre ces problématiques de façon très réactive pour éviter, justement, une perte totale des données ou des systèmes informatiques que nous ne pouvons pas remettre en fonction.
Anthony Baron
D'accord. Et comment est accueillie aujourd'hui cette offre parmi les clients d'AXA ?
Frédéric Coppin
En fait, elle est extrêmement bien perçue puisque finalement, elle répond à un besoin que nous couvrons concernant la cybersécurité de façon générale dans l'entreprise, non seulement sur la partie assurance, mais également sur l'accompagnement, sur l'audit des risques et sur la formation.
Anthony Baron
Justement, sur le point de la formation des collaborateurs, comment les collaborateurs aujourd'hui perçoivent justement les risques cyber est ce qu'ils se responsabilisent face à ce type de menaces ? Est-ce qu'il n'y a pas des craintes aussi de leur part ? Quelles évolutions vous voyez aussi du côté des collaborateurs ?
Frédéric Coppin
Alors ça les rassure énormément, effectivement. Ils sont très étonnés des risques que peut prendre une entreprise et surtout des conséquences que peut avoir une entreprise. Les conséquences que peut avoir une entreprise sur le risque cyber, c'est par exemple le déni de service, c'est-à-dire n'être plus en capacité de mettre en œuvre un site web et l'avoir bloqué pour plusieurs jours par exemple. Eh bien ça, c'est assez choquant pour un collaborateur de voir son entreprise complètement stoppée, bloquée. C'est dramatique. C'est dramatique. Et donc finalement, ça les rassure. Ils apprennent beaucoup. Et donc je pense que le chef d'entreprise est très rassuré finalement que les employés puissent être accompagnés par ces services que nous mettons en œuvre.
Anthony Baron
Moi, j'avais vu une statistique sur les attaques cyber qui ont lieu notamment en 2024. C'est une entreprise sur deux uniquement qui dépose plainte. Et derrière, on a 16% de ces plaintes qui amènent l'identification des hackers. On est quand même sur des ratios relativement faibles. Déjà, le dépôt de plaintes n'est pas systématique. Et derrière, l'identification des hackers également est faible. C'est quoi votre analyse sur ce sujet-là, Frédéric ? Notamment, déjà, est-ce que vous incitez vos clients à faire des dépôts de plaintes ?
Frédéric Coppin
Alors, en fait, c'est une obligation, les dépôts de plaintes. D'accord. Donc, beaucoup d'entreprises ne sont pas, effectivement, au fait que c'est une obligation. Pourquoi c'est une obligation ? Parce que nous avons besoin de connaître cette menace, les types d'attaques cyber, de manière à mieux nous y préparer au niveau de l'État lui-même et puis également nous en termes d'assurance pour pouvoir mieux accompagner les entreprises.
Anthony Baron
Il existe également l'Agence française de sécurité informatique, l'ANSSI. Quel est son rôle précisément ? Je suis une PME, une ETI, je subis une attaque, est-ce que je dois contacter l'ANSSI en parallèle de faire mon dépôt de plainte ?
Frédéric Coppin
Alors l'ANSI, c'est un organisme qui permet de recevoir l'état des cybermenaces en France, les analyser, mettre en œuvre finalement des solutions sur le marché. Aujourd'hui par exemple, elle a participé à la mise en œuvre d'une réglementation qui s'appelle NIS 2, qui permet justement de mieux réguler, de mieux protéger finalement le territoire français. C'est une réglementation européenne, mais notamment le territoire français. au regard justement de ces menaces avec certaines obligations qui pèsent sur certaines activités qui sont essentielles en France. Voilà, donc c'est un enjeu de souveraineté nationale avant tout et de protection finalement du tissu économique français. Donc c'est une bonne chose finalement. Et aujourd'hui, déposer plainte, ça permet effectivement de nourrir justement toute cette connaissance des cyberattaques en France.
