Emmanuel Naëgelen : De NIS2 aux gestes qui protègent les PME

Description

Comment traduire une directive européenne en actions simples et concrètes ? Dans cet épisode, Emmanuel Naëgelen (enregistré alors qu’il était Directeur général adjoint de l’ANSSI, aujourd’hui commandant de la cyberdéfense à l’état-major des Armées) nous aide à décrypter la directive NIS2 et ses enjeux pour tous les acteurs, des grandes entreprises aux plus petites structures.

À travers des exemples concrets et des retours d’expérience issus de grands événements nationaux, il explique comment renforcer la résilience des organisations : adopter une hygiène numérique de base, sécuriser ses accès, sauvegarder efficacement, et s’appuyer sur les relais régionaux pour monter en maturité.

Un épisode à la fois stratégique et pragmatique pour anticiper, se protéger et agir sans complexité inutile.

➜ En savoir plus sur les accompagnements gratuits proposés par CYBIAH : www.cybiah.eu

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
La menace est déjà présente et pèse déjà lourdement.
Speaker #1
Effectivement, l'ordinateur quantique permettra demain de casser un certain nombre de techniques de cryptographie.
Speaker #0
La menace cyber ne cesse d'évoluer, menaçant de plus en plus les PME comme les collectivités. Dès lors, comment la France se prépare-t-elle face à ces nouveaux défis de sécurité ? Pour répondre à ces questions... nous avons rencontré Emmanuel Néijelen, directeur général adjoint de l'ANSI, l'Agence nationale de la sécurité des systèmes d'information. Dans cet épisode, il nous éclaire sur les stratégies déployées, les actions prioritaires, mais aussi l'importance de l'anticipation pour renforcer ensemble notre résilience collective. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne. Il offre un accompagnement en sécurité numérique entièrement pris en charge pour les entreprises les acteurs de l'économie sociale et solidaire ainsi que les collectivités franciliennes. Pour renforcer la sécurité de vos systèmes et bénéficier de cet accompagnement personnalisé, rendez-vous sur cybia.eu.
Speaker #1
Ce podcast est produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris Ouest La Défense. Cet épisode est réalisé par l'agence Jeff.
Speaker #0
Bonjour Emmanuel Négelen. Merci beaucoup de vous rendre disponible pour ce sixième épisode de Safe & Sound, le podcast dédié à la cybersécurité produit par Cibia et Paris-Ouest La Défense. Je suis ravi donc de vous accueillir et pour commencer cette interview, pourriez-vous vous présenter ?
Speaker #1
Bonjour Etienne, je suis moi aussi ravi d'être avec vous pour vous parler de cybersécurité bien sûr. Donc moi je suis Emmanuel Négelène, je suis le directeur adjoint de l'Agence Nationale. de la sécurité des systèmes d'information.
Speaker #0
Et en quoi ça consiste d'être directeur général adjoint de l'ANSI ?
Speaker #1
Eh bien, ça consiste en beaucoup de choses. Ça consiste tout d'abord à aider son directeur général, qui est donc Vincent Strubel. Et puis les missions de l'agence, vous savez, elles sont vastes. Nous sommes l'autorité nationale de cybersécurité et de cyberdéfense. Et donc, à ce titre, nous sommes en charge sous la coupe du Premier ministre. de mener toutes les politiques de prévention, de réponse à incidents, de sensibilisation et de formation sur la cybersécurité.
Speaker #0
Ça fait énormément de missions pour l'INSEE. Il y a d'autres organes nationaux comme cybermalveillance.gouv.fr ou encore Viginum. Comment ça s'articule ? Comment vous travaillez avec ces différentes entités ?
Speaker #1
Alors nous sommes de plus en plus nombreux effectivement dans ce domaine de la cybersécurité et c'est une volonté. qui est un groupement d'intérêts publics que vous avez déjà interviewé, je crois.
Speaker #0
Tout à fait.
Speaker #1
Et en fait, une émanation de l'ANSI. Et la mission de cybermalveillance.gouv.fr, c'est surtout de faire de la sensibilisation, de l'aide, en fait, de l'assistance aux particuliers et aux petites entreprises, petites entités. Donc voilà, c'est leur mission principale. Tout ça pour vous dire qu'on ne fait pas tout ça tout seul, effectivement, même si nous sommes l'autorité nationale. Nous avons besoin d'avoir de multiples relais pour nous aider dans cette vaste mission.
Speaker #0
Effectivement, Emmanuel Macron, le président de la République, a fait de la cybersécurité un cheval de bataille et de manière assez légitime. Quels sont les moyens qui vous sont donnés à l'ANSI pour accomplir toutes ces missions qui vont de la prévention à la gestion de crise ?
Speaker #1
Alors, nous avons déjà la chance d'avoir des moyens humains très... Très significatif, puisque nous sommes 650, nous serons environ 650 en fin d'année 2024. Et donc 650 experts dans un très grand nombre de domaines. Évidemment dans des domaines très technologiques, de cybersécurité dure, par exemple la cryptographie ou la cryptologie. Mais aussi nous avons des experts dans d'autres domaines, donc des ingénieurs plus classiques dans le numérique et puis des experts... dans les relations internationales, dans la communication, dans le droit de la cybersécurité. Donc une très grande variété d'expertises qui nous permet comme ça d'adresser tous les pans de ce vaste sujet de cybersécurité.
Speaker #0
Et des talents justement qui ont permis je pense de faire des JO à Paris cet été, enfin l'été dernier, un moment extrêmement festif et sans attaques majeures. D'ailleurs lundi, d'après les chiffres, vous avez relevé bien moins d'attaques que ce qui était prévisible. Comment on peut expliquer ce succès ?
Speaker #1
Effectivement, ça a été la bonne surprise, mais finalement, ce n'est pas tant une surprise que ça pour nous. Puisque ça fait en fait plus de deux ans qu'on se prépare pour les jeux. En tout cas, on s'était préparé deux ans avant le début des jeux. Et donc peut-être que le fait qu'aucune attaque n'ait eu d'impact majeur sur les jeux, c'est le résultat de cette très bonne préparation, longue préparation encore une fois de deux ans, avec un très grand nombre d'entités. Nous avions recensé environ 500 entités qui... qui avait un rôle plus ou moins critique pour la bonne tenue des jeux. Et nous avons en tout cas travaillé à différents degrés avec l'ensemble de toutes ces entités.
Speaker #0
Et des menaces qui étaient donc nombreuses, qui ont été évitées. Quelles étaient les menaces qui vous faisaient le plus peur ? Et au final, quelles sont les menaces qui vous font le plus peur pour le tissu économique français ?
Speaker #1
Alors, il y avait différentes catégories de menaces, effectivement. géopolitique actuelle qui ne nous a pas échappé. Il y a un certain nombre d'États qui pouvaient être intéressés par l'idée peut-être de nuire à la crédibilité de la France ou à l'image de la France, en tout cas sa capacité à bien organiser un grand événement comme les Jeux Olympiques. Donc ça c'est ce qu'on appelle dans notre jargon la menace étatique. Donc ça faisait partie des hypothèses qu'on avait pris en compte. Et puis il y a une autre menace qui est aujourd'hui omniprésente. et qui, elle, est beaucoup moins ciblée, beaucoup moins ciblée, c'est ça. Qui est la cybercriminalité, la criminalité organisée en fait. Une sorte de criminalité organisée qui s'est spécialisée dans les attaques par rançon jicienne notamment et qui là aussi pouvait avoir des effets extrêmement dévastateurs si une de ces attaques par exemple avait touché un stade qui organisait une compétition.
Speaker #0
Il y avait un risque également complémentaire qui était le risque sur les sous-traitants qui amenait un soutien essentiel au déroulement des JO et qui sont tout aussi essentiels dans le tissu économique ?
Speaker #1
Exactement. Donc quand on a commencé à s'intéresser à la cybersécurité des jeux, on a constaté, et ça on le savait, on l'a vu tout de suite, qu'il y avait des sites de compétition, des entités très connues comme Paris 2024 évidemment, qui allaient très certainement faire l'objet d'attaques. Mais derrière ces sites de compétition, ces entités au cœur des jeux, il y a généralement toute une chaîne logistique, toute une chaîne de soutien, de prestataires. Et il a fallu aussi qu'on regarde très finement l'ensemble de ces prestataires pour s'assurer qu'effectivement ils n'étaient pas fragiles et en tout cas trop facilement attaquables. C'est pour ça qu'on est arrivé à environ 500 entités, publiques ou privées d'ailleurs. à protéger ou à aider.
Speaker #0
On parle beaucoup d'héritage des Jeux Olympiques, c'est quelque chose qui est beaucoup revenu après les Jeux dans la presse. Y a-t-il un héritage des Jeux Olympiques en matière cyber ?
Speaker #1
On n'a pas complètement tiré cet héritage, mais il y a deux points qui me viennent vraiment à l'esprit. Le premier point, c'est comme je vous le disais, la préparation. Bien se préparer, bien se défendre. avoir des protections efficaces, et bien finalement ça marche. C'est quand même la meilleure façon d'éviter une attaque cyber, et c'est efficace. La deuxième leçon que nous tirons des Jeux Olympiques, c'est la coordination. On a fait beaucoup d'exercices avant les Jeux pour s'assurer qu'on était capable de se parler très rapidement, que dès lors qu'une entité qui participait aux Jeux détectait un signal faible d'une attaque, Elle était capable de nous contacter rapidement et qu'on était en mesure, nous, de lui apporter une réponse utile, efficace. Et donc tout ce travail de coordination, de mise en place de canaux d'échange, de groupes de discussion a été aussi extrêmement bénéfique et utile pendant les Jeux et nous a permis encore une fois d'avoir des réponses extrêmement rapides à tous les premiers signes finalement du début d'une attaque.
Speaker #0
en janvier 2023, vous parliez de passer du sur-mesure au prêt-à-porter en matière de cybersécurité. Est-ce que les Jeux Olympiques et même plus largement toutes les mesures et toutes les dispositions mises en place par l'ANSI permettent aujourd'hui de passer sur ce prêt-à-porter et donc sur cette massification des solutions cyber ?
Speaker #1
C'est exactement ça. Pendant les Jeux, on a fait à la fois du sur-mesure mais on a fait aussi du prêt-à-porter. Exemple de sur-mesure sur le stade de France. qui était quand même le site principal de compétition, on a fait évidemment du sur-mesure. C'est-à-dire que nos équipes d'audit sont allées auditer, tester les protections du Stade de France pour faire en sorte qu'elles soient au meilleur niveau possible. Donc là c'est vraiment des actions type sur-mesure. En revanche en termes d'exercice... Comme il était impossible d'organiser un exercice avec plus de 500 participants, avec des niveaux de maturité en cybersécurité extrêmement variés, on a pris le parti de distribuer des kits d'exercices qui ont permis à un très grand nombre d'entités de s'entraîner toutes seules. Voilà, donc des kits d'exercices assez pédagogiques, bien faits, qui font que même si vous n'êtes pas un spécialiste de la cybersécurité, Et bien finalement, vous êtes accompagné pour organiser dans votre entité, sans l'ANSI, un exercice qui vous permet d'avoir peut-être après les bons réflexes en cas d'attaque.
Speaker #0
C'est un peu la manière de faire de Cibia à travers ces ateliers ludiques qui convient des dirigeants de TPE, PME à faire des exercices assez ludiques pour sensibiliser justement à la cybersécurité et qui permet en plus de voir l'étendue de la donnée qu'on peut trouver en source ouverte pour ensuite mener des attaques. Je me permettais juste ces petits apartés. Toujours dans cette interview, enfin dans votre intervention au Sénat, vous parliez d'une forme de naïveté, notamment dans le tissu économique. Est-ce qu'on est face à des entreprises, notamment des TPE-PME qui n'ont pas conscience du risque qui est pourtant présent ? Les cyberattaquants pêchent au chalut, c'est-à-dire qu'ils vont attaquer de manière totalement indifférenciée. différentes organisations et prendre en fait les plus exposées, celles qui ont le moins de protection. Donc pensez-vous qu'il y a cette forme de naïveté de la part des TPE ? Et pensez-vous qu'au final on développe beaucoup de solutions à destination des TPE PME sans pour autant arriver à les sensibiliser comme on le devrait ou comme il le faudrait du moins ?
Speaker #1
