Cybersécurité industrielle : sortir des idées reçues | Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

Description

🎧 Cybersécurité industrielle : sortir des idées reçues

🔐 Série – Cybersécurité industrielle : protéger sans freiner l’activité

La cyber sécurité des PMI est-elle une contrainte technique… ou un levier de compétitivité industrielle ?

Pour répondre à cette question, j’accueille Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité.

Dans cette série spéciale d’Oser l’Efficacité, on démonte les idées reçues autour de la cybersécurité en industrie :

Le facteur humain est-il vraiment le maillon faible ?
Le cloud est-il si dangereux qu’on le dit ?
Peut-on protéger son activité sans la ralentir ?
La sécurité est-elle un coût… ou une assurance survie ?

Face à l’augmentation du risque informatique, aux exigences des grands donneurs d’ordre et aux nouvelles réglementations (NIS2), la cyber sécurité des PMI devient un droit d’entrée… et un droit de rester dans la chaîne d’approvisionnement industrielle.

Objectif de cette série : rendre la cybersécurité industrielle concrète, pragmatique et actionnable pour les dirigeants de PMI qui veulent protéger leur entreprise sans tomber dans le jargon technique ni dans l’alarmisme.

🎙️ Épisode 1 – Mythe ou réalité ?

Dans cet épisode, on parle :

Des grandes idées reçues sur la cybersécurité en industrie
Du vrai coût d’un risque informatique (spoiler : ce n’est pas l’audit)
Du “droit de rester” auprès des grands clients
De la cybersécurité comme indicateur de fiabilité industrielle

Michael explique pourquoi la cyber sécurité des PMI n’est plus un sujet purement technique, mais un enjeu stratégique de continuité d’activité.

Une PMI qui anticipe son risque informatique, qui sécurise ses accès, qui structure ses pratiques… gagne en crédibilité, rassure ses partenaires et protège sa production.

Et surtout : on reste lucide.
La sécurité 100 % n’existe pas.
Mais l’anticipation, elle, change tout.

👉 Passe à l’action :

🎁 Le cadeau de Michael :
http://digetik.fr/cyber

🌐 Contacter Michael (CyberSéréno) :
https://www.cybersereno.fr/
https://www.linkedin.com/in/michaeltonso/