Anthony Baron
D'accord. Et vous, vous suivez justement ces différentes étapes, le dépôt de plainte, les relations avec l'ANSSI, etc.
Frédéric Coppin
Oui, tout à fait. Nous sommes extrêmement liés justement à divers organismes en France. Donc, bien entendu, l'ANSI, mais pas que. Nous avons par exemple des collaborateurs chez nous qui sont réservistes à la Gendarmerie nationale sur l'activité cyber ou à la police judiciaire, à l'OFAC. l'office anticriminalité cyber pour justement bien être courant de l'évolution de ces menaces en France et pouvoir y répondre au mieux.
Anthony Baron
Tout à l'heure, on le disait, l'activité cyber existe depuis dix ans. Aujourd'hui, c'est combien de personnes au sein du département et de cette offre ?
Frédéric Coppin
Chez AXA, c'est 20 personnes aujourd'hui qui sont en capacité de répondre et d'étudier les dossiers des entreprises, en capacité de les conseiller également. Ce sont deux experts qui sont aujourd'hui très formés et très proches de ces organismes.
Anthony Baron
Donc des experts en cybersécurité ?
Frédéric Coppin
Experts en cybersécurité, exactement. Et puis, ce sont bien entendu, puisque nous avons des sinistres en matière de cybersécurité, une vingtaine également de règleurs sinistres qui sont à même, effectivement, de bien orienter les entreprises pour bien gérer les sinistres. Donc ça, c'est en interne. Mais ce qui est important de dire, c'est que nous appuyons sur des spécialistes du marché. Je citais tout à l'heure les deux services, les services d'audit de risque avec une société qui s'appelle Board of Cyber, qui est très spécialisée sur le marché français. Les formations aujourd'hui sont réalisées par un autre partenaire également spécialiste de la formation au travers du gaming, qui s'appelle Kamae. Je vous citais tout à l'heure aussi pour la résolution des attaques Orange Cyber Défense. Ce ne sont pas que des collaborateurs chez nous qui sont formés pour accompagner les entreprises, ils sont aussi justement un choix de grands spécialistes sur le marché. pour bien accompagner avant, pendant et après le sinistre l'ensemble des entreprises que nous assurons.
Anthony Baron
Et donc, qu'est-ce que je couvre en tant que dirigeant d'entreprise quand je souscris effectivement à ce type de contrat ?
Frédéric Coppin
Alors, ce qu'on couvre essentiellement, effectivement, en termes d'assurance, ce sont les vols de données et donc la reconstitution justement de ces données sont l'atteinte au système d'information, donc à l'informatique, je dirais, dans l'entreprise. et donc la reconstitution du système d'information. Et puis, on couvre également les pertes d'exploitation, donc la perte d'activité finalement consécutive à ces pertes de données et de systèmes informatiques.
Anthony Baron
Alors ça, c'est un sujet en général, effectivement, que les dirigeants se posent. Comment je mesure ma perte d'exploitation liée à une attaque cyber ? Est-ce que vous avez des méthodes pour ça ? Effectivement, quand on aborde une étude avec une entreprise, on lui pose un certain nombre de questions sur sa protection. Non seulement sa protection, mais aussi on pose des questions sur le plan de continuité d'activité. C'est-à-dire qu'on met en place une analyse de risque qui permet de voir quelles seraient les conséquences dans l'entreprise d'une attaque cyber. Une journée, deux journées, cinq jours d'interruption d'activité. Qu'est-ce que finalement ça a comme conséquence dans l'entreprise ? Et puis, ce qu'il faut mettre en place du coup, en conséquence, pour protéger l'entreprise au regard de ces arrêts d'activité. Voilà, donc j'ai quelques exemples justement d'entreprises qui ont été touchées par ces attaques cyber. C'est toujours assez parlant de... Oui, de ce qui était des exemples. Pour contrer un peu ce que j'allais dire, je suis par exemple, demain, je suis dirigeant d'un site marchand et 100% de mes revenus sont issus de mon site internet et mes ventes en ligne, j'ai une attaque cyber, j'ai une perte de revenus où je passe de 100 à 0. Du jour au lendemain.