C'est peut-être pas forcément une question de naïveté. Je pense qu'aujourd'hui... Il suffit de regarder le journal du 20h pour entendre parler de cyberattaques qui touchent des hôpitaux ou des entreprises, dont certaines ont été obligées d'ailleurs de faire faillite après. Donc je ne pense pas que ce sujet du risque cyber échappe aujourd'hui à un patron d'entreprise, quelle que soit la taille de cette entreprise. En revanche, je suis absolument persuadé que les patrons de PME et de TPE sont très souvent très démunis. pour trouver des solutions à la mesure de leurs moyens, et des solutions efficaces aussi, face à cette menace. Parce qu'effectivement, ce n'est pas leur métier de faire de la cybersécurité, que de recourir à des entreprises qui font du conseil en cybersécurité, c'est parfois un peu hors de portée pour ces entreprises. Donc on a un vrai travail aujourd'hui à mener vers ces entreprises de petite taille. pour leur permettre effectivement de mettre en œuvre des mesures de cybersécurité qui soient, encore une fois, proportionnées, adaptées à leurs moyens et qui soient efficaces. Et ça, ce n'est pas quelque chose de facile. C'est un problème un peu nouveau pour l'agence et je pense pour l'ensemble de l'écosystème en général. Mais on va y arriver.
Speaker #0
Je n'en doute pas. Et pourquoi les TPE-PME justement sont peut-être plus exposés au final que des grands groupes ?
Speaker #1
Parce que ces entreprises sont de plus en plus numérisées elles aussi. Elles ont besoin du numérique pour développer leur business, c'est un accélérateur de leur business. Mais en général, elles n'ont pas, contrairement aux grandes entreprises, les moyens de mettre en œuvre de la cybersécurité à bon niveau. Donc bien souvent, elles se numérisent très rapidement mais sans avoir eu le temps de mettre la couche cybersécurité par-dessus. C'est là-dessus qu'il faut qu'on les accompagne aujourd'hui.
Speaker #0
C'est une forme de décalage entre l'exposition numérique au final et les solutions en mesure de déployer, c'est bien ça ?
Speaker #1
Oui, et puis c'est un problème qu'ont connu les grandes entreprises aussi pendant quelques années. C'est-à-dire que les cybercriminels dont je parlais tout à l'heure ont au début attaqué les grandes entreprises jusqu'à ce que celles-ci comprennent qu'elles étaient des cibles et aient mis les moyens sur leur protection. Aujourd'hui, comme ces grandes entreprises sont bien protégées, effectivement, les criminels se tournent vers ceux qui sont moins protégés et donc tombent sur des entreprises de taille intermédiaire, des PME, des TPE, qui elles, effectivement, sont moins protégées. Donc à nous maintenant de faire cet effort vers cet écosystème d'entreprises-là pour les accompagner dans leur protection et leur montrer qu'il y a des choses qui sont atteignables, qui ne sont pas forcément atteignables grâce à de l'expertise, qui sont assez facilement atteignables et qui sont très efficaces. Encore une fois, pour se protéger contre cette cybercriminalité qui fait de la pêche au chalut, comme vous dites.
Speaker #0
Pour concrétiser et rendre plus palpable cette pêche au chalut, quelles sont les vulnérabilités qu'ont les TPE-PME et d'où viennent au final les attaques ?
Speaker #1
Bien souvent, vous savez, ça commence par un authentifiant, un login et surtout un mot de passe extrêmement faible qui a peut-être fuité sur Internet parce que c'était le même mot de passe que sur un compte de réseau social, par exemple. Et ce mot de passe, il est utilisé pour tous les comptes de l'entreprise. Donc ça commence par là, par exemple, d'utiliser des mots de passe solides. Ça, ce n'est pas quelque chose de très compliqué à faire. Mais c'est quelque chose quand même qui est redoutablement efficace. Et le nombre d'attaques qui commencent tout simplement par, encore une fois, un accès frauduleux à un compte parce que le mot de passe était beaucoup trop faible, c'est bien souvent ce qu'on rencontre.
Speaker #0
Et tout à l'heure vous parliez justement des entreprises qui ont fini par mettre la clé sous la porte suite à une cyberattaque. Au final, quelles sont les conséquences pour une entreprise de m'en attaquer ? Comment on finit par mettre la clé sous la porte ?
Speaker #1
Le schéma est très simple. Vous êtes attaqué, le criminel a deux modes d'action qu'il peut jouer en même temps. Il peut bloquer votre système d'information, entièrement le chiffrer. Là vous n'avez plus accès à vos données mais votre système ne fonctionne plus, votre messagerie ne fonctionne plus, vous n'avez plus accès à votre comptabilité par exemple ou à votre carnet de clients. Et puis en même temps, bien souvent il a volé vos données. Et il vous menace de les divulguer aussi sur Internet si vous ne payez pas une rançon. Donc, les cybercriminels arrivent très rapidement à évaluer le niveau de rançon qui est payable par une entreprise. Et ils vous proposent effectivement de leur payer rapidement cette rançon si vous voulez retrouver l'accès à vos données. Donc ça, évidemment, ça a des conséquences immédiates sur le... l'entreprise, soit le patron de l'entreprise décide de payer parce qu'il a les moyens de payer et il s'en sort plutôt bien, soit il décide de ne pas payer parce qu'il n'a pas les moyens et effectivement là très rapidement son activité s'arrête.
Speaker #0
Sans compter qu'il peut y avoir la double peine, c'est-à-dire payer, voir quand même ces données libérées sur le Darknet.
Speaker #1
Effectivement, il y a aussi ça puisque ce sont des criminels qui mènent ces activités là donc on ne peut pas vraiment leur faire confiance quant à la parole qu'ils ont.
Speaker #0
On a une idée du marché en valeur des ranches anglicielles ? Combien ça représente au final ?
Speaker #1
Non, je ne pourrais pas vous dire et c'est extrêmement compliqué. Tous les chiffres sont cités dans la presse régulièrement. Il n'y a pas, je pense, de chiffres très vérifiables dans ce domaine-là. Mais ce qui est important, nous ce qu'on constate en tout cas, En 2023, la menace concernant les entreprises de taille intermédiaire ou les petites entreprises a réellement bondi. Donc on verra ce que donneront les chiffres. Mais aujourd'hui, ce sont vraiment ces entités-là, tout comme d'ailleurs les collectivités ou les établissements publics de cette taille-là, qui sont les premières victimes de cette cybercriminalité.
Speaker #0
Oui, et si on n'a pas encore les chiffres de 2024, nul doute qu'on est quand même sur une tendance haussière et que c'est une tendance de fond.
Speaker #1
Hélas, oui.
Speaker #0
Malheureusement. Et quelles sont les solutions, vous Alain, que vous privilégiez pour augmenter la résilience et la préparation, avant de parler de résilience, des TPE-PME ?
Speaker #1
Alors il y a toutes les mesures qu'on appelle des mesures simples, mais les mesures d'hygiène numérique. Ça c'est encore une fois extrêmement efficace. Je vous ai cité l'exemple des mots de passe, mais je peux vous citer d'autres exemples, notamment les sauvegardes. Avoir des sauvegardes de ces données, c'est quelque chose qui paraît évident, qui n'est pas très compliqué, et surtout si ces sauvegardes sont en ligne. Mais c'est quelque chose que bien souvent les entreprises ne font pas. Et encore une fois, quand votre système se retrouve chiffré, bloqué, si vous n'avez pas de sauvegarde, vous êtes très embêté. Il y a un certain nombre de mesures que tout le monde peut retrouver dans nos guides d'hygiène numérique, qui sont assez simples à mettre en œuvre. mais qui sont très efficaces.
Speaker #0
Et faciles à retrouver sur votre site en plus.
Speaker #1
Absolument.
Speaker #0
Mais ce qui est fou, c'est qu'on échange aujourd'hui ensemble, on a échangé avec Yann Bonnet, avec Jérôme Notin, avec Fabrice Billot, donc que des grands noms au final de la cybersécurité. Le discours est toujours le même et pourtant il n'a pas été compris ou absorbé par la population. De manière générale, je fais un grand bloc en parlant de population et c'est justement pour ça que Cibia, cette initiative européenne, a vu le jour. Pour vous, quelle est la grande force de Cibia ?
Speaker #1
La grande force de Cibia, c'est justement de continuer à déployer, à développer tous ces messages vers les PME. Aujourd'hui, je me mets à la place d'un patron de PME qui est peut-être en province, assez loin de Paris. L'ANSI, même si pour moi je trouve que c'est une très belle agence, pour lui c'est peut-être quelque chose qu'il ne connaît pas du tout. Il n'a jamais entendu parler de cette agence et le jour où il subit une attaque, il est peut-être encore une fois très démuni parce qu'il ne sait pas très bien vers qui se retourner. Aller contacter une agence parisienne, ça lui paraît très éloigné de ses problèmes. Donc ça veut dire qu'on a vraiment besoin de relais, de multiples relais pour aider ces entreprises. Alors ces relais peuvent être territoire rio, Peut-être qu'effectivement, il aura entendu parler par sa CCI d'un centre cyber dans sa région. Ils peuvent être sectoriels aussi. Peut-être que dans son association professionnelle, il aura entendu parler d'un centre cyber pour son secteur d'activité. Et puis, il y a aussi Cibia qui va peut-être lui amener un certain nombre de réponses pour l'aider à résoudre une attaque ou à mieux se protéger. Aujourd'hui, notre enjeu, c'est vraiment de développer tous ces relais pour faire en sorte que finalement, à la fin, tout patron de PME ait entendu parler d'au moins un dispositif d'assistance. Au moins un quoi. Et s'il en a entendu parler de deux ou trois, ben c'est très bien, c'est quand mieux, mais au moins un quoi. Et je pense qu'on n'en est pas là aujourd'hui encore.
Speaker #0
Donc si je comprends bien, il n'y a pas une manière d'atteindre, que ce soit un dirigeant d'entreprise au final ou un particulier, c'est vraiment une couverture nationale avec les... les campus cyber régionaux qui commencent à se déployer. Il y a eu notamment Bretagne, qui ont été déployés récemment. Et toutes ces solutions comme Cibia, qui permet de calculer la zone d'exposition et de vulnérabilité pour ensuite déployer des solutions justement qui sont en plus agréées par l'ANSI. En parlant d'un côté un peu plus légal, il y a la directive européenne NIS2 qui est transposée dans le droit français qui amène de nouvelles responsabilités qui devraient également permettre de faciliter la... coopération à l'échelle européenne. Pouvez-vous nous en dire un peu plus sur cette directive qui, au final, devrait permettre de passer un nouveau cran en matière de cybersécurité ?
Speaker #1
La directive NIS 2, c'est effectivement une directive européenne sur laquelle l'agence a beaucoup œuvré, a beaucoup promu pour qu'elle soit promulguée au niveau européen et qu'on va devoir maintenant transposer dans le droit national. Cette directive Nice 2, elle est partie en fait du constat que la menace cyber a explosé depuis quelques années. Et comme on le disait précédemment, elle ne touche pas uniquement les grandes administrations, les grandes entreprises, mais aujourd'hui elle touche tout le tissu socio-économique du pays et des pays européens. Donc face à l'explosion de cette menace... Les États membres de l'Union européenne se sont dit qu'il fallait qu'ils développent une nouvelle doctrine, une nouvelle réglementation qui permette de couvrir plus largement les acteurs économiques de l'Union européenne et donc en particulier aller plus loin dans les secteurs d'activité et dans la taille des entreprises concernées par la cybersécurité. C'est une directive qui touche aussi les établissements publics et les collectivités territoriales mais qui va nous permettre sur le plan purement entreprise... encore une fois, de toucher beaucoup plus de secteurs. Il y avait déjà une précédente directive avant qui s'appelait NIS 1, mais qui ne concernait que 7 secteurs d'activité. Là, avec cette nouvelle directive, on passe à 18 secteurs d'activité. Et puis, en fonction de la taille des entités aussi, il y a de nouveaux critères. On ne touche plus uniquement les grandes entreprises, mais on va aussi maintenant pouvoir aider les entreprises de taille intermédiaire, voire dans certains secteurs d'activité, les PME.
Speaker #0
En fonction justement de leur degré d'importance en matière de souveraineté, de défense, de santé ? Enfin sur le régalien ?
Speaker #1