📅 Réserve ton rendez-vous stratégique :
http://digetik.fr/rdv

📰 Abonne-toi à la newsletter :
http://www.digetik.fr/news

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue dans Oser l'Efficacité, le Lab, le format où je reçois un expert pour plonger au cœur de sa thématique et te montrer que tu n'es pas seul face à tes incertitudes. Je suis Perrine Thiébaut et j'aide les dirigeants industriels à transformer leur entreprise et que ça se voit dans leur processus, dans leurs décisions, dans leur trésorerie et aussi à l'extérieur. Cette semaine, j'ai à mon micro Michaël Tonso de CyberSereno pour rendre la cybersécurité extrêmement pratique. Un épisode par jour du lundi au vendredi, n'oublie pas de t'abonner pour ne pas rater les suivants. C'est parti pour le premier épisode où on va casser. quelques mythes. Bonjour Michaël, je suis ravie de t'accueillir.
Speaker #1
Bonjour Perrine, merci pour l'invitation.
Speaker #0
On va commencer tout de suite par analyser ton origin story, parce que oui, dans Oser l'Efficacité, on aime bien transformer nos invités en super-héros. Et donc, ça se passe tout de suite dans la section I need a hero. Comment tu es tombé dans la cybersécurité ?
Speaker #1
Cybersécurité, en fait, elle s'est imposée dans mon domaine de compétences, qui est l'informatique, vous l'aurez compris. Ça fait maintenant plus de 20 ans que j'exerce dans ce domaine-là. Et il est vrai qu'au début de mon expérience professionnelle, le sujet de la cyber était quasiment inexistant. J'ai affûté mes compétences cyber depuis un peu plus de 10 ans, en ayant la démarche de décortiquer plusieurs séquences de piratage qui ont eu lieu, dont on a tous parlé. Et à chaque fois, j'ai cherché à identifier les faiblesses qui étaient les plus utilisées par les pirates, en me demandant tout le temps qu'est-ce qui aurait pu être fait pour éviter. tel ou tel piratage. Quand j'étais responsable informatique d'une entreprise, j'avais bien vu toutes les tentatives d'attaque pousser et s'amplifier d'année en année. Du coup, je voulais pas rester non plus les bras croisés et attendre que le pire arrive un jour. J'ai pris... J'ai voulu prendre le dent, justement, en identifiant les pratiques et les outils qui apportent concrètement des renforts de sécurité. Bref, c'était d'adopter une démarche d'anticipation. Donc je me suis progressivement rendu compte qu'il y avait des... qu'il y avait des outils et des pratiques. que j'ai testé concrètement, qui permettait vraiment d'élever le niveau de sécurisation des PME et des PMI, et qui ne se doutaient pas forcément à ce moment-là que de la facilité qu'un pirate pouvait utiliser pour s'infiltrer dans leurs entreprises.
Speaker #0
Est-ce qu'il y a un truc qui est différent quand on parle de cybersécurité, justement plutôt en PMI, globalement dans l'industrie en fait ?
Speaker #1
Globalement dans l'industrie, mais bon c'est des entreprises qui restent à l'échelle humaine et où il est nécessaire et important. d'être concret et d'avoir une démarche terrain qui s'adapte vraiment au fonctionnement de chaque entreprise. Dit autrement, ça serait de faire mieux avec autant, je vous entends, de moyens. Et ça fait un petit peu écho finalement à la démarche Lean qui existe aussi dans le domaine. Donc c'est d'apporter finalement cette philosophie également dans le domaine cyber. Par exemple, ça serait avant de déployer un nouvel outil de cybersécurité, ça serait d'abord de s'assurer que la base des bonnes pratiques est déjà bien comprise à l'intérieur de l'entreprise. et que le minimum nécessaire est déjà bien ancré au quotidien sans que ça vienne tourner la vie des salariés.
Speaker #0
Ça fait beaucoup écho à l'installation d'à peu près n'importe quel outil informatique. On s'assure d'abord qu'on ait bien compris comment on travaille avant de rajouter un outil qui peut complexifier les choses quand ce n'est pas fait.
Speaker #1
Absolument, c'est bien dans ce temps-là qu'il faudrait prendre les choses et pas l'inverse. C'est-à-dire que ce n'est pas l'outil informatique qui est censé contraindre l'organisation d'une entreprise.
Speaker #0
On est bien d'accord. Comment tu expliquerais ton métier à un enfant de 10 ans ?
Speaker #1
Mon job, c'est... de penser comme celui qui vient vous piéger, sous-entendu via l'informatique, pour l'empêcher et l'arrêter avant que ça se produise.
Speaker #0
Je trouve ça très clair, merci. Je te laisse une minute pour compléter ta présentation avec des points que tu n'aurais pas encore abordés dans mes questions.
Speaker #1
Je suis plutôt un informaticien de terrain qui exerce sur un sujet au-delà de la cybersécurité parce que la cybersécurité en tant que telle, finalement, c'est un élément qui est très transvers dans l'informatique, donc ça oblige quand même à aller tirer le... la polyvalence de compétences dans l'informatique. Après, sur ce thème de cybersécurité, personnellement, je le trouve assez galvaudé, dans le sens où je suis persuadé que parmi ceux qui nous écoutent là, tout le monde n'y associe pas tout à fait la même chose. Par exemple, je rentre un petit peu dans la caricature, mais souvent derrière le terme cyber, on a très rapidement l'image du hacker avec sa capuche légendaire qui apparaît. Et ça c'est le premier point. Et l'autre point c'est qu'il y a aussi une connotation très ancrée de mon point de vue sur les cyberattaques. Quand on parle de cybersécurité, la première chose à laquelle on pense c'est le côté attaque du fait de la médiatisation qui a lieu un petit peu partout, à chaque fois qu'il y a une mésaventure malheureusement. Et alors que c'est dommage parce qu'en fait c'est un petit peu comme dans la pratique sportive finalement, pour faire un bon match, certes il y a une attaque. Mais il y a aussi la partie défense qui est spectaculaire. Et malheureusement, cette partie défense, je vais dire, elle n'est pas forcément aussi bien mise en avant qu'il ne faudrait. Et c'est plus sur celle-ci que je pense qu'il y a des choses à faire. Alors du coup, ce qui se passe, c'est que pour les entreprises industrielles et pour d'autres aussi, du coup, le... Ce que je me rends compte sur le terrain, c'est que dès qu'on parle de cybersécurité, ça devient très rapidement un sujet qu'on repousse plutôt qu'un réflexe qu'on adopte.
Speaker #0
Donc tu trouves que c'est plus simple d'aborder les industriels en parlant de protection informatique du coup ?
Speaker #1
C'est déjà effectivement des termes qui sont plus parlants et qui sont beaucoup plus en lien avec la partie défense que je préfère porter. Donc ça peut être protection numérique, ça peut être sécurisation, ça peut être aussi une terminologie de cyberprotection qui elle est plus évocatrice et plus rassurante dans l'action de défense.
Speaker #0
Donc toi tu ne te sers pas des buzzwords pour vendre quoi, tu es un peu à contre-courant.
Speaker #1
Je suis un petit peu à contre-courant et je l'assume, parce qu'en fait moi je pense que c'est plus important d'avancer sur le terrain plutôt que... plutôt que de soutenir parfois un peu le côté spectaculaire dans le domaine de la cyber lié aux attaques qui ont lieu à droite à gauche.
Speaker #0
Ça me va très bien. De toute façon, c'est ce qu'on va creuser dans tous ces épisodes. Une cybersécurité ou une protection informatique beaucoup plus pratique. Je vais essayer d'utiliser les bons termes, du coup. Pour finir ta présentation, ici, on adore les références pop. Donc, si tu devais comparer CyberSereno, ta société, à un film ou une série ou un super-héros, qu'est-ce que tu dirais ?
Speaker #1
Film, ça serait plutôt Minority Report. Alors plus pour le côté j'anticipe, j'empêche les malveillances avant qu'elles ne se produisent. Je pense qu'on est un peu dans le même état d'esprit. Série, je ne vais pas être très original, il y a une série qui s'appelle Mister Robot. Et là, c'est plus pour le côté pédagogique et clarification des méthodes malveillantes. Alors ça, moi j'adore ça personnellement, c'est ce qui me nourrit dans mon activité. Et c'est sur ce côté pédagogique qui, de mon point de vue, peut aider à... à renforcer la résilience des entreprises. Super héros, je serais plutôt le côté Batman. Parce que Batman, c'est souvent quelqu'un qui est très réfléchi, qui prépare ses interventions, qui analyse les situations. Enfin voilà, moi je fonctionne effectivement aussi bien comme ça.
Speaker #0
Super héros sans super pouvoir, mais ultra fort.
Speaker #1
En quelque sorte, c'est ça effectivement. Et puis je reste vrai d'être, effectivement, je ne prétends pas avoir des super pouvoirs, malheureusement, mais peut-être qu'un jour ce sera possible, mais ce n'est pas encore le cas. Il y a peut-être aussi un animal. potentiellement qui pourraient être associés à moi. Alors, c'est difficile pour moi d'en avoir qu'un seul, mais le premier, ça serait un patou. Le patou, je ne sais pas si tout le monde connaît, mais c'est un chien de montagne des Pyrénées. Et le patou, en fait, c'est les gardiens de troupeaux, exactement. Et c'est souvent des animaux qui sont très posés, très tranquilles, qui observent et qui ont la vue d'ensemble, finalement, pour protéger le groupe du troupeau qui doit protéger face aux rôdeurs.
Speaker #0
Ils sont posés tant que tu ne viens pas t'approcher du troupeau.
Speaker #1
Tant qu'on ne vient pas s'approcher du troupeau, effectivement. Et sinon, il y a aussi un côté, peut-être un côté un peu castor, étonnamment, plus pour le côté bâtisseur. En fait, c'est des animaux qui s'adaptent à leur terrain, tout en étant pragmatiques dans la construction de leurs éléments.
Speaker #0
Génial, c'est un vrai portrait chinois finalement que tu nous as offert. Je trouve ça hyper intéressant parce que ça permet aussi de mieux comprendre ton approche. d'une manière un peu différente. Et ça permet aussi de bien choisir avec qui on veut travailler le cas échéant. Donc merci pour tous ces partages. Maintenant, je vais te mettre encore un peu plus au boulot. On va moins parler de toi, on va parler de ton activité. Parce qu'actuellement, sur la cybersécurité, comme tu l'as dit, c'est un terme qui est sûrement un peu galvaudé. On entend absolument tout et son contraire. Et ce que j'aimerais faire dans notre prochaine section, c'est d'aller débunker quelques croyances. Et ça se passe dans la section mythes. ou réalité. Alors la règle du jeu elle est assez simple, je te donne une phrase et tu me dis si c'est un mythe ou une réalité et tu peux bien sûr nuancer. Donc 0% c'est complètement un mythe, il faut vraiment arrêter de penser ça maintenant et tout de suite et 100% c'est malheureusement totalement vrai et il faut composer avec. T'es prêt ?
Speaker #1
Ok, c'est parti.
Speaker #0
Alors première phrase le wifi en atelier c'est la porte ouverte aux attaques.
Speaker #1
En réalité, clairement, le Wi-Fi, ça a un côté hyper pratique, sauf que conceptuellement, c'est une passoire qui est très difficile à combattre. C'est un des éléments que j'estime qu'il vaudra mieux éviter d'utiliser.
Speaker #0
Le cloud, c'est moins sûr que le serveur de mon cousin dans sa cave.
Speaker #1
Pour moi, c'est un mythe. Après, c'est un sujet qui peut être parfois un peu clivant, mais en tout cas, mon point de vue, c'est qu'il vaut mieux un cloud bien paramétré, bien réfléchi en termes de sécurité, que de disposer de son propre serveur chez soi. avec une maintenance qui serait négligée ou pas forcément très suivie.
Speaker #0
C'est un sujet de toute façon qu'on va approfondir dans le troisième épisode parce qu'effectivement, le choix des logiciels, le choix des stratégies d'hébergement, c'est vraiment quelque chose d'extrêmement stratégique aujourd'hui et donc on va y consacrer un épisode complet. Ma PME est trop petite pour intéresser un pirate.
Speaker #1
C'est un mythe. Toutes les tailles d'entreprises aujourd'hui sont concernées. La malveillance sera calibrée en fonction de l'échelle et de la taille de l'entreprise, mais en tout cas, toutes les entreprises, voire même les particuliers, aujourd'hui sont concernées par des malveillances. Et je crois que c'est par exemple malheureusement trop de petites entreprises qui sont choquées d'être victimes de fraude aux virements par exemple, où ils ont perdu plusieurs dizaines de millions d'euros après qu'un pirate ait par exemple pris le contrôle de leur boîte mail.
Speaker #0
C'est quoi une fraude au virement ?
Speaker #1
La fraude au virement, c'est un individu qui se fait passer pour quelqu'un qu'on connaît et qui utilise le lien de confiance pour pouvoir retirer de l'argent et obtenir de l'argent de manière malveillante.
Speaker #0
Donc il fait faire l'action à une personne qui a le droit de le faire ?
Speaker #1
Oui, et qui en bonne conscience pense faire le virement pour une vraie cause, une vraie raison. auprès d'une personne qu'il connaît alors qu'en fait derrière c'est pas la personne qui croit et que c'est en fait un pirate.
Speaker #0
Chose dont on peut souffrir à titre privé aussi, c'est des histoires que j'ai déjà entendues.
Speaker #1
À titre privé, oui tout à fait, et se faire appréhender par un proche. Dans le cas d'entreprise, ça peut être se faire d'avoir un échange avec un client ou un fournisseur dans le cadre d'un règlement. Le client règle par exemple une entité ou un RIB qui n'est pas le bon, qui n'est pas celui de l'entreprise en question, parce que l'entreprise... a été victime d'un détournement de sa boîte mail et du coup, le pirate a pu échanger en confiance avec le client pour détourner l'argent qui lui était dû.
Speaker #0
Phrase suivante, un antivirus suffit.
Speaker #1
Alors, mythe total. L'antivirus, il détecte ce qui est connu par défaut. Alors, je ne dis pas qu'il n'en faut pas, il en faut un quand même. C'est toujours mieux de bloquer ce qui est connu. Mais le piège, c'est que les pirates... font chaque jour en sorte de renouveler par des automatismes valveillants les éléments contournés et passer sous les radars des antivirus. Du coup, l'antivirus en tout cas à lui seul ne suffit pas.
Speaker #0
C'est normal que ça me fasse penser un peu au contrôle antidopage, ça ?
Speaker #1
Alors, sous quel point de vue ? C'est intéressant.
Speaker #0
Ça détecte que ce qui est connu et que Fidou cherche de ce côté-là, il cherche toujours à contourner l'antidopage plutôt qu'à arrêter de se doper finalement. C'est vrai. L'antivirus ne va pas empêcher les gens d'attaquer et de trouver une nouvelle idée.
Speaker #1
C'est effectivement ça.
Speaker #0
On prend l'analogie alors. La cybersécurité, c'est un truc d'informaticien.
Speaker #1
C'est à la fois un truc d'informaticien, mais ce n'est pas seulement un truc d'informaticien. Donc pour moi, c'est un mythe. La première faille, le premier geste qui fait entrer une malveillance, en général, il se trouve entre la chaise et le clavier. Donc c'est l'individu, c'est l'humain, on en reparlera aussi.
Speaker #0
Dans le prochain épisode, tout à fait.
Speaker #1
Et la sécurisation, en fait, pour qu'elle soit vraiment efficace, il est vraiment important qu'elle ait l'appui et l'impulsion qui viennent d'abord de la direction. pas seulement un sujet d'informaticien, c'est d'abord un sujet de l'entreprise.
Speaker #0
Un limite que je voulais te soumettre, c'est la cyber, ça coûte cher.
Speaker #1
Ça peut parfois donner l'impression que ça coûte cher. Chaque professionnel de cyber sécurité, par exemple, chaque éditeur de solutions cyber ou solutions informatiques en général, il est par ses arguments et ses points de foi concernant ses propres convictions pour protéger les activités numériques. Mais souvent, moi, ce que je constate sur le terrain, c'est que c'est pas forcément toujours exhaustif. Et là où ça commence à coûter cher, c'est lorsque la cyber commence à empiler des couches finalement, et qu'on ajoute des contraintes, qu'on ajoute un peu trop d'outils. Mon avis, c'est d'abord d'aller par étapes progressives, déjà en s'assurant que la base des bonnes pratiques est déjà bien ancrée dans l'entreprise et qu'elle soit solide, et ensuite de traiter par priorité la mise en place de certains sujets, soit certains outils, mais à chaque fois de bien challenger si c'est pertinent ou pas. de l'intégrer dans le contexte de l'entreprise et de bien l'identifier également, ce que ça apporte réellement au quotidien versus les limites que chacune des solutions a en général. Donc, c'est souvent un petit peu masqué, mais en fait, dès qu'on introduit un nouvel outil, une nouvelle solution, il y a aussi des limites. Et c'est important pour moi de les mettre en évidence des entreprises pour qu'elles puissent faire le bon choix dans leur organisation. Si je prends un exemple, On peut se questionner, est-ce qu'à premier abord, l'un des réflexes qu'on peut avoir, c'est de dire, si je veux traiter le sujet de la cybersécurité, je vais faire un test d'intrusion. Moi, la question que je pose par rapport à ça, c'est dans le contexte actuel, est-ce qu'il est pertinent de faire la démonstration qu'on est vulnérable et que du coup, le test d'intrusion va forcément être concluant ? Je renverse un petit peu le sujet et je me dis, il est préférable d'abord de se poser et de challenger un petit peu ces pratiques. Et d'abord de mettre en place des éléments qui vont vraiment permettre de renforcer la sécurisation pour qu'un thésaintrusion ou pour qu'un pirate, si jamais il tente de s'introduire, que ça soit beaucoup plus compliqué pour lui d'arriver à ses fins.
Speaker #0
Ça marche. Est-ce qu'il y a un mythe que tu voudrais voir tomber ? Un mythe que je ne t'ai pas forcément proposé, mais sur lequel tu voudrais vraiment que les croyances changent demain ?
Speaker #1
Ça serait cesser de se croire invulnérable et intouchable. Et puis de rester humble, finalement, face à tout ça. Je croise encore quelques entreprises qui pensent ne pas forcément être concernées par tous ces sujets-là. Il ne faut pas venir à inspirer les entreprises, que ce soit la direction, les salariés. et de maintenir cet état d'esprit qui reste modeste, tout en étant dans des logiques et dans des pratiques qui restent compatibles avec le quotidien, parce qu'il faut continuer d'avancer et de travailler, évidemment. On n'est pas là que pour apporter des contraintes. Et en fait, l'idée, c'est de nourrir la volonté d'aller de l'avant pour améliorer les choses. Donc ça, c'est déjà la première clé, c'est d'aspirer pour impulser l'entreprise à aller de l'avant. Moi, je suis persuadé que l'expliquer avec des mots simples auprès de personnes qui ne sont pas forcément initiées, déjà, c'est le premier élément important pour que les personnes s'impliquent et soient interpellées sur le fait pour dire « Ah oui, d'accord, là, j'ai compris ce qui peut se passer quand je fais telle ou telle opération d'un point de vue numérique. En fait, je peux potentiellement m'exposer à ça, donc il faut que je sois un peu plus vigilant là-dessus. » accéder et faire un clic malheureux sur un élément malveillant sans se poser des questions. Généralement, les individus craignent et s'éloignent de ce qu'ils ne comprennent pas. Il y a un côté fuite, une sorte de réaction, un réflexe humain qu'on rencontre dans différentes circonstances. Donc en fait, c'est quelque chose qu'on ne comprend pas, on va chercher à s'en éloigner par défaut. En résumé, c'est donner du sens et faire en sorte que les pratiques soient vraiment comprises et appliquées par conviction. Et j'insiste là-dessus, il faut que ce soit une pratique qui soit... qui soient adoptées par conviction et pas par contrainte. Parce qu'une pratique qui est adoptée par conviction, elle va s'ancrer au quotidien. Les individus, les salariés vont respecter et l'appliquer. Alors que si c'est une obligation qui est imposée et qui est incomprise, c'est là où ça commence à devenir inadapté. Parce que les individus vont tout faire pour la contourner. Et du coup, la démarche de protection ne va pas être optimale.
Speaker #0
Je garde en particulier le « expliquer pourquoi » que je trouve extrêmement intéressant. qui de toute façon en gestion du changement est toujours essentiel. Expliquer pourquoi et la deuxième chose, que ce n'est pas que des contraintes, on n'est pas là pour empêcher les gens de travailler comme ils le faisaient avant. C'est travailler intelligemment mais en sécurité. En tout cas, on va clore là-dessus. C'est un épisode, il est déjà très très riche. Et d'ailleurs, je crois que tu as un cadeau pour nos auditeurs.
Speaker #1
Pour celles et ceux qui nous écoutent, il y a un lien qui est digetic.fr.cyber. sur lequel vous pouvez vous identifier pour pouvoir avoir accès à une petite mission au ferme de ma part, pour justement mettre en lumière les failles qui existeraient sur vos postes de travail par rapport aux applications qui sont installées. Et avec une période d'essai également, une période de découverte de deux mois, sur un outil que j'utilise et que je déploie auprès de mes clients pour pouvoir leur faciliter la tâche dans l'élimination de ces failles-là découvertes, et de manière totalement transparente et sans que ça n'ait... Donc, c'est un impact pour les utilisateurs.
Speaker #0
Merci pour eux. Demain, on va s'intéresser au sujet que tu nous as déjà un petit peu teasé aujourd'hui en mettant à mal l'idée que la protection informatique, ce n'est qu'un truc d'informaticien et qu'une des principales failles, elle se trouve entre la chaise et le clavier, pour reprendre tes propres mots. C'est donc l'importance du facteur humain dans une bonne protection informatique. En attendant, demain et le prochain épisode, on s'abonne et on ose l'efficacité.