Frédéric Coppin
Des exemples effectivement très factuels de ce qu'on peut vivre dans notre activité. C'est une PME industrielle, par exemple, d'une vingtaine de millions d'euros qui subit une attaque cyber, qui exploite une faille technique d'un serveur d'accès qui est à distance. On reviendra là-dessus sûrement, mais effectivement, à partir du moment où on externalise de plus en plus finalement Le système informatique, on crée des ponts qui sont non sécurisés ou peu sécurisés. Et le résultat pour cette entreprise que nous avons en portefeuille, c'est une production qui a été complètement stoppée pendant deux jours. Totalement à l'arrêt. Totalement à l'arrêt et qui a repris progressivement sur un mois. Donc, on prend bien conscience effectivement de l'impact que ça peut avoir sur l'entreprise. Et une perte concrètement qui s'est montée à plus d'un million d'euros pour cette entreprise. Donc, 90% justement. en perte d'exploitation, c'est-à-dire en arrêt d'exploitation.
Anthony Baron
Donc là, c'est 900 000 euros que vous avez indemnisés.
Frédéric Coppin
Exactement. Alors ça, on est sur une entreprise industrielle. On a le cas également des entreprises plutôt dans le domaine du conseil. On pourrait se dire, dans le conseil, c'est moins flagrant, etc. Si, si, dans le conseil, ça arrive aussi. C'est au travers, justement, d'ouverture d'une pièce jointe. On parlait des mails tout à l'heure, des messageries. Un collaborateur a laissé passer la cyberattaque, qui a consisté à crypter l'ensemble des fichiers du système d'information, avec en conséquence une activité qui a été stoppée pendant une semaine et puis un retour progressif à la normale en six semaines. Pour une TPE, une petite entreprise, c'est 14 000 euros qui sont liés essentiellement à la perte d'exploitation et à la reconstitution des données. Ce 14 000 euros pour une grosse entreprise peut sembler peu, mais pour une TPE, c'est quelque chose qui peut être absolument important. Alors, heureusement pour ces deux entreprises, je dirais, finalement, on a réussi à reconstituer les données et ces entreprises ont pu perdurer dans le temps. On a permis de limiter l'impact. Mais il arrive effectivement que les entreprises ne se remettent pas. Finalement, c'est une question de pérennité de l'entreprise également. D'où... On voit dans ces deux exemples l'importance de travailler la prévention. Si pour ces entreprises-là, il avait été mieux finalement appréhender et la formation des collaborateurs d'une part, et l'évaluation des risques du système informatique en amont, ce que nous faisons désormais avec notre offre, notre service de façon hebdomadaire, eh bien on n'aurait peut-être pas eu effectivement ces cyberattaques dans ces entreprises.
Anthony Baron
Oui, bien sûr. J'imagine que le risque zéro n'existe pas ? et que aussi les hackers, les cyber-attaqueurs, s'outillent et change aussi leurs process, leurs habitudes et d'où le lien justement sur l'usage des nouvelles technologies. Voilà, donc qu'est-ce qu'il en est aujourd'hui ? On voit effectivement l'émergence de l'IA, en quoi l'IA peut être aussi un outil utilisé par ces attaques et les hackers au niveau des entreprises.