C'est ça. Comme je vous l'ai dit, il y a beaucoup de secteurs d'activité maintenant qui sont concernés. Il y a des critères liés à la taille de l'entreprise, à son chiffre d'affaires. Tout ça fait un système de critères un peu compliqué que je ne vais pas vous détailler là à l'oral. Mais vous avez un site que nous avons mis en ligne qui s'appelle MonEspaceNice2. Et sur ce site, n'importe quelle entreprise peut aller pour voir si elle est éligible maintenant à la directive NIS 2. Donc elle rentre un certain nombre d'informations la concernant et à la fin ça lui dit que vous allez être soumis à la directive NIS 2 ou non, vous n'êtes pas concerné.
Speaker #0
Et est-ce qu'à mesure que l'on va protéger les acteurs critiques, les entités importantes, un rôle très stratégique, Nice souverain, et donc renforcer encore plus la pression sur ces petites entités ?
Speaker #1
La pression est déjà là aujourd'hui. Elle est déjà sur ces petites entités. L'ambition de Nice 2, justement, c'est d'aller bien au-delà du cœur régalien des entreprises les plus critiques ou les plus souveraines pour le pays. Mais justement d'aller sur des entreprises de taille intermédiaire, des PME, dans des secteurs d'activité qui sont extrêmement variés.
Speaker #0
Parce que la menace est déjà présente et pèse déjà lourdement sur ces secteurs d'activité ou ces entreprises-là. à part entière de ces guerres hybrides, et où au final les entreprises sont des victimes collatérales. Et plus le nouvel ordre géopolitique va se modifier, plus on va être confronté à ces menaces qui touchent de manière très aléatoire les entreprises.
Speaker #1
Oui, les attaques informatiques font partie de ce qu'on appelle la guerre hybride. C'est au même titre d'ailleurs que les actions de désinformation ou d'autres... de déstabilisation qui peuvent être menées par certains états. Mais dans le cadre de Nice 2, ce n'est vraiment pas face à cette menace-là qu'on cherche à protéger les entreprises. Encore une fois c'est plutôt face à une menace de type cybercriminalité qui a des liens forcément avec le contexte géopolitique. Le développement de cette cybercriminalité n'est pas non plus complètement déconnecté du contexte géopolitique dans lequel nous vivons mais les liens ne sont Et donc, c'est pour protéger ces entreprises contre la cybercriminalité qui, elle, c'est vous qui l'avez dit, fait de la pêche au chalut sur tout type d'entités, notamment les plus faibles, que la directive NIS2 a été promulguée et va permettre, quand elle sera mise en œuvre, de mieux protéger ces entreprises.
Speaker #0
Et quelles vont être les mesures spécifiques déployées par l'ANSI pour réussir à faire ce prêt-à-porter ?
Speaker #1
plusieurs choses. Ça va nous permettre de connaître ces entreprises, donc elles vont devoir s'enregistrer. Je vous ai dit qu'on a un portail qui s'appelle MonEspace Nice2, qui permet de savoir si une entreprise est éligible ou pas. Donc pour celles qui seront éligibles, on va leur demander effectivement de s'enregistrer. La deuxième chose que va nous permettre Nice2, ça va être de connaître les entreprises qui subissent une attaque informatique. Puisqu'une fois qu'elles auront été désignées comme éligibles et qu'elles se seront enregistrées, dès lors qu'elles subiront une attaque informatique, elles devront nous signaler, nous notifier cette attaque informatique. Elles devront aussi porter plainte. Ça c'est un autre sujet mais qui est aussi très important. Et puis le troisième volet de la directive NIS 2 pour les entreprises qui sont éligibles à cette directive, ça va être de mettre en œuvre des mesures de cybersécurité que nous allons leur prescrire. Et ces mesures de cybersécurité, elles seront évidemment adaptées à la taille des entreprises. On ne demande pas la même chose à une PME qu'à une grande entreprise. Donc ces mesures de cybersécurité, elles seront proportionnées aux moyens de ces entreprises, mais avec toujours dans l'idée que ces mesures, même si elles sont proportionnées aux moyens, il faut qu'à la fin elles soient efficaces. Donc ça effectivement c'est tout ce qu'on trouvera bientôt dans la transposition de la directive NIS. et sur notre portail et mon espace NIS2. Ensuite, effectivement, comme on ne pourra pas être au chevet de toutes ces entités, aujourd'hui on estime qu'on aura à peu près 15 000 entités concernées par NIS2 et parmi ces 15 000 entités, ce sera un très grand nombre de PME justement. Donc comme on ne pourra pas être au chevet de toutes ces entreprises, de l'ANSI dans chacune de ces entreprises. Nous développons un très grand nombre de services en ligne pour, comme je vous l'ai dit, déjà renseigner les entreprises sur ce qu'elles auront à faire, mais nous sommes aussi en train de développer un autre service en ligne qu'on appelle MonAideCyber qui va permettre à un patron de PME de trouver un aidant, quelqu'un qui va pouvoir l'aider à mettre en œuvre un certain nombre de mesures assez immédiates et assez efficaces en termes de cybersécurité. Et puis nous aurons d'autres services en ligne, petit à petit, que nous allons développer pour finalement massifier.
Speaker #0
nos modes d'action et passer, comme on le disait précédemment, de cette logique de surmesure à une logique de prêt-à-porter, facile à utiliser, facile à mettre en œuvre pour quelqu'un qui n'est pas un grand spécialiste de la cybersécurité.
Speaker #1
Merci beaucoup pour cet overview du travail de l'ANSI et c'est assez passionnant de voir tout ce qui est mis en place. Et permettez-moi de vous poser une question un peu triviale, mais est-ce que c'est cher la cybersécurité pour une TPE ? Combien ça coûte ?
Speaker #0
Alors, on n'a pas de chiffres très précis. Tout ça est très dépendant de l'informatique que l'entreprise utilise. On a l'habitude de dire qu'il faut investir entre 5 à 10 % du budget informatique dans la cybersécurité. Voilà, ça c'est un désabac, un benchmark qui a été fait par un certain nombre de cabinets. qui semblent avoir du sens. Mais encore une fois, il faut vraiment l'adapter à l'entreprise. Vous avez des entreprises qui sont très numérisées, très informatisées et peut-être qu'elles, il va leur falloir investir plus, d'autres qui le sont beaucoup moins. Donc ça dépend effectivement de la nature de l'activité.
Speaker #1
Et en parlant de nature et de l'activité, il y a de plus en plus de startups qui se lancent dans l'IA. Pour vous, le quantique et l'intelligence artificielle, est-ce qu'elle est plutôt au profit des cyberattaquants ou au contraire ? C'est une formidable opportunité de détecter plus facilement la menace, de multiplier la puissance de calcul pour y répondre.
Speaker #0
Ça c'est un vaste sujet. L'intelligence artificielle, effectivement, c'est un sujet sur lequel on réfléchit beaucoup actuellement. Aujourd'hui, on n'a pas vu d'attaque informatique qui mettait à profit des techniques d'intelligence artificielle. Je vous dis bien aujourd'hui, peut-être que demain ça changera, mais... Aujourd'hui, on ne constate pas cette évolution de la menace. Oui, l'intelligence artificielle va nous aider très certainement à être plus efficaces en termes de cybersécurité. Donc demain, très certainement, et dès aujourd'hui d'ailleurs, un certain nombre de produits, de solutions reposeront sur des techniques ou des technologies d'intelligence artificielle. Et puis on a un défi assez important à mener qui est de bien protéger Ces intelligences artificielles aussi, notamment celles qui sont grand public, dont tout le monde entend parler actuellement, et pour faire en sorte qu'elles soient efficaces et qu'elles continuent à fonctionner correctement. Donc sur l'intelligence artificielle, aujourd'hui on aurait tendance plutôt à dire que ça va être bénéfique pour la cybersécurité, plus bénéfique pour la cybersécurité que pour les criminels ou les attaquants. Concernant le quantique, c'est un vrai problème. Pourquoi ? Parce qu'effectivement, l'ordinateur quantique permettra demain, quand il arrivera, de casser un certain nombre de techniques de cryptographie. Donc un certain nombre de secrets seront, pas tous, mais un certain nombre de secrets seront dévoilés dès lors que l'ordinateur quantique sera là. Donc ça veut dire qu'on peut imaginer que certains états aujourd'hui stockent des informations... chiffrés, qu'ils ne sont pas capables de lire dans l'idée de pouvoir demain, dans cinq ans, que sais-je, les déchiffrer pour avoir accès à ces secrets. Donc ça, ça veut dire qu'il faut réfléchir dès aujourd'hui à faire évoluer les technologies de cryptographie qui sont embarquées dans nos logiciels, dans nos navigateurs, dans tout ce qu'on ne voit pas mais qui est très présent aujourd'hui, pour faire en sorte que ces technologies-là, ces mécanismes de cryptographie résistent. à cet ordinateur quantique qui arrivera probablement un jour.
Speaker #1
Si je vous suis bien, depuis le début de notre interview, le maître mot de la cybersécurité, c'est l'anticipation. C'est toujours se dire, est-ce que je suis au final préparé aujourd'hui pour les menaces de demain ?
Speaker #0
Absolument. La préparation, encore une fois, on l'a démontré pendant les Jeux, mais ça marche, c'est efficace. L'anticipation, la bonne préparation, c'est quelque chose qui permet de réduire considérablement la menace. et à tout le moins d'être préparé si, à un moment, on est effectivement victime d'une attaque.
Speaker #1
On a évoqué tout à l'heure le campus cyber de la Défense, puis ces émanations qui commencent à émerger un peu partout sur le territoire. Pourquoi les déployer ? Et surtout, quel est le rôle de l'ANSI là-dedans ? Et qu'est-ce que ça va apporter de plus ou de différent par rapport au campus de la Défense ?
Speaker #0
Le campus de la Défense, effectivement, c'est... C'est une superbe initiative prise par le président de la République et incarnée par Michel Vandenberg, qui permet de développer de multiples synergies entre la recherche... les industriels, les administrations, des clients de la cybersécurité, des fournisseurs de produits. Donc ça effectivement c'est une étape majeure pour nous dans le développement de l'écosystème de la cybersécurité. Son seul défaut, c'est qu'il est parisien. Et encore une fois, si je vous reprends l'exemple de ma PME qui est à Orange, une petite ville de province qui me tient à cœur. Bon bah, se retourner vers le campus cyber quand on habite Orange, c'est peut-être pas forcément évident. En revanche, s'il y avait un campus cyber à Marseille ou à Avignon encore mieux, peut-être que ce serait plus naturel pour le patron de cette PME d'Orange d'aller se retourner vers ce campus cyber plus régional. Donc on a besoin d'acteurs régionaux, d'acteurs de terrain pour aider ces patrons de PME qui... cherchent des solutions efficaces à leurs problèmes.
Speaker #1
On va arriver au bout de cet échange. Pour vous, quelles seraient les recommandations que vous donneriez à une entreprise qui aujourd'hui subirait une cyberattaque ? Quels sont les bons réflexes ? Je vois mes systèmes d'information qui sont down. Qu'est-ce que je fais dans l'immédiat ?
Speaker #0
Déjà, j'espère être passé avant pour lui dire protégez-vous, préparez-vous. Investissez dans la cybersécurité, ce n'est pas un investissement à perte. Aujourd'hui vous savez un patron de PME je pense qu'il investit dans ses systèmes de sécurité, sa vidéoprotection, sa vidéosurveillance de ses bâtiments. Il sait se protéger contre des vols. Il faut qu'on leur explique aussi comment se protéger contre de la cybersécurité et c'est encore une fois quelque chose de tout à fait faisable, atteignable avec des moyens qui sont raisonnables. Et puis si hélas, malgré tout ça, il est victime d'une attaque informatique, je lui dirais de rapidement se déconnecter d'Internet, rapidement protéger ses sauvegardes puisque, comme on se sera vu avant, il aura mis en place un système de sauvegarde de données. Donc de déconnecter ses sauvegardes si elles étaient encore connectées pour s'assurer qu'elles soient bien protégées. Je lui dirais aussi également d'aller porter plainte très rapidement. et puis de se tourner vers son campus régional ou son centre cyber régional pour trouver un prestataire qui pourra l'aider certainement et qui est probablement pas très loin de chez lui pour lui apporter des solutions techniques efficaces.
Speaker #1
Merci beaucoup pour toutes ces mesures qui, je pense, seront extrêmement utiles à tous les entrepreneurs, que ce soit avant une attaque ou malheureusement après pour certains. Merci de vous être rendu disponible sur ce podcast et d'avoir partagé toute votre expertise. Merci à vous. Également, nous suivre sur LinkedIn at sybiach. A très vite !