Chapters

Intro
0sec
L'origin story d'un expert de la cyber
30sec
Cybersécurité : Les mythes mis à mal
8min
Le cadeau de Michael
17min

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎧 Bienvenue dans Oser l’efficacité, le podcast qui t’aide à produire plus et mieux avec moins d'effort. Ici, on parle optimisation des processus industriels, efficacité opérationnelle, digitalisation maîtrisée, et surtout : on parle concret.

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

Notre mission : t’aider à transformer ton entreprise de l’intérieur, un process à la fois — que tu sois dirigeant·e, responsable de production, directeur·rice industriel·le, ou chargé·e de projet digitalisation.

👤 Animé par Perrine Thiébaut, fondatrice de Digetik, experte en transformation numérique et optimisation des performances industrielles, ce podcast s’appuie sur plus de 10 ans de terrain dans les ateliers, les ERP, et les chantiers Lean de PME comme de grands groupes. Son style ? Direct, accessible, sans jargon— et avec ce petit humour bien placé qui rend les sujets pointus enfin digestes.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

📬 Envie d’aller plus loin ?
Découvre “Oser l’efficacité – la news”, notre newsletter hebdomadaire (un jeudi sur deux à 8h), pour prolonger l’expérience : synthèse des épisodes, outils bonus, bonnes pratiques.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎧 Cybersécurité industrielle : sortir des idées reçues

🔐 Série – Cybersécurité industrielle : protéger sans freiner l’activité

La cyber sécurité des PMI est-elle une contrainte technique… ou un levier de compétitivité industrielle ?

Pour répondre à cette question, j’accueille Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité.

Dans cette série spéciale d’Oser l’Efficacité, on démonte les idées reçues autour de la cybersécurité en industrie :

Le facteur humain est-il vraiment le maillon faible ?
Le cloud est-il si dangereux qu’on le dit ?
Peut-on protéger son activité sans la ralentir ?
La sécurité est-elle un coût… ou une assurance survie ?

🎙️ Épisode 1 – Mythe ou réalité ?

Dans cet épisode, on parle :

Des grandes idées reçues sur la cybersécurité en industrie
Du vrai coût d’un risque informatique (spoiler : ce n’est pas l’audit)
Du “droit de rester” auprès des grands clients
De la cybersécurité comme indicateur de fiabilité industrielle

Michael explique pourquoi la cyber sécurité des PMI n’est plus un sujet purement technique, mais un enjeu stratégique de continuité d’activité.

Une PMI qui anticipe son risque informatique, qui sécurise ses accès, qui structure ses pratiques… gagne en crédibilité, rassure ses partenaires et protège sa production.

Et surtout : on reste lucide.
La sécurité 100 % n’existe pas.
Mais l’anticipation, elle, change tout.