Frédéric Coppin
Alors effectivement, l'IA est une chance pour nous tous, mais elle a effectivement ses côtés positifs et négatifs. Alors je commencerai par le côté négatif. Aujourd'hui, les hackers, comme je vous disais tout à l'heure, se professionnalisent et ils utilisent également l'IA, finalement, pour mieux cibler les entreprises qui sont du coup moins protégées. Ce que nous faisons, nous, en termes d'analyse de risque au travers des audits que nous pouvons mettre en œuvre, les hackers le font eux-mêmes. et cible du coup les entreprises qui sont le moins protégées, et puis se permettent effectivement de le faire de la façon la plus large et automatisée possible. Donc ça, c'est l'effet négatif de l'IA. Finalement, ils vont utiliser ces hackers l'IA à cette destination. Les effets positifs, c'est quoi ? C'est que de même, nous, de notre côté, nous pouvons utiliser l'IA pour justement détecter plus rapidement ces cyberattaques ou ces failles. Et nous sommes en train justement d'essayer de trouver un partenaire aujourd'hui, pour justement utiliser cet IA à destination des entreprises pour mieux les protéger et de façon plus réactive. Ça, c'est une orientation qui est, à mon sens, très positive.
Anthony Baron
Vous avez des anciens hackers dans vos équipes ou chez vos partenaires ?
Frédéric Coppin
Ce ne sont pas des hackers, en revanche, chez nos partenaires, de façon certaine, je pense que nous en avons fait,
Anthony Baron
effectivement. Très bien. Et aujourd'hui, si on devait faire une estimation par rapport au nombre de PME en France, celles qui sont « couvertes » par ces risques cyber et celles qui ne le sont pas, on en est où aujourd'hui ?
Frédéric Coppin
Aujourd'hui, on estime que 15% des entreprises sont couvertes correctement en termes d'assurance, en tout cas. C'est très peu. Donc, c'est très peu. Avec une prise de conscience, quand je vous disais tout à l'heure, on les interroge sur, d'après eux, quels sont les risques majeurs dans l'avenir. À 85% d'entre elles, elles disent qu'effectivement, c'est le risque cyber. Et quand vous comparez ce 85% au 15% de couverture, on sent bien effectivement que nous avons un gap. Et en termes d'assurance, d'ailleurs, c'est le seul finalement risque sur lequel cette différence est aussi importante.
Anthony Baron
Et typiquement, aujourd'hui, je suis une entreprise, dirigeant d'une entreprise, on sait évaluer mon risque d'être attaqué dans l'année 2025, par exemple ?
Frédéric Coppin
Alors, on sait évaluer, non pas de façon extrêmement précise. En revanche, aujourd'hui, on a des critères, finalement, et notamment qui sont nos critères de souscription, qui nous permettent, finalement, de prédire si une entreprise est plus à même d'être attaquée par une cyberattaque ou non ? Alors, les questions que nous posons aux entreprises, elles sont assez classiques. La présence d'un antivirus de parfeu, par exemple, c'est assez classique et c'est pour les particuliers également. Mais pas que, c'était aussi le fait d'avoir des systèmes de sécurité, c'est-à-dire des codes pour rentrer dans les systèmes informatiques. Donc, les employés aujourd'hui, eux-mêmes, ont des codes. Mais c'est aussi le fait qu'il y ait ou pas justement des formations dans l'entreprise pour sensibiliser les collaborateurs, et puis des partenaires ou pas qui sont effectivement à même de bien accompagner les entreprises. On pose ce type de questions, et si la réponse est non à l'ensemble de ces questions, le risque d'être attaqué par des cyberattaques est extrêmement important.
Anthony Baron
Et ce qu'on a vu aussi en préparant naturellement cette interview, C'était essayer de voir quels étaient un petit peu les secteurs particulièrement ciblés par les cyberattaques, dont dans les études qu'on a pu analyser. Premier secteur serait la santé. Deuxième, ce sont les organisations publiques. Et en trois, ce sont plutôt les grands groupes, visiblement, notamment les banques, le secteur de l'énergie, la SNCF aussi, donc au niveau des transports. Alors, l'idée n'est pas de rentrer dans le détail, en fait, de cette analyse, mais on a eu un événement majeur en 2024 en France, à Paris notamment, qui était les Jeux Olympiques. Est-ce que les Jeux Olympiques, on a pu observer une augmentation des cyberattaques ?