About Safe & Sound

Bienvenue sur "Safe & Sound" ! Développé par CYBIAH en partenariat avec le Catalyseur de l’Innovation et de l’Entrepreneuriat propulsé par Paris Ouest La Défense (POLD), ce podcast est votre nouveau rendez-vous pour comprendre les enjeux cruciaux de la cybersécurité.

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Chaque épisode, d'une durée de 30 à 45 minutes, donne la parole à un expert de la sécurité numérique. Il est conçu pour guider dirigeant·es et salarié·es dans la compréhension des enjeux cyber et les préparer efficacement aux cyberattaques. Abonnez-vous pour rester safe & sound !

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Un épisode à la fois stratégique et pragmatique pour anticiper, se protéger et agir sans complexité inutile.

➜ En savoir plus sur les accompagnements gratuits proposés par CYBIAH : www.cybiah.eu

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
La menace est déjà présente et pèse déjà lourdement.
Speaker #1
Effectivement, l'ordinateur quantique permettra demain de casser un certain nombre de techniques de cryptographie.
Speaker #0
La menace cyber ne cesse d'évoluer, menaçant de plus en plus les PME comme les collectivités. Dès lors, comment la France se prépare-t-elle face à ces nouveaux défis de sécurité ? Pour répondre à ces questions... nous avons rencontré Emmanuel Néijelen, directeur général adjoint de l'ANSI, l'Agence nationale de la sécurité des systèmes d'information. Dans cet épisode, il nous éclaire sur les stratégies déployées, les actions prioritaires, mais aussi l'importance de l'anticipation pour renforcer ensemble notre résilience collective. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne. Il offre un accompagnement en sécurité numérique entièrement pris en charge pour les entreprises les acteurs de l'économie sociale et solidaire ainsi que les collectivités franciliennes. Pour renforcer la sécurité de vos systèmes et bénéficier de cet accompagnement personnalisé, rendez-vous sur cybia.eu.
Speaker #1
Ce podcast est produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris Ouest La Défense. Cet épisode est réalisé par l'agence Jeff.
Speaker #0
Bonjour Emmanuel Négelen. Merci beaucoup de vous rendre disponible pour ce sixième épisode de Safe & Sound, le podcast dédié à la cybersécurité produit par Cibia et Paris-Ouest La Défense. Je suis ravi donc de vous accueillir et pour commencer cette interview, pourriez-vous vous présenter ?
Speaker #1
Bonjour Etienne, je suis moi aussi ravi d'être avec vous pour vous parler de cybersécurité bien sûr. Donc moi je suis Emmanuel Négelène, je suis le directeur adjoint de l'Agence Nationale. de la sécurité des systèmes d'information.
Speaker #0
Et en quoi ça consiste d'être directeur général adjoint de l'ANSI ?
Speaker #1
Eh bien, ça consiste en beaucoup de choses. Ça consiste tout d'abord à aider son directeur général, qui est donc Vincent Strubel. Et puis les missions de l'agence, vous savez, elles sont vastes. Nous sommes l'autorité nationale de cybersécurité et de cyberdéfense. Et donc, à ce titre, nous sommes en charge sous la coupe du Premier ministre. de mener toutes les politiques de prévention, de réponse à incidents, de sensibilisation et de formation sur la cybersécurité.
Speaker #0
Ça fait énormément de missions pour l'INSEE. Il y a d'autres organes nationaux comme cybermalveillance.gouv.fr ou encore Viginum. Comment ça s'articule ? Comment vous travaillez avec ces différentes entités ?
Speaker #1
Alors nous sommes de plus en plus nombreux effectivement dans ce domaine de la cybersécurité et c'est une volonté. qui est un groupement d'intérêts publics que vous avez déjà interviewé, je crois.
Speaker #0
Tout à fait.
Speaker #1
Et en fait, une émanation de l'ANSI. Et la mission de cybermalveillance.gouv.fr, c'est surtout de faire de la sensibilisation, de l'aide, en fait, de l'assistance aux particuliers et aux petites entreprises, petites entités. Donc voilà, c'est leur mission principale. Tout ça pour vous dire qu'on ne fait pas tout ça tout seul, effectivement, même si nous sommes l'autorité nationale. Nous avons besoin d'avoir de multiples relais pour nous aider dans cette vaste mission.
Speaker #0
Effectivement, Emmanuel Macron, le président de la République, a fait de la cybersécurité un cheval de bataille et de manière assez légitime. Quels sont les moyens qui vous sont donnés à l'ANSI pour accomplir toutes ces missions qui vont de la prévention à la gestion de crise ?
Speaker #1
Alors, nous avons déjà la chance d'avoir des moyens humains très... Très significatif, puisque nous sommes 650, nous serons environ 650 en fin d'année 2024. Et donc 650 experts dans un très grand nombre de domaines. Évidemment dans des domaines très technologiques, de cybersécurité dure, par exemple la cryptographie ou la cryptologie. Mais aussi nous avons des experts dans d'autres domaines, donc des ingénieurs plus classiques dans le numérique et puis des experts... dans les relations internationales, dans la communication, dans le droit de la cybersécurité. Donc une très grande variété d'expertises qui nous permet comme ça d'adresser tous les pans de ce vaste sujet de cybersécurité.
Speaker #0
Et des talents justement qui ont permis je pense de faire des JO à Paris cet été, enfin l'été dernier, un moment extrêmement festif et sans attaques majeures. D'ailleurs lundi, d'après les chiffres, vous avez relevé bien moins d'attaques que ce qui était prévisible. Comment on peut expliquer ce succès ?
Speaker #1
Effectivement, ça a été la bonne surprise, mais finalement, ce n'est pas tant une surprise que ça pour nous. Puisque ça fait en fait plus de deux ans qu'on se prépare pour les jeux. En tout cas, on s'était préparé deux ans avant le début des jeux. Et donc peut-être que le fait qu'aucune attaque n'ait eu d'impact majeur sur les jeux, c'est le résultat de cette très bonne préparation, longue préparation encore une fois de deux ans, avec un très grand nombre d'entités. Nous avions recensé environ 500 entités qui... qui avait un rôle plus ou moins critique pour la bonne tenue des jeux. Et nous avons en tout cas travaillé à différents degrés avec l'ensemble de toutes ces entités.
Speaker #0
Et des menaces qui étaient donc nombreuses, qui ont été évitées. Quelles étaient les menaces qui vous faisaient le plus peur ? Et au final, quelles sont les menaces qui vous font le plus peur pour le tissu économique français ?
Speaker #1
Alors, il y avait différentes catégories de menaces, effectivement. géopolitique actuelle qui ne nous a pas échappé. Il y a un certain nombre d'États qui pouvaient être intéressés par l'idée peut-être de nuire à la crédibilité de la France ou à l'image de la France, en tout cas sa capacité à bien organiser un grand événement comme les Jeux Olympiques. Donc ça c'est ce qu'on appelle dans notre jargon la menace étatique. Donc ça faisait partie des hypothèses qu'on avait pris en compte. Et puis il y a une autre menace qui est aujourd'hui omniprésente. et qui, elle, est beaucoup moins ciblée, beaucoup moins ciblée, c'est ça. Qui est la cybercriminalité, la criminalité organisée en fait. Une sorte de criminalité organisée qui s'est spécialisée dans les attaques par rançon jicienne notamment et qui là aussi pouvait avoir des effets extrêmement dévastateurs si une de ces attaques par exemple avait touché un stade qui organisait une compétition.
Speaker #0
Il y avait un risque également complémentaire qui était le risque sur les sous-traitants qui amenait un soutien essentiel au déroulement des JO et qui sont tout aussi essentiels dans le tissu économique ?
Speaker #1
Exactement. Donc quand on a commencé à s'intéresser à la cybersécurité des jeux, on a constaté, et ça on le savait, on l'a vu tout de suite, qu'il y avait des sites de compétition, des entités très connues comme Paris 2024 évidemment, qui allaient très certainement faire l'objet d'attaques. Mais derrière ces sites de compétition, ces entités au cœur des jeux, il y a généralement toute une chaîne logistique, toute une chaîne de soutien, de prestataires. Et il a fallu aussi qu'on regarde très finement l'ensemble de ces prestataires pour s'assurer qu'effectivement ils n'étaient pas fragiles et en tout cas trop facilement attaquables. C'est pour ça qu'on est arrivé à environ 500 entités, publiques ou privées d'ailleurs. à protéger ou à aider.
Speaker #0
On parle beaucoup d'héritage des Jeux Olympiques, c'est quelque chose qui est beaucoup revenu après les Jeux dans la presse. Y a-t-il un héritage des Jeux Olympiques en matière cyber ?
Speaker #1
On n'a pas complètement tiré cet héritage, mais il y a deux points qui me viennent vraiment à l'esprit. Le premier point, c'est comme je vous le disais, la préparation. Bien se préparer, bien se défendre. avoir des protections efficaces, et bien finalement ça marche. C'est quand même la meilleure façon d'éviter une attaque cyber, et c'est efficace. La deuxième leçon que nous tirons des Jeux Olympiques, c'est la coordination. On a fait beaucoup d'exercices avant les Jeux pour s'assurer qu'on était capable de se parler très rapidement, que dès lors qu'une entité qui participait aux Jeux détectait un signal faible d'une attaque, Elle était capable de nous contacter rapidement et qu'on était en mesure, nous, de lui apporter une réponse utile, efficace. Et donc tout ce travail de coordination, de mise en place de canaux d'échange, de groupes de discussion a été aussi extrêmement bénéfique et utile pendant les Jeux et nous a permis encore une fois d'avoir des réponses extrêmement rapides à tous les premiers signes finalement du début d'une attaque.
Speaker #0
en janvier 2023, vous parliez de passer du sur-mesure au prêt-à-porter en matière de cybersécurité. Est-ce que les Jeux Olympiques et même plus largement toutes les mesures et toutes les dispositions mises en place par l'ANSI permettent aujourd'hui de passer sur ce prêt-à-porter et donc sur cette massification des solutions cyber ?
Speaker #1
C'est exactement ça. Pendant les Jeux, on a fait à la fois du sur-mesure mais on a fait aussi du prêt-à-porter. Exemple de sur-mesure sur le stade de France. qui était quand même le site principal de compétition, on a fait évidemment du sur-mesure. C'est-à-dire que nos équipes d'audit sont allées auditer, tester les protections du Stade de France pour faire en sorte qu'elles soient au meilleur niveau possible. Donc là c'est vraiment des actions type sur-mesure. En revanche en termes d'exercice... Comme il était impossible d'organiser un exercice avec plus de 500 participants, avec des niveaux de maturité en cybersécurité extrêmement variés, on a pris le parti de distribuer des kits d'exercices qui ont permis à un très grand nombre d'entités de s'entraîner toutes seules. Voilà, donc des kits d'exercices assez pédagogiques, bien faits, qui font que même si vous n'êtes pas un spécialiste de la cybersécurité, Et bien finalement, vous êtes accompagné pour organiser dans votre entité, sans l'ANSI, un exercice qui vous permet d'avoir peut-être après les bons réflexes en cas d'attaque.
Speaker #0
C'est un peu la manière de faire de Cibia à travers ces ateliers ludiques qui convient des dirigeants de TPE, PME à faire des exercices assez ludiques pour sensibiliser justement à la cybersécurité et qui permet en plus de voir l'étendue de la donnée qu'on peut trouver en source ouverte pour ensuite mener des attaques. Je me permettais juste ces petits apartés. Toujours dans cette interview, enfin dans votre intervention au Sénat, vous parliez d'une forme de naïveté, notamment dans le tissu économique. Est-ce qu'on est face à des entreprises, notamment des TPE-PME qui n'ont pas conscience du risque qui est pourtant présent ? Les cyberattaquants pêchent au chalut, c'est-à-dire qu'ils vont attaquer de manière totalement indifférenciée. différentes organisations et prendre en fait les plus exposées, celles qui ont le moins de protection. Donc pensez-vous qu'il y a cette forme de naïveté de la part des TPE ? Et pensez-vous qu'au final on développe beaucoup de solutions à destination des TPE PME sans pour autant arriver à les sensibiliser comme on le devrait ou comme il le faudrait du moins ?
Speaker #1
C'est peut-être pas forcément une question de naïveté. Je pense qu'aujourd'hui... Il suffit de regarder le journal du 20h pour entendre parler de cyberattaques qui touchent des hôpitaux ou des entreprises, dont certaines ont été obligées d'ailleurs de faire faillite après. Donc je ne pense pas que ce sujet du risque cyber échappe aujourd'hui à un patron d'entreprise, quelle que soit la taille de cette entreprise. En revanche, je suis absolument persuadé que les patrons de PME et de TPE sont très souvent très démunis. pour trouver des solutions à la mesure de leurs moyens, et des solutions efficaces aussi, face à cette menace. Parce qu'effectivement, ce n'est pas leur métier de faire de la cybersécurité, que de recourir à des entreprises qui font du conseil en cybersécurité, c'est parfois un peu hors de portée pour ces entreprises. Donc on a un vrai travail aujourd'hui à mener vers ces entreprises de petite taille. pour leur permettre effectivement de mettre en œuvre des mesures de cybersécurité qui soient, encore une fois, proportionnées, adaptées à leurs moyens et qui soient efficaces. Et ça, ce n'est pas quelque chose de facile. C'est un problème un peu nouveau pour l'agence et je pense pour l'ensemble de l'écosystème en général. Mais on va y arriver.
Speaker #0
Je n'en doute pas. Et pourquoi les TPE-PME justement sont peut-être plus exposés au final que des grands groupes ?
Speaker #1
Parce que ces entreprises sont de plus en plus numérisées elles aussi. Elles ont besoin du numérique pour développer leur business, c'est un accélérateur de leur business. Mais en général, elles n'ont pas, contrairement aux grandes entreprises, les moyens de mettre en œuvre de la cybersécurité à bon niveau. Donc bien souvent, elles se numérisent très rapidement mais sans avoir eu le temps de mettre la couche cybersécurité par-dessus. C'est là-dessus qu'il faut qu'on les accompagne aujourd'hui.
Speaker #0
C'est une forme de décalage entre l'exposition numérique au final et les solutions en mesure de déployer, c'est bien ça ?
Speaker #1
Oui, et puis c'est un problème qu'ont connu les grandes entreprises aussi pendant quelques années. C'est-à-dire que les cybercriminels dont je parlais tout à l'heure ont au début attaqué les grandes entreprises jusqu'à ce que celles-ci comprennent qu'elles étaient des cibles et aient mis les moyens sur leur protection. Aujourd'hui, comme ces grandes entreprises sont bien protégées, effectivement, les criminels se tournent vers ceux qui sont moins protégés et donc tombent sur des entreprises de taille intermédiaire, des PME, des TPE, qui elles, effectivement, sont moins protégées. Donc à nous maintenant de faire cet effort vers cet écosystème d'entreprises-là pour les accompagner dans leur protection et leur montrer qu'il y a des choses qui sont atteignables, qui ne sont pas forcément atteignables grâce à de l'expertise, qui sont assez facilement atteignables et qui sont très efficaces. Encore une fois, pour se protéger contre cette cybercriminalité qui fait de la pêche au chalut, comme vous dites.
Speaker #0
Pour concrétiser et rendre plus palpable cette pêche au chalut, quelles sont les vulnérabilités qu'ont les TPE-PME et d'où viennent au final les attaques ?
Speaker #1
Bien souvent, vous savez, ça commence par un authentifiant, un login et surtout un mot de passe extrêmement faible qui a peut-être fuité sur Internet parce que c'était le même mot de passe que sur un compte de réseau social, par exemple. Et ce mot de passe, il est utilisé pour tous les comptes de l'entreprise. Donc ça commence par là, par exemple, d'utiliser des mots de passe solides. Ça, ce n'est pas quelque chose de très compliqué à faire. Mais c'est quelque chose quand même qui est redoutablement efficace. Et le nombre d'attaques qui commencent tout simplement par, encore une fois, un accès frauduleux à un compte parce que le mot de passe était beaucoup trop faible, c'est bien souvent ce qu'on rencontre.
Speaker #0
Et tout à l'heure vous parliez justement des entreprises qui ont fini par mettre la clé sous la porte suite à une cyberattaque. Au final, quelles sont les conséquences pour une entreprise de m'en attaquer ? Comment on finit par mettre la clé sous la porte ?
Speaker #1
Le schéma est très simple. Vous êtes attaqué, le criminel a deux modes d'action qu'il peut jouer en même temps. Il peut bloquer votre système d'information, entièrement le chiffrer. Là vous n'avez plus accès à vos données mais votre système ne fonctionne plus, votre messagerie ne fonctionne plus, vous n'avez plus accès à votre comptabilité par exemple ou à votre carnet de clients. Et puis en même temps, bien souvent il a volé vos données. Et il vous menace de les divulguer aussi sur Internet si vous ne payez pas une rançon. Donc, les cybercriminels arrivent très rapidement à évaluer le niveau de rançon qui est payable par une entreprise. Et ils vous proposent effectivement de leur payer rapidement cette rançon si vous voulez retrouver l'accès à vos données. Donc ça, évidemment, ça a des conséquences immédiates sur le... l'entreprise, soit le patron de l'entreprise décide de payer parce qu'il a les moyens de payer et il s'en sort plutôt bien, soit il décide de ne pas payer parce qu'il n'a pas les moyens et effectivement là très rapidement son activité s'arrête.
Speaker #0
Sans compter qu'il peut y avoir la double peine, c'est-à-dire payer, voir quand même ces données libérées sur le Darknet.
Speaker #1
Effectivement, il y a aussi ça puisque ce sont des criminels qui mènent ces activités là donc on ne peut pas vraiment leur faire confiance quant à la parole qu'ils ont.
Speaker #0
On a une idée du marché en valeur des ranches anglicielles ? Combien ça représente au final ?
Speaker #1
Non, je ne pourrais pas vous dire et c'est extrêmement compliqué. Tous les chiffres sont cités dans la presse régulièrement. Il n'y a pas, je pense, de chiffres très vérifiables dans ce domaine-là. Mais ce qui est important, nous ce qu'on constate en tout cas, En 2023, la menace concernant les entreprises de taille intermédiaire ou les petites entreprises a réellement bondi. Donc on verra ce que donneront les chiffres. Mais aujourd'hui, ce sont vraiment ces entités-là, tout comme d'ailleurs les collectivités ou les établissements publics de cette taille-là, qui sont les premières victimes de cette cybercriminalité.
Speaker #0