👉 Passe à l’action :

🎁 Le cadeau de Michael :
http://digetik.fr/cyber

🌐 Contacter Michael (CyberSéréno) :
https://www.cybersereno.fr/
https://www.linkedin.com/in/michaeltonso/

📅 Réserve ton rendez-vous stratégique :
http://digetik.fr/rdv

📰 Abonne-toi à la newsletter :
http://www.digetik.fr/news

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue dans Oser l'Efficacité, le Lab, le format où je reçois un expert pour plonger au cœur de sa thématique et te montrer que tu n'es pas seul face à tes incertitudes. Je suis Perrine Thiébaut et j'aide les dirigeants industriels à transformer leur entreprise et que ça se voit dans leur processus, dans leurs décisions, dans leur trésorerie et aussi à l'extérieur. Cette semaine, j'ai à mon micro Michaël Tonso de CyberSereno pour rendre la cybersécurité extrêmement pratique. Un épisode par jour du lundi au vendredi, n'oublie pas de t'abonner pour ne pas rater les suivants. C'est parti pour le premier épisode où on va casser. quelques mythes. Bonjour Michaël, je suis ravie de t'accueillir.
Speaker #1
Bonjour Perrine, merci pour l'invitation.
Speaker #0
On va commencer tout de suite par analyser ton origin story, parce que oui, dans Oser l'Efficacité, on aime bien transformer nos invités en super-héros. Et donc, ça se passe tout de suite dans la section I need a hero. Comment tu es tombé dans la cybersécurité ?
Speaker #1
Cybersécurité, en fait, elle s'est imposée dans mon domaine de compétences, qui est l'informatique, vous l'aurez compris. Ça fait maintenant plus de 20 ans que j'exerce dans ce domaine-là. Et il est vrai qu'au début de mon expérience professionnelle, le sujet de la cyber était quasiment inexistant. J'ai affûté mes compétences cyber depuis un peu plus de 10 ans, en ayant la démarche de décortiquer plusieurs séquences de piratage qui ont eu lieu, dont on a tous parlé. Et à chaque fois, j'ai cherché à identifier les faiblesses qui étaient les plus utilisées par les pirates, en me demandant tout le temps qu'est-ce qui aurait pu être fait pour éviter. tel ou tel piratage. Quand j'étais responsable informatique d'une entreprise, j'avais bien vu toutes les tentatives d'attaque pousser et s'amplifier d'année en année. Du coup, je voulais pas rester non plus les bras croisés et attendre que le pire arrive un jour. J'ai pris... J'ai voulu prendre le dent, justement, en identifiant les pratiques et les outils qui apportent concrètement des renforts de sécurité. Bref, c'était d'adopter une démarche d'anticipation. Donc je me suis progressivement rendu compte qu'il y avait des... qu'il y avait des outils et des pratiques. que j'ai testé concrètement, qui permettait vraiment d'élever le niveau de sécurisation des PME et des PMI, et qui ne se doutaient pas forcément à ce moment-là que de la facilité qu'un pirate pouvait utiliser pour s'infiltrer dans leurs entreprises.
Speaker #0
Est-ce qu'il y a un truc qui est différent quand on parle de cybersécurité, justement plutôt en PMI, globalement dans l'industrie en fait ?
Speaker #1
Globalement dans l'industrie, mais bon c'est des entreprises qui restent à l'échelle humaine et où il est nécessaire et important. d'être concret et d'avoir une démarche terrain qui s'adapte vraiment au fonctionnement de chaque entreprise. Dit autrement, ça serait de faire mieux avec autant, je vous entends, de moyens. Et ça fait un petit peu écho finalement à la démarche Lean qui existe aussi dans le domaine. Donc c'est d'apporter finalement cette philosophie également dans le domaine cyber. Par exemple, ça serait avant de déployer un nouvel outil de cybersécurité, ça serait d'abord de s'assurer que la base des bonnes pratiques est déjà bien comprise à l'intérieur de l'entreprise. et que le minimum nécessaire est déjà bien ancré au quotidien sans que ça vienne tourner la vie des salariés.
Speaker #0
Ça fait beaucoup écho à l'installation d'à peu près n'importe quel outil informatique. On s'assure d'abord qu'on ait bien compris comment on travaille avant de rajouter un outil qui peut complexifier les choses quand ce n'est pas fait.
Speaker #1
Absolument, c'est bien dans ce temps-là qu'il faudrait prendre les choses et pas l'inverse. C'est-à-dire que ce n'est pas l'outil informatique qui est censé contraindre l'organisation d'une entreprise.
Speaker #0
On est bien d'accord. Comment tu expliquerais ton métier à un enfant de 10 ans ?
Speaker #1
Mon job, c'est... de penser comme celui qui vient vous piéger, sous-entendu via l'informatique, pour l'empêcher et l'arrêter avant que ça se produise.
Speaker #0
Je trouve ça très clair, merci. Je te laisse une minute pour compléter ta présentation avec des points que tu n'aurais pas encore abordés dans mes questions.
Speaker #1
Je suis plutôt un informaticien de terrain qui exerce sur un sujet au-delà de la cybersécurité parce que la cybersécurité en tant que telle, finalement, c'est un élément qui est très transvers dans l'informatique, donc ça oblige quand même à aller tirer le... la polyvalence de compétences dans l'informatique. Après, sur ce thème de cybersécurité, personnellement, je le trouve assez galvaudé, dans le sens où je suis persuadé que parmi ceux qui nous écoutent là, tout le monde n'y associe pas tout à fait la même chose. Par exemple, je rentre un petit peu dans la caricature, mais souvent derrière le terme cyber, on a très rapidement l'image du hacker avec sa capuche légendaire qui apparaît. Et ça c'est le premier point. Et l'autre point c'est qu'il y a aussi une connotation très ancrée de mon point de vue sur les cyberattaques. Quand on parle de cybersécurité, la première chose à laquelle on pense c'est le côté attaque du fait de la médiatisation qui a lieu un petit peu partout, à chaque fois qu'il y a une mésaventure malheureusement. Et alors que c'est dommage parce qu'en fait c'est un petit peu comme dans la pratique sportive finalement, pour faire un bon match, certes il y a une attaque. Mais il y a aussi la partie défense qui est spectaculaire. Et malheureusement, cette partie défense, je vais dire, elle n'est pas forcément aussi bien mise en avant qu'il ne faudrait. Et c'est plus sur celle-ci que je pense qu'il y a des choses à faire. Alors du coup, ce qui se passe, c'est que pour les entreprises industrielles et pour d'autres aussi, du coup, le... Ce que je me rends compte sur le terrain, c'est que dès qu'on parle de cybersécurité, ça devient très rapidement un sujet qu'on repousse plutôt qu'un réflexe qu'on adopte.
Speaker #0
Donc tu trouves que c'est plus simple d'aborder les industriels en parlant de protection informatique du coup ?
Speaker #1
C'est déjà effectivement des termes qui sont plus parlants et qui sont beaucoup plus en lien avec la partie défense que je préfère porter. Donc ça peut être protection numérique, ça peut être sécurisation, ça peut être aussi une terminologie de cyberprotection qui elle est plus évocatrice et plus rassurante dans l'action de défense.
Speaker #0
Donc toi tu ne te sers pas des buzzwords pour vendre quoi, tu es un peu à contre-courant.
Speaker #1
Je suis un petit peu à contre-courant et je l'assume, parce qu'en fait moi je pense que c'est plus important d'avancer sur le terrain plutôt que... plutôt que de soutenir parfois un peu le côté spectaculaire dans le domaine de la cyber lié aux attaques qui ont lieu à droite à gauche.
Speaker #0
Ça me va très bien. De toute façon, c'est ce qu'on va creuser dans tous ces épisodes. Une cybersécurité ou une protection informatique beaucoup plus pratique. Je vais essayer d'utiliser les bons termes, du coup. Pour finir ta présentation, ici, on adore les références pop. Donc, si tu devais comparer CyberSereno, ta société, à un film ou une série ou un super-héros, qu'est-ce que tu dirais ?
Speaker #1
Film, ça serait plutôt Minority Report. Alors plus pour le côté j'anticipe, j'empêche les malveillances avant qu'elles ne se produisent. Je pense qu'on est un peu dans le même état d'esprit. Série, je ne vais pas être très original, il y a une série qui s'appelle Mister Robot. Et là, c'est plus pour le côté pédagogique et clarification des méthodes malveillantes. Alors ça, moi j'adore ça personnellement, c'est ce qui me nourrit dans mon activité. Et c'est sur ce côté pédagogique qui, de mon point de vue, peut aider à... à renforcer la résilience des entreprises. Super héros, je serais plutôt le côté Batman. Parce que Batman, c'est souvent quelqu'un qui est très réfléchi, qui prépare ses interventions, qui analyse les situations. Enfin voilà, moi je fonctionne effectivement aussi bien comme ça.
Speaker #0
Super héros sans super pouvoir, mais ultra fort.
Speaker #1
En quelque sorte, c'est ça effectivement. Et puis je reste vrai d'être, effectivement, je ne prétends pas avoir des super pouvoirs, malheureusement, mais peut-être qu'un jour ce sera possible, mais ce n'est pas encore le cas. Il y a peut-être aussi un animal. potentiellement qui pourraient être associés à moi. Alors, c'est difficile pour moi d'en avoir qu'un seul, mais le premier, ça serait un patou. Le patou, je ne sais pas si tout le monde connaît, mais c'est un chien de montagne des Pyrénées. Et le patou, en fait, c'est les gardiens de troupeaux, exactement. Et c'est souvent des animaux qui sont très posés, très tranquilles, qui observent et qui ont la vue d'ensemble, finalement, pour protéger le groupe du troupeau qui doit protéger face aux rôdeurs.
Speaker #0
Ils sont posés tant que tu ne viens pas t'approcher du troupeau.
Speaker #1
Tant qu'on ne vient pas s'approcher du troupeau, effectivement. Et sinon, il y a aussi un côté, peut-être un côté un peu castor, étonnamment, plus pour le côté bâtisseur. En fait, c'est des animaux qui s'adaptent à leur terrain, tout en étant pragmatiques dans la construction de leurs éléments.
Speaker #0
Génial, c'est un vrai portrait chinois finalement que tu nous as offert. Je trouve ça hyper intéressant parce que ça permet aussi de mieux comprendre ton approche. d'une manière un peu différente. Et ça permet aussi de bien choisir avec qui on veut travailler le cas échéant. Donc merci pour tous ces partages. Maintenant, je vais te mettre encore un peu plus au boulot. On va moins parler de toi, on va parler de ton activité. Parce qu'actuellement, sur la cybersécurité, comme tu l'as dit, c'est un terme qui est sûrement un peu galvaudé. On entend absolument tout et son contraire. Et ce que j'aimerais faire dans notre prochaine section, c'est d'aller débunker quelques croyances. Et ça se passe dans la section mythes. ou réalité. Alors la règle du jeu elle est assez simple, je te donne une phrase et tu me dis si c'est un mythe ou une réalité et tu peux bien sûr nuancer. Donc 0% c'est complètement un mythe, il faut vraiment arrêter de penser ça maintenant et tout de suite et 100% c'est malheureusement totalement vrai et il faut composer avec. T'es prêt ?
Speaker #1
Ok, c'est parti.
Speaker #0