Frédéric Coppin
On a pu observer une augmentation extrêmement importante des cyberattaques pendant les Jeux Olympiques, mais la chance que nous avons pu avoir, c'est que finalement, il y a eu une très forte anticipation de cette augmentation des cyberattaques. Et l'État s'est préparé de façon assez impressionnante. pour défendre nos intérêts et le bon déroulement des Jeux Olympiques. Et donc, vous l'avez, vous, vécu personnellement, finalement, il n'y a pas eu d'attaque réussie sur l'organisation des Jeux Olympiques. Pour revenir sur ce que vous disiez juste avant, effectivement, quelles sont les entreprises ou les administrations qui sont attaquées ? Pourquoi elles sont attaquées ? Elles sont attaquées, comme je le disais tout à l'heure, parce qu'elles sont très vulnérables et mal protégées. C'est le cas des administrations publiques aujourd'hui. Elles sont attaquées parce qu'elles disposent de données extrêmement intéressantes pour les hackers. Par exemple, les entreprises de santé, les hôpitaux ont été très attaquées les mois, les années précédentes. Et on voit aujourd'hui qu'il y a une vraie prise de conscience dans le domaine public, dans les hôpitaux, et donc une montée en compétences et des protections qui se mettent en œuvre de plus en plus. On a également, vous le citiez, des activités essentielles qui sont attaquées de façon volontaire par les hackers, comme l'énergie, vous l'avez citée.
Anthony Baron
Oui, absolument. Et les transports également. Et parmi vos 5000 clients, c'est quoi la répartition sectorielle ?
Frédéric Coppin
Aujourd'hui, on est en capacité d'accompagner l'ensemble des activités. Aujourd'hui, chez AXA, nous assurons une entreprise sur trois en France. Et donc, notre vocation, c'est d'accompagner toutes les entreprises qui nous font confiance aujourd'hui. Donc, dans toutes les activités industrielles, entreprises de conseil, tertiaires, etc.
Anthony Baron
Et sur l'activité cybersécurité, est-ce que vous voyez des demandes un peu plus fortes sur certains secteurs d'activité ou également ça reste assez généraliste ?
Frédéric Coppin
Alors ça n'est pas généraliste, effectivement. Les entreprises tertiaires ont tendance à ne pas s'assurer. On a des entreprises, par exemple, du numérique, qui elles sont extrêmement exposées, bien entendu. Et eux sont très bien assurés. En revanche, effectivement, il y a une appétence certaine à l'assurance cyber.
Anthony Baron
Absolument. Selon vous, Frédéric, quels sont les grands défis, ou en tout cas les priorités, qui vont être celles de l'activité cybersécurité d'AXA dans les prochaines années ?
Frédéric Coppin
Les grands défis, c'est d'abord l'accompagnement de la formation, la sensibilisation des entreprises, comme on le disait à l'instant ensemble. Notre but, c'est justement d'accompagner les entreprises et les sensibiliser à ce risque cyber et tenter effectivement de les accompagner, de les assurer. Alors ce n'est pas un sujet qui est facile, donc on a vraiment une volonté d'accompagner finalement tout le réseau des entreprises. Et donc nous sommes très impliqués au niveau des territoires en France, non seulement au travers de nos agents généraux. Nous avons 3000 agents généraux en France qui aujourd'hui sont formés justement pour pouvoir accompagner les entreprises. Mais c'est aussi des événements que nous organisons au sein, par exemple, des centres de commerce ou des forums que nous organisons pour faire émerger justement cette connaissance. Et puis, le deuxième enjeu, c'est la veille constante. Vous le citiez tout à l'heure, l'évolution technologique est assez forte sur le marché de l'informatique. Et donc, il nous faut non seulement avoir une clairvoyance sur l'évolution justement de ces évolutions technologiques, Et puis également faire en sorte que nos collaborateurs, nos distributeurs, nos agents généraux soient formés justement à ces nouvelles technologies et ces nouveaux risques.