Oui, et si on n'a pas encore les chiffres de 2024, nul doute qu'on est quand même sur une tendance haussière et que c'est une tendance de fond.
Speaker #1
Hélas, oui.
Speaker #0
Malheureusement. Et quelles sont les solutions, vous Alain, que vous privilégiez pour augmenter la résilience et la préparation, avant de parler de résilience, des TPE-PME ?
Speaker #1
Alors il y a toutes les mesures qu'on appelle des mesures simples, mais les mesures d'hygiène numérique. Ça c'est encore une fois extrêmement efficace. Je vous ai cité l'exemple des mots de passe, mais je peux vous citer d'autres exemples, notamment les sauvegardes. Avoir des sauvegardes de ces données, c'est quelque chose qui paraît évident, qui n'est pas très compliqué, et surtout si ces sauvegardes sont en ligne. Mais c'est quelque chose que bien souvent les entreprises ne font pas. Et encore une fois, quand votre système se retrouve chiffré, bloqué, si vous n'avez pas de sauvegarde, vous êtes très embêté. Il y a un certain nombre de mesures que tout le monde peut retrouver dans nos guides d'hygiène numérique, qui sont assez simples à mettre en œuvre. mais qui sont très efficaces.
Speaker #0
Et faciles à retrouver sur votre site en plus.
Speaker #1
Absolument.
Speaker #0
Mais ce qui est fou, c'est qu'on échange aujourd'hui ensemble, on a échangé avec Yann Bonnet, avec Jérôme Notin, avec Fabrice Billot, donc que des grands noms au final de la cybersécurité. Le discours est toujours le même et pourtant il n'a pas été compris ou absorbé par la population. De manière générale, je fais un grand bloc en parlant de population et c'est justement pour ça que Cibia, cette initiative européenne, a vu le jour. Pour vous, quelle est la grande force de Cibia ?
Speaker #1
La grande force de Cibia, c'est justement de continuer à déployer, à développer tous ces messages vers les PME. Aujourd'hui, je me mets à la place d'un patron de PME qui est peut-être en province, assez loin de Paris. L'ANSI, même si pour moi je trouve que c'est une très belle agence, pour lui c'est peut-être quelque chose qu'il ne connaît pas du tout. Il n'a jamais entendu parler de cette agence et le jour où il subit une attaque, il est peut-être encore une fois très démuni parce qu'il ne sait pas très bien vers qui se retourner. Aller contacter une agence parisienne, ça lui paraît très éloigné de ses problèmes. Donc ça veut dire qu'on a vraiment besoin de relais, de multiples relais pour aider ces entreprises. Alors ces relais peuvent être territoire rio, Peut-être qu'effectivement, il aura entendu parler par sa CCI d'un centre cyber dans sa région. Ils peuvent être sectoriels aussi. Peut-être que dans son association professionnelle, il aura entendu parler d'un centre cyber pour son secteur d'activité. Et puis, il y a aussi Cibia qui va peut-être lui amener un certain nombre de réponses pour l'aider à résoudre une attaque ou à mieux se protéger. Aujourd'hui, notre enjeu, c'est vraiment de développer tous ces relais pour faire en sorte que finalement, à la fin, tout patron de PME ait entendu parler d'au moins un dispositif d'assistance. Au moins un quoi. Et s'il en a entendu parler de deux ou trois, ben c'est très bien, c'est quand mieux, mais au moins un quoi. Et je pense qu'on n'en est pas là aujourd'hui encore.
Speaker #0
Donc si je comprends bien, il n'y a pas une manière d'atteindre, que ce soit un dirigeant d'entreprise au final ou un particulier, c'est vraiment une couverture nationale avec les... les campus cyber régionaux qui commencent à se déployer. Il y a eu notamment Bretagne, qui ont été déployés récemment. Et toutes ces solutions comme Cibia, qui permet de calculer la zone d'exposition et de vulnérabilité pour ensuite déployer des solutions justement qui sont en plus agréées par l'ANSI. En parlant d'un côté un peu plus légal, il y a la directive européenne NIS2 qui est transposée dans le droit français qui amène de nouvelles responsabilités qui devraient également permettre de faciliter la... coopération à l'échelle européenne. Pouvez-vous nous en dire un peu plus sur cette directive qui, au final, devrait permettre de passer un nouveau cran en matière de cybersécurité ?
Speaker #1
La directive NIS 2, c'est effectivement une directive européenne sur laquelle l'agence a beaucoup œuvré, a beaucoup promu pour qu'elle soit promulguée au niveau européen et qu'on va devoir maintenant transposer dans le droit national. Cette directive Nice 2, elle est partie en fait du constat que la menace cyber a explosé depuis quelques années. Et comme on le disait précédemment, elle ne touche pas uniquement les grandes administrations, les grandes entreprises, mais aujourd'hui elle touche tout le tissu socio-économique du pays et des pays européens. Donc face à l'explosion de cette menace... Les États membres de l'Union européenne se sont dit qu'il fallait qu'ils développent une nouvelle doctrine, une nouvelle réglementation qui permette de couvrir plus largement les acteurs économiques de l'Union européenne et donc en particulier aller plus loin dans les secteurs d'activité et dans la taille des entreprises concernées par la cybersécurité. C'est une directive qui touche aussi les établissements publics et les collectivités territoriales mais qui va nous permettre sur le plan purement entreprise... encore une fois, de toucher beaucoup plus de secteurs. Il y avait déjà une précédente directive avant qui s'appelait NIS 1, mais qui ne concernait que 7 secteurs d'activité. Là, avec cette nouvelle directive, on passe à 18 secteurs d'activité. Et puis, en fonction de la taille des entités aussi, il y a de nouveaux critères. On ne touche plus uniquement les grandes entreprises, mais on va aussi maintenant pouvoir aider les entreprises de taille intermédiaire, voire dans certains secteurs d'activité, les PME.
Speaker #0
En fonction justement de leur degré d'importance en matière de souveraineté, de défense, de santé ? Enfin sur le régalien ?
Speaker #1
C'est ça. Comme je vous l'ai dit, il y a beaucoup de secteurs d'activité maintenant qui sont concernés. Il y a des critères liés à la taille de l'entreprise, à son chiffre d'affaires. Tout ça fait un système de critères un peu compliqué que je ne vais pas vous détailler là à l'oral. Mais vous avez un site que nous avons mis en ligne qui s'appelle MonEspaceNice2. Et sur ce site, n'importe quelle entreprise peut aller pour voir si elle est éligible maintenant à la directive NIS 2. Donc elle rentre un certain nombre d'informations la concernant et à la fin ça lui dit que vous allez être soumis à la directive NIS 2 ou non, vous n'êtes pas concerné.
Speaker #0
Et est-ce qu'à mesure que l'on va protéger les acteurs critiques, les entités importantes, un rôle très stratégique, Nice souverain, et donc renforcer encore plus la pression sur ces petites entités ?
Speaker #1
La pression est déjà là aujourd'hui. Elle est déjà sur ces petites entités. L'ambition de Nice 2, justement, c'est d'aller bien au-delà du cœur régalien des entreprises les plus critiques ou les plus souveraines pour le pays. Mais justement d'aller sur des entreprises de taille intermédiaire, des PME, dans des secteurs d'activité qui sont extrêmement variés.
Speaker #0
Parce que la menace est déjà présente et pèse déjà lourdement sur ces secteurs d'activité ou ces entreprises-là. à part entière de ces guerres hybrides, et où au final les entreprises sont des victimes collatérales. Et plus le nouvel ordre géopolitique va se modifier, plus on va être confronté à ces menaces qui touchent de manière très aléatoire les entreprises.
Speaker #1
Oui, les attaques informatiques font partie de ce qu'on appelle la guerre hybride. C'est au même titre d'ailleurs que les actions de désinformation ou d'autres... de déstabilisation qui peuvent être menées par certains états. Mais dans le cadre de Nice 2, ce n'est vraiment pas face à cette menace-là qu'on cherche à protéger les entreprises. Encore une fois c'est plutôt face à une menace de type cybercriminalité qui a des liens forcément avec le contexte géopolitique. Le développement de cette cybercriminalité n'est pas non plus complètement déconnecté du contexte géopolitique dans lequel nous vivons mais les liens ne sont Et donc, c'est pour protéger ces entreprises contre la cybercriminalité qui, elle, c'est vous qui l'avez dit, fait de la pêche au chalut sur tout type d'entités, notamment les plus faibles, que la directive NIS2 a été promulguée et va permettre, quand elle sera mise en œuvre, de mieux protéger ces entreprises.
Speaker #0
Et quelles vont être les mesures spécifiques déployées par l'ANSI pour réussir à faire ce prêt-à-porter ?
Speaker #1
plusieurs choses. Ça va nous permettre de connaître ces entreprises, donc elles vont devoir s'enregistrer. Je vous ai dit qu'on a un portail qui s'appelle MonEspace Nice2, qui permet de savoir si une entreprise est éligible ou pas. Donc pour celles qui seront éligibles, on va leur demander effectivement de s'enregistrer. La deuxième chose que va nous permettre Nice2, ça va être de connaître les entreprises qui subissent une attaque informatique. Puisqu'une fois qu'elles auront été désignées comme éligibles et qu'elles se seront enregistrées, dès lors qu'elles subiront une attaque informatique, elles devront nous signaler, nous notifier cette attaque informatique. Elles devront aussi porter plainte. Ça c'est un autre sujet mais qui est aussi très important. Et puis le troisième volet de la directive NIS 2 pour les entreprises qui sont éligibles à cette directive, ça va être de mettre en œuvre des mesures de cybersécurité que nous allons leur prescrire. Et ces mesures de cybersécurité, elles seront évidemment adaptées à la taille des entreprises. On ne demande pas la même chose à une PME qu'à une grande entreprise. Donc ces mesures de cybersécurité, elles seront proportionnées aux moyens de ces entreprises, mais avec toujours dans l'idée que ces mesures, même si elles sont proportionnées aux moyens, il faut qu'à la fin elles soient efficaces. Donc ça effectivement c'est tout ce qu'on trouvera bientôt dans la transposition de la directive NIS. et sur notre portail et mon espace NIS2. Ensuite, effectivement, comme on ne pourra pas être au chevet de toutes ces entités, aujourd'hui on estime qu'on aura à peu près 15 000 entités concernées par NIS2 et parmi ces 15 000 entités, ce sera un très grand nombre de PME justement. Donc comme on ne pourra pas être au chevet de toutes ces entreprises, de l'ANSI dans chacune de ces entreprises. Nous développons un très grand nombre de services en ligne pour, comme je vous l'ai dit, déjà renseigner les entreprises sur ce qu'elles auront à faire, mais nous sommes aussi en train de développer un autre service en ligne qu'on appelle MonAideCyber qui va permettre à un patron de PME de trouver un aidant, quelqu'un qui va pouvoir l'aider à mettre en œuvre un certain nombre de mesures assez immédiates et assez efficaces en termes de cybersécurité. Et puis nous aurons d'autres services en ligne, petit à petit, que nous allons développer pour finalement massifier.
Speaker #0
nos modes d'action et passer, comme on le disait précédemment, de cette logique de surmesure à une logique de prêt-à-porter, facile à utiliser, facile à mettre en œuvre pour quelqu'un qui n'est pas un grand spécialiste de la cybersécurité.
Speaker #1
Merci beaucoup pour cet overview du travail de l'ANSI et c'est assez passionnant de voir tout ce qui est mis en place. Et permettez-moi de vous poser une question un peu triviale, mais est-ce que c'est cher la cybersécurité pour une TPE ? Combien ça coûte ?
Speaker #0
Alors, on n'a pas de chiffres très précis. Tout ça est très dépendant de l'informatique que l'entreprise utilise. On a l'habitude de dire qu'il faut investir entre 5 à 10 % du budget informatique dans la cybersécurité. Voilà, ça c'est un désabac, un benchmark qui a été fait par un certain nombre de cabinets. qui semblent avoir du sens. Mais encore une fois, il faut vraiment l'adapter à l'entreprise. Vous avez des entreprises qui sont très numérisées, très informatisées et peut-être qu'elles, il va leur falloir investir plus, d'autres qui le sont beaucoup moins. Donc ça dépend effectivement de la nature de l'activité.
Speaker #1
Et en parlant de nature et de l'activité, il y a de plus en plus de startups qui se lancent dans l'IA. Pour vous, le quantique et l'intelligence artificielle, est-ce qu'elle est plutôt au profit des cyberattaquants ou au contraire ? C'est une formidable opportunité de détecter plus facilement la menace, de multiplier la puissance de calcul pour y répondre.
Speaker #0
Ça c'est un vaste sujet. L'intelligence artificielle, effectivement, c'est un sujet sur lequel on réfléchit beaucoup actuellement. Aujourd'hui, on n'a pas vu d'attaque informatique qui mettait à profit des techniques d'intelligence artificielle. Je vous dis bien aujourd'hui, peut-être que demain ça changera, mais... Aujourd'hui, on ne constate pas cette évolution de la menace. Oui, l'intelligence artificielle va nous aider très certainement à être plus efficaces en termes de cybersécurité. Donc demain, très certainement, et dès aujourd'hui d'ailleurs, un certain nombre de produits, de solutions reposeront sur des techniques ou des technologies d'intelligence artificielle. Et puis on a un défi assez important à mener qui est de bien protéger Ces intelligences artificielles aussi, notamment celles qui sont grand public, dont tout le monde entend parler actuellement, et pour faire en sorte qu'elles soient efficaces et qu'elles continuent à fonctionner correctement. Donc sur l'intelligence artificielle, aujourd'hui on aurait tendance plutôt à dire que ça va être bénéfique pour la cybersécurité, plus bénéfique pour la cybersécurité que pour les criminels ou les attaquants. Concernant le quantique, c'est un vrai problème. Pourquoi ? Parce qu'effectivement, l'ordinateur quantique permettra demain, quand il arrivera, de casser un certain nombre de techniques de cryptographie. Donc un certain nombre de secrets seront, pas tous, mais un certain nombre de secrets seront dévoilés dès lors que l'ordinateur quantique sera là. Donc ça veut dire qu'on peut imaginer que certains états aujourd'hui stockent des informations... chiffrés, qu'ils ne sont pas capables de lire dans l'idée de pouvoir demain, dans cinq ans, que sais-je, les déchiffrer pour avoir accès à ces secrets. Donc ça, ça veut dire qu'il faut réfléchir dès aujourd'hui à faire évoluer les technologies de cryptographie qui sont embarquées dans nos logiciels, dans nos navigateurs, dans tout ce qu'on ne voit pas mais qui est très présent aujourd'hui, pour faire en sorte que ces technologies-là, ces mécanismes de cryptographie résistent. à cet ordinateur quantique qui arrivera probablement un jour.
Speaker #1
Si je vous suis bien, depuis le début de notre interview, le maître mot de la cybersécurité, c'est l'anticipation. C'est toujours se dire, est-ce que je suis au final préparé aujourd'hui pour les menaces de demain ?
Speaker #0
Absolument. La préparation, encore une fois, on l'a démontré pendant les Jeux, mais ça marche, c'est efficace. L'anticipation, la bonne préparation, c'est quelque chose qui permet de réduire considérablement la menace. et à tout le moins d'être préparé si, à un moment, on est effectivement victime d'une attaque.
Speaker #1
On a évoqué tout à l'heure le campus cyber de la Défense, puis ces émanations qui commencent à émerger un peu partout sur le territoire. Pourquoi les déployer ? Et surtout, quel est le rôle de l'ANSI là-dedans ? Et qu'est-ce que ça va apporter de plus ou de différent par rapport au campus de la Défense ?
Speaker #0
Le campus de la Défense, effectivement, c'est... C'est une superbe initiative prise par le président de la République et incarnée par Michel Vandenberg, qui permet de développer de multiples synergies entre la recherche... les industriels, les administrations, des clients de la cybersécurité, des fournisseurs de produits. Donc ça effectivement c'est une étape majeure pour nous dans le développement de l'écosystème de la cybersécurité. Son seul défaut, c'est qu'il est parisien. Et encore une fois, si je vous reprends l'exemple de ma PME qui est à Orange, une petite ville de province qui me tient à cœur. Bon bah, se retourner vers le campus cyber quand on habite Orange, c'est peut-être pas forcément évident. En revanche, s'il y avait un campus cyber à Marseille ou à Avignon encore mieux, peut-être que ce serait plus naturel pour le patron de cette PME d'Orange d'aller se retourner vers ce campus cyber plus régional. Donc on a besoin d'acteurs régionaux, d'acteurs de terrain pour aider ces patrons de PME qui... cherchent des solutions efficaces à leurs problèmes.
Speaker #1
On va arriver au bout de cet échange. Pour vous, quelles seraient les recommandations que vous donneriez à une entreprise qui aujourd'hui subirait une cyberattaque ? Quels sont les bons réflexes ? Je vois mes systèmes d'information qui sont down. Qu'est-ce que je fais dans l'immédiat ?
Speaker #0
Déjà, j'espère être passé avant pour lui dire protégez-vous, préparez-vous. Investissez dans la cybersécurité, ce n'est pas un investissement à perte. Aujourd'hui vous savez un patron de PME je pense qu'il investit dans ses systèmes de sécurité, sa vidéoprotection, sa vidéosurveillance de ses bâtiments. Il sait se protéger contre des vols. Il faut qu'on leur explique aussi comment se protéger contre de la cybersécurité et c'est encore une fois quelque chose de tout à fait faisable, atteignable avec des moyens qui sont raisonnables. Et puis si hélas, malgré tout ça, il est victime d'une attaque informatique, je lui dirais de rapidement se déconnecter d'Internet, rapidement protéger ses sauvegardes puisque, comme on se sera vu avant, il aura mis en place un système de sauvegarde de données. Donc de déconnecter ses sauvegardes si elles étaient encore connectées pour s'assurer qu'elles soient bien protégées. Je lui dirais aussi également d'aller porter plainte très rapidement. et puis de se tourner vers son campus régional ou son centre cyber régional pour trouver un prestataire qui pourra l'aider certainement et qui est probablement pas très loin de chez lui pour lui apporter des solutions techniques efficaces.
Speaker #1
Merci beaucoup pour toutes ces mesures qui, je pense, seront extrêmement utiles à tous les entrepreneurs, que ce soit avant une attaque ou malheureusement après pour certains. Merci de vous être rendu disponible sur ce podcast et d'avoir partagé toute votre expertise. Merci à vous. Également, nous suivre sur LinkedIn at sybiach. A très vite !