Alors première phrase le wifi en atelier c'est la porte ouverte aux attaques.
Speaker #1
En réalité, clairement, le Wi-Fi, ça a un côté hyper pratique, sauf que conceptuellement, c'est une passoire qui est très difficile à combattre. C'est un des éléments que j'estime qu'il vaudra mieux éviter d'utiliser.
Speaker #0
Le cloud, c'est moins sûr que le serveur de mon cousin dans sa cave.
Speaker #1
Pour moi, c'est un mythe. Après, c'est un sujet qui peut être parfois un peu clivant, mais en tout cas, mon point de vue, c'est qu'il vaut mieux un cloud bien paramétré, bien réfléchi en termes de sécurité, que de disposer de son propre serveur chez soi. avec une maintenance qui serait négligée ou pas forcément très suivie.
Speaker #0
C'est un sujet de toute façon qu'on va approfondir dans le troisième épisode parce qu'effectivement, le choix des logiciels, le choix des stratégies d'hébergement, c'est vraiment quelque chose d'extrêmement stratégique aujourd'hui et donc on va y consacrer un épisode complet. Ma PME est trop petite pour intéresser un pirate.
Speaker #1
C'est un mythe. Toutes les tailles d'entreprises aujourd'hui sont concernées. La malveillance sera calibrée en fonction de l'échelle et de la taille de l'entreprise, mais en tout cas, toutes les entreprises, voire même les particuliers, aujourd'hui sont concernées par des malveillances. Et je crois que c'est par exemple malheureusement trop de petites entreprises qui sont choquées d'être victimes de fraude aux virements par exemple, où ils ont perdu plusieurs dizaines de millions d'euros après qu'un pirate ait par exemple pris le contrôle de leur boîte mail.
Speaker #0
C'est quoi une fraude au virement ?
Speaker #1
La fraude au virement, c'est un individu qui se fait passer pour quelqu'un qu'on connaît et qui utilise le lien de confiance pour pouvoir retirer de l'argent et obtenir de l'argent de manière malveillante.
Speaker #0
Donc il fait faire l'action à une personne qui a le droit de le faire ?
Speaker #1
Oui, et qui en bonne conscience pense faire le virement pour une vraie cause, une vraie raison. auprès d'une personne qu'il connaît alors qu'en fait derrière c'est pas la personne qui croit et que c'est en fait un pirate.
Speaker #0
Chose dont on peut souffrir à titre privé aussi, c'est des histoires que j'ai déjà entendues.
Speaker #1
À titre privé, oui tout à fait, et se faire appréhender par un proche. Dans le cas d'entreprise, ça peut être se faire d'avoir un échange avec un client ou un fournisseur dans le cadre d'un règlement. Le client règle par exemple une entité ou un RIB qui n'est pas le bon, qui n'est pas celui de l'entreprise en question, parce que l'entreprise... a été victime d'un détournement de sa boîte mail et du coup, le pirate a pu échanger en confiance avec le client pour détourner l'argent qui lui était dû.
Speaker #0
Phrase suivante, un antivirus suffit.
Speaker #1
Alors, mythe total. L'antivirus, il détecte ce qui est connu par défaut. Alors, je ne dis pas qu'il n'en faut pas, il en faut un quand même. C'est toujours mieux de bloquer ce qui est connu. Mais le piège, c'est que les pirates... font chaque jour en sorte de renouveler par des automatismes valveillants les éléments contournés et passer sous les radars des antivirus. Du coup, l'antivirus en tout cas à lui seul ne suffit pas.
Speaker #0
C'est normal que ça me fasse penser un peu au contrôle antidopage, ça ?
Speaker #1
Alors, sous quel point de vue ? C'est intéressant.
Speaker #0
Ça détecte que ce qui est connu et que Fidou cherche de ce côté-là, il cherche toujours à contourner l'antidopage plutôt qu'à arrêter de se doper finalement. C'est vrai. L'antivirus ne va pas empêcher les gens d'attaquer et de trouver une nouvelle idée.
Speaker #1
C'est effectivement ça.
Speaker #0
On prend l'analogie alors. La cybersécurité, c'est un truc d'informaticien.
Speaker #1
C'est à la fois un truc d'informaticien, mais ce n'est pas seulement un truc d'informaticien. Donc pour moi, c'est un mythe. La première faille, le premier geste qui fait entrer une malveillance, en général, il se trouve entre la chaise et le clavier. Donc c'est l'individu, c'est l'humain, on en reparlera aussi.
Speaker #0
Dans le prochain épisode, tout à fait.
Speaker #1
Et la sécurisation, en fait, pour qu'elle soit vraiment efficace, il est vraiment important qu'elle ait l'appui et l'impulsion qui viennent d'abord de la direction. pas seulement un sujet d'informaticien, c'est d'abord un sujet de l'entreprise.
Speaker #0
Un limite que je voulais te soumettre, c'est la cyber, ça coûte cher.
Speaker #1
Ça peut parfois donner l'impression que ça coûte cher. Chaque professionnel de cyber sécurité, par exemple, chaque éditeur de solutions cyber ou solutions informatiques en général, il est par ses arguments et ses points de foi concernant ses propres convictions pour protéger les activités numériques. Mais souvent, moi, ce que je constate sur le terrain, c'est que c'est pas forcément toujours exhaustif. Et là où ça commence à coûter cher, c'est lorsque la cyber commence à empiler des couches finalement, et qu'on ajoute des contraintes, qu'on ajoute un peu trop d'outils. Mon avis, c'est d'abord d'aller par étapes progressives, déjà en s'assurant que la base des bonnes pratiques est déjà bien ancrée dans l'entreprise et qu'elle soit solide, et ensuite de traiter par priorité la mise en place de certains sujets, soit certains outils, mais à chaque fois de bien challenger si c'est pertinent ou pas. de l'intégrer dans le contexte de l'entreprise et de bien l'identifier également, ce que ça apporte réellement au quotidien versus les limites que chacune des solutions a en général. Donc, c'est souvent un petit peu masqué, mais en fait, dès qu'on introduit un nouvel outil, une nouvelle solution, il y a aussi des limites. Et c'est important pour moi de les mettre en évidence des entreprises pour qu'elles puissent faire le bon choix dans leur organisation. Si je prends un exemple, On peut se questionner, est-ce qu'à premier abord, l'un des réflexes qu'on peut avoir, c'est de dire, si je veux traiter le sujet de la cybersécurité, je vais faire un test d'intrusion. Moi, la question que je pose par rapport à ça, c'est dans le contexte actuel, est-ce qu'il est pertinent de faire la démonstration qu'on est vulnérable et que du coup, le test d'intrusion va forcément être concluant ? Je renverse un petit peu le sujet et je me dis, il est préférable d'abord de se poser et de challenger un petit peu ces pratiques. Et d'abord de mettre en place des éléments qui vont vraiment permettre de renforcer la sécurisation pour qu'un thésaintrusion ou pour qu'un pirate, si jamais il tente de s'introduire, que ça soit beaucoup plus compliqué pour lui d'arriver à ses fins.
Speaker #0
Ça marche. Est-ce qu'il y a un mythe que tu voudrais voir tomber ? Un mythe que je ne t'ai pas forcément proposé, mais sur lequel tu voudrais vraiment que les croyances changent demain ?
Speaker #1
Ça serait cesser de se croire invulnérable et intouchable. Et puis de rester humble, finalement, face à tout ça. Je croise encore quelques entreprises qui pensent ne pas forcément être concernées par tous ces sujets-là. Il ne faut pas venir à inspirer les entreprises, que ce soit la direction, les salariés. et de maintenir cet état d'esprit qui reste modeste, tout en étant dans des logiques et dans des pratiques qui restent compatibles avec le quotidien, parce qu'il faut continuer d'avancer et de travailler, évidemment. On n'est pas là que pour apporter des contraintes. Et en fait, l'idée, c'est de nourrir la volonté d'aller de l'avant pour améliorer les choses. Donc ça, c'est déjà la première clé, c'est d'aspirer pour impulser l'entreprise à aller de l'avant. Moi, je suis persuadé que l'expliquer avec des mots simples auprès de personnes qui ne sont pas forcément initiées, déjà, c'est le premier élément important pour que les personnes s'impliquent et soient interpellées sur le fait pour dire « Ah oui, d'accord, là, j'ai compris ce qui peut se passer quand je fais telle ou telle opération d'un point de vue numérique. En fait, je peux potentiellement m'exposer à ça, donc il faut que je sois un peu plus vigilant là-dessus. » accéder et faire un clic malheureux sur un élément malveillant sans se poser des questions. Généralement, les individus craignent et s'éloignent de ce qu'ils ne comprennent pas. Il y a un côté fuite, une sorte de réaction, un réflexe humain qu'on rencontre dans différentes circonstances. Donc en fait, c'est quelque chose qu'on ne comprend pas, on va chercher à s'en éloigner par défaut. En résumé, c'est donner du sens et faire en sorte que les pratiques soient vraiment comprises et appliquées par conviction. Et j'insiste là-dessus, il faut que ce soit une pratique qui soit... qui soient adoptées par conviction et pas par contrainte. Parce qu'une pratique qui est adoptée par conviction, elle va s'ancrer au quotidien. Les individus, les salariés vont respecter et l'appliquer. Alors que si c'est une obligation qui est imposée et qui est incomprise, c'est là où ça commence à devenir inadapté. Parce que les individus vont tout faire pour la contourner. Et du coup, la démarche de protection ne va pas être optimale.
Speaker #0
Je garde en particulier le « expliquer pourquoi » que je trouve extrêmement intéressant. qui de toute façon en gestion du changement est toujours essentiel. Expliquer pourquoi et la deuxième chose, que ce n'est pas que des contraintes, on n'est pas là pour empêcher les gens de travailler comme ils le faisaient avant. C'est travailler intelligemment mais en sécurité. En tout cas, on va clore là-dessus. C'est un épisode, il est déjà très très riche. Et d'ailleurs, je crois que tu as un cadeau pour nos auditeurs.
Speaker #1
Pour celles et ceux qui nous écoutent, il y a un lien qui est digetic.fr.cyber. sur lequel vous pouvez vous identifier pour pouvoir avoir accès à une petite mission au ferme de ma part, pour justement mettre en lumière les failles qui existeraient sur vos postes de travail par rapport aux applications qui sont installées. Et avec une période d'essai également, une période de découverte de deux mois, sur un outil que j'utilise et que je déploie auprès de mes clients pour pouvoir leur faciliter la tâche dans l'élimination de ces failles-là découvertes, et de manière totalement transparente et sans que ça n'ait... Donc, c'est un impact pour les utilisateurs.
Speaker #0
Merci pour eux. Demain, on va s'intéresser au sujet que tu nous as déjà un petit peu teasé aujourd'hui en mettant à mal l'idée que la protection informatique, ce n'est qu'un truc d'informaticien et qu'une des principales failles, elle se trouve entre la chaise et le clavier, pour reprendre tes propres mots. C'est donc l'importance du facteur humain dans une bonne protection informatique. En attendant, demain et le prochain épisode, on s'abonne et on ose l'efficacité.