Anthony Baron
Peut-être pour aller vers une conclusion, quels conseils vous donneriez aux dirigeants d'entreprise aujourd'hui concernant la cybersécurité, les leviers de couverture ? Alors, on imagine prendre et souscrire un contrat chez AXA, mais voilà, vraiment les conseils à donner en premier lieu.
Frédéric Coppin
Le conseil, c'est d'abord de prendre conscience. avant tout, qu'une cyberattaque, je dirais qu'en un clic, peut détruire une entreprise. Il en va vraiment de la pérennité de l'entreprise. Ça, c'est un premier sujet. Et la problématique qu'on a aujourd'hui, c'est que la cybersécurité ou l'informatique, de façon générale, pour un chef d'entreprise. C'est quelque chose, finalement, d'assez abstrait. Je fais le parallèle par rapport à l'incendie, qui est quelque chose d'absolument tangible. Eh bien, l'informatique et le cyber, de façon générale, est assez abstrait. Et donc, le premier sujet pour moi, le premier conseil, c'est anticiper, travailler la prévention dans l'entreprise, se préparer avant qu'il ne soit trop tard, de manière à garantir une continuité d'activité et permettre finalement de satisfaire les clients dans les délais qu'un chef d'entreprise peut garantir. Et puis la deuxième chose, le deuxième conseil que je peux donner, c'est de sensibiliser les équipes. Comme on le disait tout à l'heure, dans la majeure partie des cas, C'est par les collaborateurs, par les employés que passe finalement cette cyberattaque. Et donc, plus on sensibilise les équipes et moins, effectivement, on a de probabilités finalement d'être touché par une cyberattaque.
Anthony Baron
Je suis une entreprise, je souhaite souscrire un contrat auprès d'AXA. Comment je fais ?
Frédéric Coppin
Alors, comme je disais, on a un réseau d'agents généraux qui est formé justement sur ce risque cyber et qui connaît parfaitement justement l'accompagnement que nous pouvons proposer. Et donc, le territoire français émaillé, justement, de ces agents généraux, il suffit de contacter un de ces agents généraux, et nous serons à même d'accompagner, soit au travers de l'agent général, soit pour des ETI, des entreprises plus importantes, au travers de nos collaborateurs, nous serons à même de conseiller au mieux ces entreprises.
Anthony Baron
Un grand merci Frédéric, c'était un plaisir en tout cas de vous accueillir aujourd'hui dans cette émission des Afters de la Transformation. Moi, ce que je retiens, c'est effectivement l'importance en tout cas de se protéger en tant que dirigeant d'entreprise. On a aujourd'hui 70 000 dirigeants qui nous écoutent chaque semaine sur cette émission. La nécessité, vous l'avez beaucoup insisté dessus, de former les collaborateurs vraiment au risque cyber. Et puis finalement, même face à une attaque, on a la capacité de se sécuriser et de protéger nos données, notamment à travers des partenaires tels que vous. Donc un grand merci. C'est un réel plaisir, Frédéric, de vous accueillir. Qu'est-ce qu'on peut vous souhaiter pour la suite ?
Frédéric Coppin
Qu'est-ce qu'on peut nous souhaiter ? Justement, faire en sorte que ce monde des entreprises soit conscient de ces risques et puis que nous soyons en capacité de les accompagner au mieux. Merci de votre invitation en tout cas.
Anthony Baron
Merci beaucoup Frédéric. Je recevais aujourd'hui Frédéric Coppin, directeur technique chez AXA France, notamment en charge de l'activité cybersécurité. Les Afters de la Transformation, une émission à écouter et réécouter sur l'ensemble des plateformes de streaming musical. Et on vous souhaite une excellente journée et à la semaine prochaine.
Générique
Les Afters de la transformation une émission à écouter et à télécharger sur adequancy.com et toutes les plateformes de podcast.

Embed