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

Un épisode à la fois stratégique et pragmatique pour anticiper, se protéger et agir sans complexité inutile.

➜ En savoir plus sur les accompagnements gratuits proposés par CYBIAH : www.cybiah.eu

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
La menace est déjà présente et pèse déjà lourdement.
Speaker #1
Effectivement, l'ordinateur quantique permettra demain de casser un certain nombre de techniques de cryptographie.
Speaker #0
La menace cyber ne cesse d'évoluer, menaçant de plus en plus les PME comme les collectivités. Dès lors, comment la France se prépare-t-elle face à ces nouveaux défis de sécurité ? Pour répondre à ces questions... nous avons rencontré Emmanuel Néijelen, directeur général adjoint de l'ANSI, l'Agence nationale de la sécurité des systèmes d'information. Dans cet épisode, il nous éclaire sur les stratégies déployées, les actions prioritaires, mais aussi l'importance de l'anticipation pour renforcer ensemble notre résilience collective. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne. Il offre un accompagnement en sécurité numérique entièrement pris en charge pour les entreprises les acteurs de l'économie sociale et solidaire ainsi que les collectivités franciliennes. Pour renforcer la sécurité de vos systèmes et bénéficier de cet accompagnement personnalisé, rendez-vous sur cybia.eu.
Speaker #1
Ce podcast est produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris Ouest La Défense. Cet épisode est réalisé par l'agence Jeff.
Speaker #0
Bonjour Emmanuel Négelen. Merci beaucoup de vous rendre disponible pour ce sixième épisode de Safe & Sound, le podcast dédié à la cybersécurité produit par Cibia et Paris-Ouest La Défense. Je suis ravi donc de vous accueillir et pour commencer cette interview, pourriez-vous vous présenter ?
Speaker #1
Bonjour Etienne, je suis moi aussi ravi d'être avec vous pour vous parler de cybersécurité bien sûr. Donc moi je suis Emmanuel Négelène, je suis le directeur adjoint de l'Agence Nationale. de la sécurité des systèmes d'information.
Speaker #0
Et en quoi ça consiste d'être directeur général adjoint de l'ANSI ?
Speaker #1
Eh bien, ça consiste en beaucoup de choses. Ça consiste tout d'abord à aider son directeur général, qui est donc Vincent Strubel. Et puis les missions de l'agence, vous savez, elles sont vastes. Nous sommes l'autorité nationale de cybersécurité et de cyberdéfense. Et donc, à ce titre, nous sommes en charge sous la coupe du Premier ministre. de mener toutes les politiques de prévention, de réponse à incidents, de sensibilisation et de formation sur la cybersécurité.
Speaker #0
Ça fait énormément de missions pour l'INSEE. Il y a d'autres organes nationaux comme cybermalveillance.gouv.fr ou encore Viginum. Comment ça s'articule ? Comment vous travaillez avec ces différentes entités ?
Speaker #1
Alors nous sommes de plus en plus nombreux effectivement dans ce domaine de la cybersécurité et c'est une volonté. qui est un groupement d'intérêts publics que vous avez déjà interviewé, je crois.
Speaker #0
Tout à fait.
Speaker #1
Et en fait, une émanation de l'ANSI. Et la mission de cybermalveillance.gouv.fr, c'est surtout de faire de la sensibilisation, de l'aide, en fait, de l'assistance aux particuliers et aux petites entreprises, petites entités. Donc voilà, c'est leur mission principale. Tout ça pour vous dire qu'on ne fait pas tout ça tout seul, effectivement, même si nous sommes l'autorité nationale. Nous avons besoin d'avoir de multiples relais pour nous aider dans cette vaste mission.
Speaker #0
Effectivement, Emmanuel Macron, le président de la République, a fait de la cybersécurité un cheval de bataille et de manière assez légitime. Quels sont les moyens qui vous sont donnés à l'ANSI pour accomplir toutes ces missions qui vont de la prévention à la gestion de crise ?
Speaker #1
Alors, nous avons déjà la chance d'avoir des moyens humains très... Très significatif, puisque nous sommes 650, nous serons environ 650 en fin d'année 2024. Et donc 650 experts dans un très grand nombre de domaines. Évidemment dans des domaines très technologiques, de cybersécurité dure, par exemple la cryptographie ou la cryptologie. Mais aussi nous avons des experts dans d'autres domaines, donc des ingénieurs plus classiques dans le numérique et puis des experts... dans les relations internationales, dans la communication, dans le droit de la cybersécurité. Donc une très grande variété d'expertises qui nous permet comme ça d'adresser tous les pans de ce vaste sujet de cybersécurité.
Speaker #0
Et des talents justement qui ont permis je pense de faire des JO à Paris cet été, enfin l'été dernier, un moment extrêmement festif et sans attaques majeures. D'ailleurs lundi, d'après les chiffres, vous avez relevé bien moins d'attaques que ce qui était prévisible. Comment on peut expliquer ce succès ?
Speaker #1
Effectivement, ça a été la bonne surprise, mais finalement, ce n'est pas tant une surprise que ça pour nous. Puisque ça fait en fait plus de deux ans qu'on se prépare pour les jeux. En tout cas, on s'était préparé deux ans avant le début des jeux. Et donc peut-être que le fait qu'aucune attaque n'ait eu d'impact majeur sur les jeux, c'est le résultat de cette très bonne préparation, longue préparation encore une fois de deux ans, avec un très grand nombre d'entités. Nous avions recensé environ 500 entités qui... qui avait un rôle plus ou moins critique pour la bonne tenue des jeux. Et nous avons en tout cas travaillé à différents degrés avec l'ensemble de toutes ces entités.
Speaker #0
Et des menaces qui étaient donc nombreuses, qui ont été évitées. Quelles étaient les menaces qui vous faisaient le plus peur ? Et au final, quelles sont les menaces qui vous font le plus peur pour le tissu économique français ?
Speaker #1
Alors, il y avait différentes catégories de menaces, effectivement. géopolitique actuelle qui ne nous a pas échappé. Il y a un certain nombre d'États qui pouvaient être intéressés par l'idée peut-être de nuire à la crédibilité de la France ou à l'image de la France, en tout cas sa capacité à bien organiser un grand événement comme les Jeux Olympiques. Donc ça c'est ce qu'on appelle dans notre jargon la menace étatique. Donc ça faisait partie des hypothèses qu'on avait pris en compte. Et puis il y a une autre menace qui est aujourd'hui omniprésente. et qui, elle, est beaucoup moins ciblée, beaucoup moins ciblée, c'est ça. Qui est la cybercriminalité, la criminalité organisée en fait. Une sorte de criminalité organisée qui s'est spécialisée dans les attaques par rançon jicienne notamment et qui là aussi pouvait avoir des effets extrêmement dévastateurs si une de ces attaques par exemple avait touché un stade qui organisait une compétition.
Speaker #0
Il y avait un risque également complémentaire qui était le risque sur les sous-traitants qui amenait un soutien essentiel au déroulement des JO et qui sont tout aussi essentiels dans le tissu économique ?
Speaker #1
Exactement. Donc quand on a commencé à s'intéresser à la cybersécurité des jeux, on a constaté, et ça on le savait, on l'a vu tout de suite, qu'il y avait des sites de compétition, des entités très connues comme Paris 2024 évidemment, qui allaient très certainement faire l'objet d'attaques. Mais derrière ces sites de compétition, ces entités au cœur des jeux, il y a généralement toute une chaîne logistique, toute une chaîne de soutien, de prestataires. Et il a fallu aussi qu'on regarde très finement l'ensemble de ces prestataires pour s'assurer qu'effectivement ils n'étaient pas fragiles et en tout cas trop facilement attaquables. C'est pour ça qu'on est arrivé à environ 500 entités, publiques ou privées d'ailleurs. à protéger ou à aider.
Speaker #0
On parle beaucoup d'héritage des Jeux Olympiques, c'est quelque chose qui est beaucoup revenu après les Jeux dans la presse. Y a-t-il un héritage des Jeux Olympiques en matière cyber ?
Speaker #1
On n'a pas complètement tiré cet héritage, mais il y a deux points qui me viennent vraiment à l'esprit. Le premier point, c'est comme je vous le disais, la préparation. Bien se préparer, bien se défendre. avoir des protections efficaces, et bien finalement ça marche. C'est quand même la meilleure façon d'éviter une attaque cyber, et c'est efficace. La deuxième leçon que nous tirons des Jeux Olympiques, c'est la coordination. On a fait beaucoup d'exercices avant les Jeux pour s'assurer qu'on était capable de se parler très rapidement, que dès lors qu'une entité qui participait aux Jeux détectait un signal faible d'une attaque, Elle était capable de nous contacter rapidement et qu'on était en mesure, nous, de lui apporter une réponse utile, efficace. Et donc tout ce travail de coordination, de mise en place de canaux d'échange, de groupes de discussion a été aussi extrêmement bénéfique et utile pendant les Jeux et nous a permis encore une fois d'avoir des réponses extrêmement rapides à tous les premiers signes finalement du début d'une attaque.
Speaker #0
en janvier 2023, vous parliez de passer du sur-mesure au prêt-à-porter en matière de cybersécurité. Est-ce que les Jeux Olympiques et même plus largement toutes les mesures et toutes les dispositions mises en place par l'ANSI permettent aujourd'hui de passer sur ce prêt-à-porter et donc sur cette massification des solutions cyber ?
Speaker #1
C'est exactement ça. Pendant les Jeux, on a fait à la fois du sur-mesure mais on a fait aussi du prêt-à-porter. Exemple de sur-mesure sur le stade de France. qui était quand même le site principal de compétition, on a fait évidemment du sur-mesure. C'est-à-dire que nos équipes d'audit sont allées auditer, tester les protections du Stade de France pour faire en sorte qu'elles soient au meilleur niveau possible. Donc là c'est vraiment des actions type sur-mesure. En revanche en termes d'exercice... Comme il était impossible d'organiser un exercice avec plus de 500 participants, avec des niveaux de maturité en cybersécurité extrêmement variés, on a pris le parti de distribuer des kits d'exercices qui ont permis à un très grand nombre d'entités de s'entraîner toutes seules. Voilà, donc des kits d'exercices assez pédagogiques, bien faits, qui font que même si vous n'êtes pas un spécialiste de la cybersécurité, Et bien finalement, vous êtes accompagné pour organiser dans votre entité, sans l'ANSI, un exercice qui vous permet d'avoir peut-être après les bons réflexes en cas d'attaque.
Speaker #0
C'est un peu la manière de faire de Cibia à travers ces ateliers ludiques qui convient des dirigeants de TPE, PME à faire des exercices assez ludiques pour sensibiliser justement à la cybersécurité et qui permet en plus de voir l'étendue de la donnée qu'on peut trouver en source ouverte pour ensuite mener des attaques. Je me permettais juste ces petits apartés. Toujours dans cette interview, enfin dans votre intervention au Sénat, vous parliez d'une forme de naïveté, notamment dans le tissu économique. Est-ce qu'on est face à des entreprises, notamment des TPE-PME qui n'ont pas conscience du risque qui est pourtant présent ? Les cyberattaquants pêchent au chalut, c'est-à-dire qu'ils vont attaquer de manière totalement indifférenciée. différentes organisations et prendre en fait les plus exposées, celles qui ont le moins de protection. Donc pensez-vous qu'il y a cette forme de naïveté de la part des TPE ? Et pensez-vous qu'au final on développe beaucoup de solutions à destination des TPE PME sans pour autant arriver à les sensibiliser comme on le devrait ou comme il le faudrait du moins ?
Speaker #1
C'est peut-être pas forcément une question de naïveté. Je pense qu'aujourd'hui... Il suffit de regarder le journal du 20h pour entendre parler de cyberattaques qui touchent des hôpitaux ou des entreprises, dont certaines ont été obligées d'ailleurs de faire faillite après. Donc je ne pense pas que ce sujet du risque cyber échappe aujourd'hui à un patron d'entreprise, quelle que soit la taille de cette entreprise. En revanche, je suis absolument persuadé que les patrons de PME et de TPE sont très souvent très démunis. pour trouver des solutions à la mesure de leurs moyens, et des solutions efficaces aussi, face à cette menace. Parce qu'effectivement, ce n'est pas leur métier de faire de la cybersécurité, que de recourir à des entreprises qui font du conseil en cybersécurité, c'est parfois un peu hors de portée pour ces entreprises. Donc on a un vrai travail aujourd'hui à mener vers ces entreprises de petite taille. pour leur permettre effectivement de mettre en œuvre des mesures de cybersécurité qui soient, encore une fois, proportionnées, adaptées à leurs moyens et qui soient efficaces. Et ça, ce n'est pas quelque chose de facile. C'est un problème un peu nouveau pour l'agence et je pense pour l'ensemble de l'écosystème en général. Mais on va y arriver.
Speaker #0
Je n'en doute pas. Et pourquoi les TPE-PME justement sont peut-être plus exposés au final que des grands groupes ?
Speaker #1
Parce que ces entreprises sont de plus en plus numérisées elles aussi. Elles ont besoin du numérique pour développer leur business, c'est un accélérateur de leur business. Mais en général, elles n'ont pas, contrairement aux grandes entreprises, les moyens de mettre en œuvre de la cybersécurité à bon niveau. Donc bien souvent, elles se numérisent très rapidement mais sans avoir eu le temps de mettre la couche cybersécurité par-dessus. C'est là-dessus qu'il faut qu'on les accompagne aujourd'hui.
Speaker #0
C'est une forme de décalage entre l'exposition numérique au final et les solutions en mesure de déployer, c'est bien ça ?
Speaker #1
Oui, et puis c'est un problème qu'ont connu les grandes entreprises aussi pendant quelques années. C'est-à-dire que les cybercriminels dont je parlais tout à l'heure ont au début attaqué les grandes entreprises jusqu'à ce que celles-ci comprennent qu'elles étaient des cibles et aient mis les moyens sur leur protection. Aujourd'hui, comme ces grandes entreprises sont bien protégées, effectivement, les criminels se tournent vers ceux qui sont moins protégés et donc tombent sur des entreprises de taille intermédiaire, des PME, des TPE, qui elles, effectivement, sont moins protégées. Donc à nous maintenant de faire cet effort vers cet écosystème d'entreprises-là pour les accompagner dans leur protection et leur montrer qu'il y a des choses qui sont atteignables, qui ne sont pas forcément atteignables grâce à de l'expertise, qui sont assez facilement atteignables et qui sont très efficaces. Encore une fois, pour se protéger contre cette cybercriminalité qui fait de la pêche au chalut, comme vous dites.
Speaker #0
Pour concrétiser et rendre plus palpable cette pêche au chalut, quelles sont les vulnérabilités qu'ont les TPE-PME et d'où viennent au final les attaques ?
Speaker #1
Bien souvent, vous savez, ça commence par un authentifiant, un login et surtout un mot de passe extrêmement faible qui a peut-être fuité sur Internet parce que c'était le même mot de passe que sur un compte de réseau social, par exemple. Et ce mot de passe, il est utilisé pour tous les comptes de l'entreprise. Donc ça commence par là, par exemple, d'utiliser des mots de passe solides. Ça, ce n'est pas quelque chose de très compliqué à faire. Mais c'est quelque chose quand même qui est redoutablement efficace. Et le nombre d'attaques qui commencent tout simplement par, encore une fois, un accès frauduleux à un compte parce que le mot de passe était beaucoup trop faible, c'est bien souvent ce qu'on rencontre.
Speaker #0
Et tout à l'heure vous parliez justement des entreprises qui ont fini par mettre la clé sous la porte suite à une cyberattaque. Au final, quelles sont les conséquences pour une entreprise de m'en attaquer ? Comment on finit par mettre la clé sous la porte ?
Speaker #1
Le schéma est très simple. Vous êtes attaqué, le criminel a deux modes d'action qu'il peut jouer en même temps. Il peut bloquer votre système d'information, entièrement le chiffrer. Là vous n'avez plus accès à vos données mais votre système ne fonctionne plus, votre messagerie ne fonctionne plus, vous n'avez plus accès à votre comptabilité par exemple ou à votre carnet de clients. Et puis en même temps, bien souvent il a volé vos données. Et il vous menace de les divulguer aussi sur Internet si vous ne payez pas une rançon. Donc, les cybercriminels arrivent très rapidement à évaluer le niveau de rançon qui est payable par une entreprise. Et ils vous proposent effectivement de leur payer rapidement cette rançon si vous voulez retrouver l'accès à vos données. Donc ça, évidemment, ça a des conséquences immédiates sur le... l'entreprise, soit le patron de l'entreprise décide de payer parce qu'il a les moyens de payer et il s'en sort plutôt bien, soit il décide de ne pas payer parce qu'il n'a pas les moyens et effectivement là très rapidement son activité s'arrête.
Speaker #0
Sans compter qu'il peut y avoir la double peine, c'est-à-dire payer, voir quand même ces données libérées sur le Darknet.
Speaker #1
Effectivement, il y a aussi ça puisque ce sont des criminels qui mènent ces activités là donc on ne peut pas vraiment leur faire confiance quant à la parole qu'ils ont.
Speaker #0
On a une idée du marché en valeur des ranches anglicielles ? Combien ça représente au final ?
Speaker #1
Non, je ne pourrais pas vous dire et c'est extrêmement compliqué. Tous les chiffres sont cités dans la presse régulièrement. Il n'y a pas, je pense, de chiffres très vérifiables dans ce domaine-là. Mais ce qui est important, nous ce qu'on constate en tout cas, En 2023, la menace concernant les entreprises de taille intermédiaire ou les petites entreprises a réellement bondi. Donc on verra ce que donneront les chiffres. Mais aujourd'hui, ce sont vraiment ces entités-là, tout comme d'ailleurs les collectivités ou les établissements publics de cette taille-là, qui sont les premières victimes de cette cybercriminalité.
Speaker #0
Oui, et si on n'a pas encore les chiffres de 2024, nul doute qu'on est quand même sur une tendance haussière et que c'est une tendance de fond.
Speaker #1
Hélas, oui.
Speaker #0
Malheureusement. Et quelles sont les solutions, vous Alain, que vous privilégiez pour augmenter la résilience et la préparation, avant de parler de résilience, des TPE-PME ?