Chapters

Intro
0sec
L'origin story d'un expert de la cyber
30sec
Cybersécurité : Les mythes mis à mal
8min
Le cadeau de Michael
17min

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Chapters

Intro
0sec
L'origin story d'un expert de la cyber
30sec
Cybersécurité : Les mythes mis à mal
8min
Le cadeau de Michael
17min

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎧 Cybersécurité industrielle : sortir des idées reçues

🔐 Série – Cybersécurité industrielle : protéger sans freiner l’activité

La cyber sécurité des PMI est-elle une contrainte technique… ou un levier de compétitivité industrielle ?

Pour répondre à cette question, j’accueille Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité.

Dans cette série spéciale d’Oser l’Efficacité, on démonte les idées reçues autour de la cybersécurité en industrie :

Le facteur humain est-il vraiment le maillon faible ?
Le cloud est-il si dangereux qu’on le dit ?
Peut-on protéger son activité sans la ralentir ?
La sécurité est-elle un coût… ou une assurance survie ?

🎙️ Épisode 1 – Mythe ou réalité ?

Dans cet épisode, on parle :

Des grandes idées reçues sur la cybersécurité en industrie
Du vrai coût d’un risque informatique (spoiler : ce n’est pas l’audit)
Du “droit de rester” auprès des grands clients
De la cybersécurité comme indicateur de fiabilité industrielle

Michael explique pourquoi la cyber sécurité des PMI n’est plus un sujet purement technique, mais un enjeu stratégique de continuité d’activité.

Une PMI qui anticipe son risque informatique, qui sécurise ses accès, qui structure ses pratiques… gagne en crédibilité, rassure ses partenaires et protège sa production.

Et surtout : on reste lucide.
La sécurité 100 % n’existe pas.
Mais l’anticipation, elle, change tout.

👉 Passe à l’action :

🎁 Le cadeau de Michael :
http://digetik.fr/cyber

🌐 Contacter Michael (CyberSéréno) :
https://www.cybersereno.fr/
https://www.linkedin.com/in/michaeltonso/

📅 Réserve ton rendez-vous stratégique :
http://digetik.fr/rdv

📰 Abonne-toi à la newsletter :
http://www.digetik.fr/news

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue dans Oser l'Efficacité, le Lab, le format où je reçois un expert pour plonger au cœur de sa thématique et te montrer que tu n'es pas seul face à tes incertitudes. Je suis Perrine Thiébaut et j'aide les dirigeants industriels à transformer leur entreprise et que ça se voit dans leur processus, dans leurs décisions, dans leur trésorerie et aussi à l'extérieur. Cette semaine, j'ai à mon micro Michaël Tonso de CyberSereno pour rendre la cybersécurité extrêmement pratique. Un épisode par jour du lundi au vendredi, n'oublie pas de t'abonner pour ne pas rater les suivants. C'est parti pour le premier épisode où on va casser. quelques mythes. Bonjour Michaël, je suis ravie de t'accueillir.
Speaker #1
Bonjour Perrine, merci pour l'invitation.
Speaker #0
On va commencer tout de suite par analyser ton origin story, parce que oui, dans Oser l'Efficacité, on aime bien transformer nos invités en super-héros. Et donc, ça se passe tout de suite dans la section I need a hero. Comment tu es tombé dans la cybersécurité ?
Speaker #1
Cybersécurité, en fait, elle s'est imposée dans mon domaine de compétences, qui est l'informatique, vous l'aurez compris. Ça fait maintenant plus de 20 ans que j'exerce dans ce domaine-là. Et il est vrai qu'au début de mon expérience professionnelle, le sujet de la cyber était quasiment inexistant. J'ai affûté mes compétences cyber depuis un peu plus de 10 ans, en ayant la démarche de décortiquer plusieurs séquences de piratage qui ont eu lieu, dont on a tous parlé. Et à chaque fois, j'ai cherché à identifier les faiblesses qui étaient les plus utilisées par les pirates, en me demandant tout le temps qu'est-ce qui aurait pu être fait pour éviter. tel ou tel piratage. Quand j'étais responsable informatique d'une entreprise, j'avais bien vu toutes les tentatives d'attaque pousser et s'amplifier d'année en année. Du coup, je voulais pas rester non plus les bras croisés et attendre que le pire arrive un jour. J'ai pris... J'ai voulu prendre le dent, justement, en identifiant les pratiques et les outils qui apportent concrètement des renforts de sécurité. Bref, c'était d'adopter une démarche d'anticipation. Donc je me suis progressivement rendu compte qu'il y avait des... qu'il y avait des outils et des pratiques. que j'ai testé concrètement, qui permettait vraiment d'élever le niveau de sécurisation des PME et des PMI, et qui ne se doutaient pas forcément à ce moment-là que de la facilité qu'un pirate pouvait utiliser pour s'infiltrer dans leurs entreprises.
Speaker #0
Est-ce qu'il y a un truc qui est différent quand on parle de cybersécurité, justement plutôt en PMI, globalement dans l'industrie en fait ?
Speaker #1
Globalement dans l'industrie, mais bon c'est des entreprises qui restent à l'échelle humaine et où il est nécessaire et important. d'être concret et d'avoir une démarche terrain qui s'adapte vraiment au fonctionnement de chaque entreprise. Dit autrement, ça serait de faire mieux avec autant, je vous entends, de moyens. Et ça fait un petit peu écho finalement à la démarche Lean qui existe aussi dans le domaine. Donc c'est d'apporter finalement cette philosophie également dans le domaine cyber. Par exemple, ça serait avant de déployer un nouvel outil de cybersécurité, ça serait d'abord de s'assurer que la base des bonnes pratiques est déjà bien comprise à l'intérieur de l'entreprise. et que le minimum nécessaire est déjà bien ancré au quotidien sans que ça vienne tourner la vie des salariés.
Speaker #0
Ça fait beaucoup écho à l'installation d'à peu près n'importe quel outil informatique. On s'assure d'abord qu'on ait bien compris comment on travaille avant de rajouter un outil qui peut complexifier les choses quand ce n'est pas fait.
Speaker #1
Absolument, c'est bien dans ce temps-là qu'il faudrait prendre les choses et pas l'inverse. C'est-à-dire que ce n'est pas l'outil informatique qui est censé contraindre l'organisation d'une entreprise.
Speaker #0
On est bien d'accord. Comment tu expliquerais ton métier à un enfant de 10 ans ?
Speaker #1
Mon job, c'est... de penser comme celui qui vient vous piéger, sous-entendu via l'informatique, pour l'empêcher et l'arrêter avant que ça se produise.
Speaker #0
Je trouve ça très clair, merci. Je te laisse une minute pour compléter ta présentation avec des points que tu n'aurais pas encore abordés dans mes questions.
Speaker #1
Je suis plutôt un informaticien de terrain qui exerce sur un sujet au-delà de la cybersécurité parce que la cybersécurité en tant que telle, finalement, c'est un élément qui est très transvers dans l'informatique, donc ça oblige quand même à aller tirer le... la polyvalence de compétences dans l'informatique. Après, sur ce thème de cybersécurité, personnellement, je le trouve assez galvaudé, dans le sens où je suis persuadé que parmi ceux qui nous écoutent là, tout le monde n'y associe pas tout à fait la même chose. Par exemple, je rentre un petit peu dans la caricature, mais souvent derrière le terme cyber, on a très rapidement l'image du hacker avec sa capuche légendaire qui apparaît. Et ça c'est le premier point. Et l'autre point c'est qu'il y a aussi une connotation très ancrée de mon point de vue sur les cyberattaques. Quand on parle de cybersécurité, la première chose à laquelle on pense c'est le côté attaque du fait de la médiatisation qui a lieu un petit peu partout, à chaque fois qu'il y a une mésaventure malheureusement. Et alors que c'est dommage parce qu'en fait c'est un petit peu comme dans la pratique sportive finalement, pour faire un bon match, certes il y a une attaque. Mais il y a aussi la partie défense qui est spectaculaire. Et malheureusement, cette partie défense, je vais dire, elle n'est pas forcément aussi bien mise en avant qu'il ne faudrait. Et c'est plus sur celle-ci que je pense qu'il y a des choses à faire. Alors du coup, ce qui se passe, c'est que pour les entreprises industrielles et pour d'autres aussi, du coup, le... Ce que je me rends compte sur le terrain, c'est que dès qu'on parle de cybersécurité, ça devient très rapidement un sujet qu'on repousse plutôt qu'un réflexe qu'on adopte.
Speaker #0
Donc tu trouves que c'est plus simple d'aborder les industriels en parlant de protection informatique du coup ?
Speaker #1
C'est déjà effectivement des termes qui sont plus parlants et qui sont beaucoup plus en lien avec la partie défense que je préfère porter. Donc ça peut être protection numérique, ça peut être sécurisation, ça peut être aussi une terminologie de cyberprotection qui elle est plus évocatrice et plus rassurante dans l'action de défense.
Speaker #0
Donc toi tu ne te sers pas des buzzwords pour vendre quoi, tu es un peu à contre-courant.
Speaker #1
Je suis un petit peu à contre-courant et je l'assume, parce qu'en fait moi je pense que c'est plus important d'avancer sur le terrain plutôt que... plutôt que de soutenir parfois un peu le côté spectaculaire dans le domaine de la cyber lié aux attaques qui ont lieu à droite à gauche.
Speaker #0
Ça me va très bien. De toute façon, c'est ce qu'on va creuser dans tous ces épisodes. Une cybersécurité ou une protection informatique beaucoup plus pratique. Je vais essayer d'utiliser les bons termes, du coup. Pour finir ta présentation, ici, on adore les références pop. Donc, si tu devais comparer CyberSereno, ta société, à un film ou une série ou un super-héros, qu'est-ce que tu dirais ?
Speaker #1
Film, ça serait plutôt Minority Report. Alors plus pour le côté j'anticipe, j'empêche les malveillances avant qu'elles ne se produisent. Je pense qu'on est un peu dans le même état d'esprit. Série, je ne vais pas être très original, il y a une série qui s'appelle Mister Robot. Et là, c'est plus pour le côté pédagogique et clarification des méthodes malveillantes. Alors ça, moi j'adore ça personnellement, c'est ce qui me nourrit dans mon activité. Et c'est sur ce côté pédagogique qui, de mon point de vue, peut aider à... à renforcer la résilience des entreprises. Super héros, je serais plutôt le côté Batman. Parce que Batman, c'est souvent quelqu'un qui est très réfléchi, qui prépare ses interventions, qui analyse les situations. Enfin voilà, moi je fonctionne effectivement aussi bien comme ça.
Speaker #0
Super héros sans super pouvoir, mais ultra fort.
Speaker #1
En quelque sorte, c'est ça effectivement. Et puis je reste vrai d'être, effectivement, je ne prétends pas avoir des super pouvoirs, malheureusement, mais peut-être qu'un jour ce sera possible, mais ce n'est pas encore le cas. Il y a peut-être aussi un animal. potentiellement qui pourraient être associés à moi. Alors, c'est difficile pour moi d'en avoir qu'un seul, mais le premier, ça serait un patou. Le patou, je ne sais pas si tout le monde connaît, mais c'est un chien de montagne des Pyrénées. Et le patou, en fait, c'est les gardiens de troupeaux, exactement. Et c'est souvent des animaux qui sont très posés, très tranquilles, qui observent et qui ont la vue d'ensemble, finalement, pour protéger le groupe du troupeau qui doit protéger face aux rôdeurs.
Speaker #0
Ils sont posés tant que tu ne viens pas t'approcher du troupeau.
Speaker #1
Tant qu'on ne vient pas s'approcher du troupeau, effectivement. Et sinon, il y a aussi un côté, peut-être un côté un peu castor, étonnamment, plus pour le côté bâtisseur. En fait, c'est des animaux qui s'adaptent à leur terrain, tout en étant pragmatiques dans la construction de leurs éléments.
Speaker #0
Génial, c'est un vrai portrait chinois finalement que tu nous as offert. Je trouve ça hyper intéressant parce que ça permet aussi de mieux comprendre ton approche. d'une manière un peu différente. Et ça permet aussi de bien choisir avec qui on veut travailler le cas échéant. Donc merci pour tous ces partages. Maintenant, je vais te mettre encore un peu plus au boulot. On va moins parler de toi, on va parler de ton activité. Parce qu'actuellement, sur la cybersécurité, comme tu l'as dit, c'est un terme qui est sûrement un peu galvaudé. On entend absolument tout et son contraire. Et ce que j'aimerais faire dans notre prochaine section, c'est d'aller débunker quelques croyances. Et ça se passe dans la section mythes. ou réalité. Alors la règle du jeu elle est assez simple, je te donne une phrase et tu me dis si c'est un mythe ou une réalité et tu peux bien sûr nuancer. Donc 0% c'est complètement un mythe, il faut vraiment arrêter de penser ça maintenant et tout de suite et 100% c'est malheureusement totalement vrai et il faut composer avec. T'es prêt ?
Speaker #1
Ok, c'est parti.
Speaker #0
Alors première phrase le wifi en atelier c'est la porte ouverte aux attaques.
Speaker #1
En réalité, clairement, le Wi-Fi, ça a un côté hyper pratique, sauf que conceptuellement, c'est une passoire qui est très difficile à combattre. C'est un des éléments que j'estime qu'il vaudra mieux éviter d'utiliser.
Speaker #0
Le cloud, c'est moins sûr que le serveur de mon cousin dans sa cave.
Speaker #1