Speaker #1
Alors il y a toutes les mesures qu'on appelle des mesures simples, mais les mesures d'hygiène numérique. Ça c'est encore une fois extrêmement efficace. Je vous ai cité l'exemple des mots de passe, mais je peux vous citer d'autres exemples, notamment les sauvegardes. Avoir des sauvegardes de ces données, c'est quelque chose qui paraît évident, qui n'est pas très compliqué, et surtout si ces sauvegardes sont en ligne. Mais c'est quelque chose que bien souvent les entreprises ne font pas. Et encore une fois, quand votre système se retrouve chiffré, bloqué, si vous n'avez pas de sauvegarde, vous êtes très embêté. Il y a un certain nombre de mesures que tout le monde peut retrouver dans nos guides d'hygiène numérique, qui sont assez simples à mettre en œuvre. mais qui sont très efficaces.
Speaker #0
Et faciles à retrouver sur votre site en plus.
Speaker #1
Absolument.
Speaker #0
Mais ce qui est fou, c'est qu'on échange aujourd'hui ensemble, on a échangé avec Yann Bonnet, avec Jérôme Notin, avec Fabrice Billot, donc que des grands noms au final de la cybersécurité. Le discours est toujours le même et pourtant il n'a pas été compris ou absorbé par la population. De manière générale, je fais un grand bloc en parlant de population et c'est justement pour ça que Cibia, cette initiative européenne, a vu le jour. Pour vous, quelle est la grande force de Cibia ?
Speaker #1
La grande force de Cibia, c'est justement de continuer à déployer, à développer tous ces messages vers les PME. Aujourd'hui, je me mets à la place d'un patron de PME qui est peut-être en province, assez loin de Paris. L'ANSI, même si pour moi je trouve que c'est une très belle agence, pour lui c'est peut-être quelque chose qu'il ne connaît pas du tout. Il n'a jamais entendu parler de cette agence et le jour où il subit une attaque, il est peut-être encore une fois très démuni parce qu'il ne sait pas très bien vers qui se retourner. Aller contacter une agence parisienne, ça lui paraît très éloigné de ses problèmes. Donc ça veut dire qu'on a vraiment besoin de relais, de multiples relais pour aider ces entreprises. Alors ces relais peuvent être territoire rio, Peut-être qu'effectivement, il aura entendu parler par sa CCI d'un centre cyber dans sa région. Ils peuvent être sectoriels aussi. Peut-être que dans son association professionnelle, il aura entendu parler d'un centre cyber pour son secteur d'activité. Et puis, il y a aussi Cibia qui va peut-être lui amener un certain nombre de réponses pour l'aider à résoudre une attaque ou à mieux se protéger. Aujourd'hui, notre enjeu, c'est vraiment de développer tous ces relais pour faire en sorte que finalement, à la fin, tout patron de PME ait entendu parler d'au moins un dispositif d'assistance. Au moins un quoi. Et s'il en a entendu parler de deux ou trois, ben c'est très bien, c'est quand mieux, mais au moins un quoi. Et je pense qu'on n'en est pas là aujourd'hui encore.
Speaker #0
Donc si je comprends bien, il n'y a pas une manière d'atteindre, que ce soit un dirigeant d'entreprise au final ou un particulier, c'est vraiment une couverture nationale avec les... les campus cyber régionaux qui commencent à se déployer. Il y a eu notamment Bretagne, qui ont été déployés récemment. Et toutes ces solutions comme Cibia, qui permet de calculer la zone d'exposition et de vulnérabilité pour ensuite déployer des solutions justement qui sont en plus agréées par l'ANSI. En parlant d'un côté un peu plus légal, il y a la directive européenne NIS2 qui est transposée dans le droit français qui amène de nouvelles responsabilités qui devraient également permettre de faciliter la... coopération à l'échelle européenne. Pouvez-vous nous en dire un peu plus sur cette directive qui, au final, devrait permettre de passer un nouveau cran en matière de cybersécurité ?
Speaker #1
La directive NIS 2, c'est effectivement une directive européenne sur laquelle l'agence a beaucoup œuvré, a beaucoup promu pour qu'elle soit promulguée au niveau européen et qu'on va devoir maintenant transposer dans le droit national. Cette directive Nice 2, elle est partie en fait du constat que la menace cyber a explosé depuis quelques années. Et comme on le disait précédemment, elle ne touche pas uniquement les grandes administrations, les grandes entreprises, mais aujourd'hui elle touche tout le tissu socio-économique du pays et des pays européens. Donc face à l'explosion de cette menace... Les États membres de l'Union européenne se sont dit qu'il fallait qu'ils développent une nouvelle doctrine, une nouvelle réglementation qui permette de couvrir plus largement les acteurs économiques de l'Union européenne et donc en particulier aller plus loin dans les secteurs d'activité et dans la taille des entreprises concernées par la cybersécurité. C'est une directive qui touche aussi les établissements publics et les collectivités territoriales mais qui va nous permettre sur le plan purement entreprise... encore une fois, de toucher beaucoup plus de secteurs. Il y avait déjà une précédente directive avant qui s'appelait NIS 1, mais qui ne concernait que 7 secteurs d'activité. Là, avec cette nouvelle directive, on passe à 18 secteurs d'activité. Et puis, en fonction de la taille des entités aussi, il y a de nouveaux critères. On ne touche plus uniquement les grandes entreprises, mais on va aussi maintenant pouvoir aider les entreprises de taille intermédiaire, voire dans certains secteurs d'activité, les PME.
Speaker #0
En fonction justement de leur degré d'importance en matière de souveraineté, de défense, de santé ? Enfin sur le régalien ?
Speaker #1
C'est ça. Comme je vous l'ai dit, il y a beaucoup de secteurs d'activité maintenant qui sont concernés. Il y a des critères liés à la taille de l'entreprise, à son chiffre d'affaires. Tout ça fait un système de critères un peu compliqué que je ne vais pas vous détailler là à l'oral. Mais vous avez un site que nous avons mis en ligne qui s'appelle MonEspaceNice2. Et sur ce site, n'importe quelle entreprise peut aller pour voir si elle est éligible maintenant à la directive NIS 2. Donc elle rentre un certain nombre d'informations la concernant et à la fin ça lui dit que vous allez être soumis à la directive NIS 2 ou non, vous n'êtes pas concerné.
Speaker #0
Et est-ce qu'à mesure que l'on va protéger les acteurs critiques, les entités importantes, un rôle très stratégique, Nice souverain, et donc renforcer encore plus la pression sur ces petites entités ?
Speaker #1
La pression est déjà là aujourd'hui. Elle est déjà sur ces petites entités. L'ambition de Nice 2, justement, c'est d'aller bien au-delà du cœur régalien des entreprises les plus critiques ou les plus souveraines pour le pays. Mais justement d'aller sur des entreprises de taille intermédiaire, des PME, dans des secteurs d'activité qui sont extrêmement variés.
Speaker #0
Parce que la menace est déjà présente et pèse déjà lourdement sur ces secteurs d'activité ou ces entreprises-là. à part entière de ces guerres hybrides, et où au final les entreprises sont des victimes collatérales. Et plus le nouvel ordre géopolitique va se modifier, plus on va être confronté à ces menaces qui touchent de manière très aléatoire les entreprises.
Speaker #1
Oui, les attaques informatiques font partie de ce qu'on appelle la guerre hybride. C'est au même titre d'ailleurs que les actions de désinformation ou d'autres... de déstabilisation qui peuvent être menées par certains états. Mais dans le cadre de Nice 2, ce n'est vraiment pas face à cette menace-là qu'on cherche à protéger les entreprises. Encore une fois c'est plutôt face à une menace de type cybercriminalité qui a des liens forcément avec le contexte géopolitique. Le développement de cette cybercriminalité n'est pas non plus complètement déconnecté du contexte géopolitique dans lequel nous vivons mais les liens ne sont Et donc, c'est pour protéger ces entreprises contre la cybercriminalité qui, elle, c'est vous qui l'avez dit, fait de la pêche au chalut sur tout type d'entités, notamment les plus faibles, que la directive NIS2 a été promulguée et va permettre, quand elle sera mise en œuvre, de mieux protéger ces entreprises.
Speaker #0
Et quelles vont être les mesures spécifiques déployées par l'ANSI pour réussir à faire ce prêt-à-porter ?
Speaker #1
plusieurs choses. Ça va nous permettre de connaître ces entreprises, donc elles vont devoir s'enregistrer. Je vous ai dit qu'on a un portail qui s'appelle MonEspace Nice2, qui permet de savoir si une entreprise est éligible ou pas. Donc pour celles qui seront éligibles, on va leur demander effectivement de s'enregistrer. La deuxième chose que va nous permettre Nice2, ça va être de connaître les entreprises qui subissent une attaque informatique. Puisqu'une fois qu'elles auront été désignées comme éligibles et qu'elles se seront enregistrées, dès lors qu'elles subiront une attaque informatique, elles devront nous signaler, nous notifier cette attaque informatique. Elles devront aussi porter plainte. Ça c'est un autre sujet mais qui est aussi très important. Et puis le troisième volet de la directive NIS 2 pour les entreprises qui sont éligibles à cette directive, ça va être de mettre en œuvre des mesures de cybersécurité que nous allons leur prescrire. Et ces mesures de cybersécurité, elles seront évidemment adaptées à la taille des entreprises. On ne demande pas la même chose à une PME qu'à une grande entreprise. Donc ces mesures de cybersécurité, elles seront proportionnées aux moyens de ces entreprises, mais avec toujours dans l'idée que ces mesures, même si elles sont proportionnées aux moyens, il faut qu'à la fin elles soient efficaces. Donc ça effectivement c'est tout ce qu'on trouvera bientôt dans la transposition de la directive NIS. et sur notre portail et mon espace NIS2. Ensuite, effectivement, comme on ne pourra pas être au chevet de toutes ces entités, aujourd'hui on estime qu'on aura à peu près 15 000 entités concernées par NIS2 et parmi ces 15 000 entités, ce sera un très grand nombre de PME justement. Donc comme on ne pourra pas être au chevet de toutes ces entreprises, de l'ANSI dans chacune de ces entreprises. Nous développons un très grand nombre de services en ligne pour, comme je vous l'ai dit, déjà renseigner les entreprises sur ce qu'elles auront à faire, mais nous sommes aussi en train de développer un autre service en ligne qu'on appelle MonAideCyber qui va permettre à un patron de PME de trouver un aidant, quelqu'un qui va pouvoir l'aider à mettre en œuvre un certain nombre de mesures assez immédiates et assez efficaces en termes de cybersécurité. Et puis nous aurons d'autres services en ligne, petit à petit, que nous allons développer pour finalement massifier.
Speaker #0
nos modes d'action et passer, comme on le disait précédemment, de cette logique de surmesure à une logique de prêt-à-porter, facile à utiliser, facile à mettre en œuvre pour quelqu'un qui n'est pas un grand spécialiste de la cybersécurité.
Speaker #1
Merci beaucoup pour cet overview du travail de l'ANSI et c'est assez passionnant de voir tout ce qui est mis en place. Et permettez-moi de vous poser une question un peu triviale, mais est-ce que c'est cher la cybersécurité pour une TPE ? Combien ça coûte ?
Speaker #0
Alors, on n'a pas de chiffres très précis. Tout ça est très dépendant de l'informatique que l'entreprise utilise. On a l'habitude de dire qu'il faut investir entre 5 à 10 % du budget informatique dans la cybersécurité. Voilà, ça c'est un désabac, un benchmark qui a été fait par un certain nombre de cabinets. qui semblent avoir du sens. Mais encore une fois, il faut vraiment l'adapter à l'entreprise. Vous avez des entreprises qui sont très numérisées, très informatisées et peut-être qu'elles, il va leur falloir investir plus, d'autres qui le sont beaucoup moins. Donc ça dépend effectivement de la nature de l'activité.
Speaker #1
Et en parlant de nature et de l'activité, il y a de plus en plus de startups qui se lancent dans l'IA. Pour vous, le quantique et l'intelligence artificielle, est-ce qu'elle est plutôt au profit des cyberattaquants ou au contraire ? C'est une formidable opportunité de détecter plus facilement la menace, de multiplier la puissance de calcul pour y répondre.
Speaker #0
Ça c'est un vaste sujet. L'intelligence artificielle, effectivement, c'est un sujet sur lequel on réfléchit beaucoup actuellement. Aujourd'hui, on n'a pas vu d'attaque informatique qui mettait à profit des techniques d'intelligence artificielle. Je vous dis bien aujourd'hui, peut-être que demain ça changera, mais... Aujourd'hui, on ne constate pas cette évolution de la menace. Oui, l'intelligence artificielle va nous aider très certainement à être plus efficaces en termes de cybersécurité. Donc demain, très certainement, et dès aujourd'hui d'ailleurs, un certain nombre de produits, de solutions reposeront sur des techniques ou des technologies d'intelligence artificielle. Et puis on a un défi assez important à mener qui est de bien protéger Ces intelligences artificielles aussi, notamment celles qui sont grand public, dont tout le monde entend parler actuellement, et pour faire en sorte qu'elles soient efficaces et qu'elles continuent à fonctionner correctement. Donc sur l'intelligence artificielle, aujourd'hui on aurait tendance plutôt à dire que ça va être bénéfique pour la cybersécurité, plus bénéfique pour la cybersécurité que pour les criminels ou les attaquants. Concernant le quantique, c'est un vrai problème. Pourquoi ? Parce qu'effectivement, l'ordinateur quantique permettra demain, quand il arrivera, de casser un certain nombre de techniques de cryptographie. Donc un certain nombre de secrets seront, pas tous, mais un certain nombre de secrets seront dévoilés dès lors que l'ordinateur quantique sera là. Donc ça veut dire qu'on peut imaginer que certains états aujourd'hui stockent des informations... chiffrés, qu'ils ne sont pas capables de lire dans l'idée de pouvoir demain, dans cinq ans, que sais-je, les déchiffrer pour avoir accès à ces secrets. Donc ça, ça veut dire qu'il faut réfléchir dès aujourd'hui à faire évoluer les technologies de cryptographie qui sont embarquées dans nos logiciels, dans nos navigateurs, dans tout ce qu'on ne voit pas mais qui est très présent aujourd'hui, pour faire en sorte que ces technologies-là, ces mécanismes de cryptographie résistent. à cet ordinateur quantique qui arrivera probablement un jour.
Speaker #1
Si je vous suis bien, depuis le début de notre interview, le maître mot de la cybersécurité, c'est l'anticipation. C'est toujours se dire, est-ce que je suis au final préparé aujourd'hui pour les menaces de demain ?
Speaker #0
Absolument. La préparation, encore une fois, on l'a démontré pendant les Jeux, mais ça marche, c'est efficace. L'anticipation, la bonne préparation, c'est quelque chose qui permet de réduire considérablement la menace. et à tout le moins d'être préparé si, à un moment, on est effectivement victime d'une attaque.
Speaker #1
On a évoqué tout à l'heure le campus cyber de la Défense, puis ces émanations qui commencent à émerger un peu partout sur le territoire. Pourquoi les déployer ? Et surtout, quel est le rôle de l'ANSI là-dedans ? Et qu'est-ce que ça va apporter de plus ou de différent par rapport au campus de la Défense ?
Speaker #0
Le campus de la Défense, effectivement, c'est... C'est une superbe initiative prise par le président de la République et incarnée par Michel Vandenberg, qui permet de développer de multiples synergies entre la recherche... les industriels, les administrations, des clients de la cybersécurité, des fournisseurs de produits. Donc ça effectivement c'est une étape majeure pour nous dans le développement de l'écosystème de la cybersécurité. Son seul défaut, c'est qu'il est parisien. Et encore une fois, si je vous reprends l'exemple de ma PME qui est à Orange, une petite ville de province qui me tient à cœur. Bon bah, se retourner vers le campus cyber quand on habite Orange, c'est peut-être pas forcément évident. En revanche, s'il y avait un campus cyber à Marseille ou à Avignon encore mieux, peut-être que ce serait plus naturel pour le patron de cette PME d'Orange d'aller se retourner vers ce campus cyber plus régional. Donc on a besoin d'acteurs régionaux, d'acteurs de terrain pour aider ces patrons de PME qui... cherchent des solutions efficaces à leurs problèmes.
Speaker #1
On va arriver au bout de cet échange. Pour vous, quelles seraient les recommandations que vous donneriez à une entreprise qui aujourd'hui subirait une cyberattaque ? Quels sont les bons réflexes ? Je vois mes systèmes d'information qui sont down. Qu'est-ce que je fais dans l'immédiat ?
Speaker #0
Déjà, j'espère être passé avant pour lui dire protégez-vous, préparez-vous. Investissez dans la cybersécurité, ce n'est pas un investissement à perte. Aujourd'hui vous savez un patron de PME je pense qu'il investit dans ses systèmes de sécurité, sa vidéoprotection, sa vidéosurveillance de ses bâtiments. Il sait se protéger contre des vols. Il faut qu'on leur explique aussi comment se protéger contre de la cybersécurité et c'est encore une fois quelque chose de tout à fait faisable, atteignable avec des moyens qui sont raisonnables. Et puis si hélas, malgré tout ça, il est victime d'une attaque informatique, je lui dirais de rapidement se déconnecter d'Internet, rapidement protéger ses sauvegardes puisque, comme on se sera vu avant, il aura mis en place un système de sauvegarde de données. Donc de déconnecter ses sauvegardes si elles étaient encore connectées pour s'assurer qu'elles soient bien protégées. Je lui dirais aussi également d'aller porter plainte très rapidement. et puis de se tourner vers son campus régional ou son centre cyber régional pour trouver un prestataire qui pourra l'aider certainement et qui est probablement pas très loin de chez lui pour lui apporter des solutions techniques efficaces.
Speaker #1
Merci beaucoup pour toutes ces mesures qui, je pense, seront extrêmement utiles à tous les entrepreneurs, que ce soit avant une attaque ou malheureusement après pour certains. Merci de vous être rendu disponible sur ce podcast et d'avoir partagé toute votre expertise. Merci à vous. Également, nous suivre sur LinkedIn at sybiach. A très vite !