Pour moi, c'est un mythe. Après, c'est un sujet qui peut être parfois un peu clivant, mais en tout cas, mon point de vue, c'est qu'il vaut mieux un cloud bien paramétré, bien réfléchi en termes de sécurité, que de disposer de son propre serveur chez soi. avec une maintenance qui serait négligée ou pas forcément très suivie.
Speaker #0
C'est un sujet de toute façon qu'on va approfondir dans le troisième épisode parce qu'effectivement, le choix des logiciels, le choix des stratégies d'hébergement, c'est vraiment quelque chose d'extrêmement stratégique aujourd'hui et donc on va y consacrer un épisode complet. Ma PME est trop petite pour intéresser un pirate.
Speaker #1
C'est un mythe. Toutes les tailles d'entreprises aujourd'hui sont concernées. La malveillance sera calibrée en fonction de l'échelle et de la taille de l'entreprise, mais en tout cas, toutes les entreprises, voire même les particuliers, aujourd'hui sont concernées par des malveillances. Et je crois que c'est par exemple malheureusement trop de petites entreprises qui sont choquées d'être victimes de fraude aux virements par exemple, où ils ont perdu plusieurs dizaines de millions d'euros après qu'un pirate ait par exemple pris le contrôle de leur boîte mail.
Speaker #0
C'est quoi une fraude au virement ?
Speaker #1
La fraude au virement, c'est un individu qui se fait passer pour quelqu'un qu'on connaît et qui utilise le lien de confiance pour pouvoir retirer de l'argent et obtenir de l'argent de manière malveillante.
Speaker #0
Donc il fait faire l'action à une personne qui a le droit de le faire ?
Speaker #1
Oui, et qui en bonne conscience pense faire le virement pour une vraie cause, une vraie raison. auprès d'une personne qu'il connaît alors qu'en fait derrière c'est pas la personne qui croit et que c'est en fait un pirate.
Speaker #0
Chose dont on peut souffrir à titre privé aussi, c'est des histoires que j'ai déjà entendues.
Speaker #1
À titre privé, oui tout à fait, et se faire appréhender par un proche. Dans le cas d'entreprise, ça peut être se faire d'avoir un échange avec un client ou un fournisseur dans le cadre d'un règlement. Le client règle par exemple une entité ou un RIB qui n'est pas le bon, qui n'est pas celui de l'entreprise en question, parce que l'entreprise... a été victime d'un détournement de sa boîte mail et du coup, le pirate a pu échanger en confiance avec le client pour détourner l'argent qui lui était dû.
Speaker #0
Phrase suivante, un antivirus suffit.
Speaker #1
Alors, mythe total. L'antivirus, il détecte ce qui est connu par défaut. Alors, je ne dis pas qu'il n'en faut pas, il en faut un quand même. C'est toujours mieux de bloquer ce qui est connu. Mais le piège, c'est que les pirates... font chaque jour en sorte de renouveler par des automatismes valveillants les éléments contournés et passer sous les radars des antivirus. Du coup, l'antivirus en tout cas à lui seul ne suffit pas.
Speaker #0
C'est normal que ça me fasse penser un peu au contrôle antidopage, ça ?
Speaker #1
Alors, sous quel point de vue ? C'est intéressant.
Speaker #0
Ça détecte que ce qui est connu et que Fidou cherche de ce côté-là, il cherche toujours à contourner l'antidopage plutôt qu'à arrêter de se doper finalement. C'est vrai. L'antivirus ne va pas empêcher les gens d'attaquer et de trouver une nouvelle idée.
Speaker #1
C'est effectivement ça.
Speaker #0
On prend l'analogie alors. La cybersécurité, c'est un truc d'informaticien.
Speaker #1
C'est à la fois un truc d'informaticien, mais ce n'est pas seulement un truc d'informaticien. Donc pour moi, c'est un mythe. La première faille, le premier geste qui fait entrer une malveillance, en général, il se trouve entre la chaise et le clavier. Donc c'est l'individu, c'est l'humain, on en reparlera aussi.
Speaker #0
Dans le prochain épisode, tout à fait.
Speaker #1
Et la sécurisation, en fait, pour qu'elle soit vraiment efficace, il est vraiment important qu'elle ait l'appui et l'impulsion qui viennent d'abord de la direction. pas seulement un sujet d'informaticien, c'est d'abord un sujet de l'entreprise.
Speaker #0
Un limite que je voulais te soumettre, c'est la cyber, ça coûte cher.
Speaker #1
Ça peut parfois donner l'impression que ça coûte cher. Chaque professionnel de cyber sécurité, par exemple, chaque éditeur de solutions cyber ou solutions informatiques en général, il est par ses arguments et ses points de foi concernant ses propres convictions pour protéger les activités numériques. Mais souvent, moi, ce que je constate sur le terrain, c'est que c'est pas forcément toujours exhaustif. Et là où ça commence à coûter cher, c'est lorsque la cyber commence à empiler des couches finalement, et qu'on ajoute des contraintes, qu'on ajoute un peu trop d'outils. Mon avis, c'est d'abord d'aller par étapes progressives, déjà en s'assurant que la base des bonnes pratiques est déjà bien ancrée dans l'entreprise et qu'elle soit solide, et ensuite de traiter par priorité la mise en place de certains sujets, soit certains outils, mais à chaque fois de bien challenger si c'est pertinent ou pas. de l'intégrer dans le contexte de l'entreprise et de bien l'identifier également, ce que ça apporte réellement au quotidien versus les limites que chacune des solutions a en général. Donc, c'est souvent un petit peu masqué, mais en fait, dès qu'on introduit un nouvel outil, une nouvelle solution, il y a aussi des limites. Et c'est important pour moi de les mettre en évidence des entreprises pour qu'elles puissent faire le bon choix dans leur organisation. Si je prends un exemple, On peut se questionner, est-ce qu'à premier abord, l'un des réflexes qu'on peut avoir, c'est de dire, si je veux traiter le sujet de la cybersécurité, je vais faire un test d'intrusion. Moi, la question que je pose par rapport à ça, c'est dans le contexte actuel, est-ce qu'il est pertinent de faire la démonstration qu'on est vulnérable et que du coup, le test d'intrusion va forcément être concluant ? Je renverse un petit peu le sujet et je me dis, il est préférable d'abord de se poser et de challenger un petit peu ces pratiques. Et d'abord de mettre en place des éléments qui vont vraiment permettre de renforcer la sécurisation pour qu'un thésaintrusion ou pour qu'un pirate, si jamais il tente de s'introduire, que ça soit beaucoup plus compliqué pour lui d'arriver à ses fins.
Speaker #0
Ça marche. Est-ce qu'il y a un mythe que tu voudrais voir tomber ? Un mythe que je ne t'ai pas forcément proposé, mais sur lequel tu voudrais vraiment que les croyances changent demain ?
Speaker #1
Ça serait cesser de se croire invulnérable et intouchable. Et puis de rester humble, finalement, face à tout ça. Je croise encore quelques entreprises qui pensent ne pas forcément être concernées par tous ces sujets-là. Il ne faut pas venir à inspirer les entreprises, que ce soit la direction, les salariés. et de maintenir cet état d'esprit qui reste modeste, tout en étant dans des logiques et dans des pratiques qui restent compatibles avec le quotidien, parce qu'il faut continuer d'avancer et de travailler, évidemment. On n'est pas là que pour apporter des contraintes. Et en fait, l'idée, c'est de nourrir la volonté d'aller de l'avant pour améliorer les choses. Donc ça, c'est déjà la première clé, c'est d'aspirer pour impulser l'entreprise à aller de l'avant. Moi, je suis persuadé que l'expliquer avec des mots simples auprès de personnes qui ne sont pas forcément initiées, déjà, c'est le premier élément important pour que les personnes s'impliquent et soient interpellées sur le fait pour dire « Ah oui, d'accord, là, j'ai compris ce qui peut se passer quand je fais telle ou telle opération d'un point de vue numérique. En fait, je peux potentiellement m'exposer à ça, donc il faut que je sois un peu plus vigilant là-dessus. » accéder et faire un clic malheureux sur un élément malveillant sans se poser des questions. Généralement, les individus craignent et s'éloignent de ce qu'ils ne comprennent pas. Il y a un côté fuite, une sorte de réaction, un réflexe humain qu'on rencontre dans différentes circonstances. Donc en fait, c'est quelque chose qu'on ne comprend pas, on va chercher à s'en éloigner par défaut. En résumé, c'est donner du sens et faire en sorte que les pratiques soient vraiment comprises et appliquées par conviction. Et j'insiste là-dessus, il faut que ce soit une pratique qui soit... qui soient adoptées par conviction et pas par contrainte. Parce qu'une pratique qui est adoptée par conviction, elle va s'ancrer au quotidien. Les individus, les salariés vont respecter et l'appliquer. Alors que si c'est une obligation qui est imposée et qui est incomprise, c'est là où ça commence à devenir inadapté. Parce que les individus vont tout faire pour la contourner. Et du coup, la démarche de protection ne va pas être optimale.
Speaker #0
Je garde en particulier le « expliquer pourquoi » que je trouve extrêmement intéressant. qui de toute façon en gestion du changement est toujours essentiel. Expliquer pourquoi et la deuxième chose, que ce n'est pas que des contraintes, on n'est pas là pour empêcher les gens de travailler comme ils le faisaient avant. C'est travailler intelligemment mais en sécurité. En tout cas, on va clore là-dessus. C'est un épisode, il est déjà très très riche. Et d'ailleurs, je crois que tu as un cadeau pour nos auditeurs.
Speaker #1
Pour celles et ceux qui nous écoutent, il y a un lien qui est digetic.fr.cyber. sur lequel vous pouvez vous identifier pour pouvoir avoir accès à une petite mission au ferme de ma part, pour justement mettre en lumière les failles qui existeraient sur vos postes de travail par rapport aux applications qui sont installées. Et avec une période d'essai également, une période de découverte de deux mois, sur un outil que j'utilise et que je déploie auprès de mes clients pour pouvoir leur faciliter la tâche dans l'élimination de ces failles-là découvertes, et de manière totalement transparente et sans que ça n'ait... Donc, c'est un impact pour les utilisateurs.
Speaker #0
Merci pour eux. Demain, on va s'intéresser au sujet que tu nous as déjà un petit peu teasé aujourd'hui en mettant à mal l'idée que la protection informatique, ce n'est qu'un truc d'informaticien et qu'une des principales failles, elle se trouve entre la chaise et le clavier, pour reprendre tes propres mots. C'est donc l'importance du facteur humain dans une bonne protection informatique. En attendant, demain et le prochain épisode, on s'abonne et on ose l'efficacité.

Chapters

Intro
0sec
L'origin story d'un expert de la cyber
30sec
Cybersécurité : Les mythes mis à mal
8min
Le cadeau de Michael
17min

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Chapters

Intro

L'origin story d'un expert de la cyber

Cybersécurité : Les mythes mis à mal

Le cadeau de Michael

Chapters

Intro

L'origin story d'un expert de la cyber

Cybersécurité : Les mythes mis à mal

Le cadeau de Michael

Chapters

Intro

L'origin story d'un expert de la cyber

Cybersécurité : Les mythes mis à mal

Le cadeau de Michael

Chapters

Intro

L'origin story d'un expert de la cyber

Cybersécurité : Les mythes mis à mal

Le cadeau de Michael