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Un épisode à la fois stratégique et pragmatique pour anticiper, se protéger et agir sans complexité inutile.

➜ En savoir plus sur les accompagnements gratuits proposés par CYBIAH : www.cybiah.eu

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
La menace est déjà présente et pèse déjà lourdement.
Speaker #1
Effectivement, l'ordinateur quantique permettra demain de casser un certain nombre de techniques de cryptographie.
Speaker #0
La menace cyber ne cesse d'évoluer, menaçant de plus en plus les PME comme les collectivités. Dès lors, comment la France se prépare-t-elle face à ces nouveaux défis de sécurité ? Pour répondre à ces questions... nous avons rencontré Emmanuel Néijelen, directeur général adjoint de l'ANSI, l'Agence nationale de la sécurité des systèmes d'information. Dans cet épisode, il nous éclaire sur les stratégies déployées, les actions prioritaires, mais aussi l'importance de l'anticipation pour renforcer ensemble notre résilience collective. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne. Il offre un accompagnement en sécurité numérique entièrement pris en charge pour les entreprises les acteurs de l'économie sociale et solidaire ainsi que les collectivités franciliennes. Pour renforcer la sécurité de vos systèmes et bénéficier de cet accompagnement personnalisé, rendez-vous sur cybia.eu.
Speaker #1
Ce podcast est produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris Ouest La Défense. Cet épisode est réalisé par l'agence Jeff.
Speaker #0
Bonjour Emmanuel Négelen. Merci beaucoup de vous rendre disponible pour ce sixième épisode de Safe & Sound, le podcast dédié à la cybersécurité produit par Cibia et Paris-Ouest La Défense. Je suis ravi donc de vous accueillir et pour commencer cette interview, pourriez-vous vous présenter ?
Speaker #1
Bonjour Etienne, je suis moi aussi ravi d'être avec vous pour vous parler de cybersécurité bien sûr. Donc moi je suis Emmanuel Négelène, je suis le directeur adjoint de l'Agence Nationale. de la sécurité des systèmes d'information.
Speaker #0
Et en quoi ça consiste d'être directeur général adjoint de l'ANSI ?
Speaker #1
Eh bien, ça consiste en beaucoup de choses. Ça consiste tout d'abord à aider son directeur général, qui est donc Vincent Strubel. Et puis les missions de l'agence, vous savez, elles sont vastes. Nous sommes l'autorité nationale de cybersécurité et de cyberdéfense. Et donc, à ce titre, nous sommes en charge sous la coupe du Premier ministre. de mener toutes les politiques de prévention, de réponse à incidents, de sensibilisation et de formation sur la cybersécurité.
Speaker #0
Ça fait énormément de missions pour l'INSEE. Il y a d'autres organes nationaux comme cybermalveillance.gouv.fr ou encore Viginum. Comment ça s'articule ? Comment vous travaillez avec ces différentes entités ?
Speaker #1
Alors nous sommes de plus en plus nombreux effectivement dans ce domaine de la cybersécurité et c'est une volonté. qui est un groupement d'intérêts publics que vous avez déjà interviewé, je crois.
Speaker #0
Tout à fait.
Speaker #1
Et en fait, une émanation de l'ANSI. Et la mission de cybermalveillance.gouv.fr, c'est surtout de faire de la sensibilisation, de l'aide, en fait, de l'assistance aux particuliers et aux petites entreprises, petites entités. Donc voilà, c'est leur mission principale. Tout ça pour vous dire qu'on ne fait pas tout ça tout seul, effectivement, même si nous sommes l'autorité nationale. Nous avons besoin d'avoir de multiples relais pour nous aider dans cette vaste mission.
Speaker #0
Effectivement, Emmanuel Macron, le président de la République, a fait de la cybersécurité un cheval de bataille et de manière assez légitime. Quels sont les moyens qui vous sont donnés à l'ANSI pour accomplir toutes ces missions qui vont de la prévention à la gestion de crise ?
Speaker #1
Alors, nous avons déjà la chance d'avoir des moyens humains très... Très significatif, puisque nous sommes 650, nous serons environ 650 en fin d'année 2024. Et donc 650 experts dans un très grand nombre de domaines. Évidemment dans des domaines très technologiques, de cybersécurité dure, par exemple la cryptographie ou la cryptologie. Mais aussi nous avons des experts dans d'autres domaines, donc des ingénieurs plus classiques dans le numérique et puis des experts... dans les relations internationales, dans la communication, dans le droit de la cybersécurité. Donc une très grande variété d'expertises qui nous permet comme ça d'adresser tous les pans de ce vaste sujet de cybersécurité.
Speaker #0
Et des talents justement qui ont permis je pense de faire des JO à Paris cet été, enfin l'été dernier, un moment extrêmement festif et sans attaques majeures. D'ailleurs lundi, d'après les chiffres, vous avez relevé bien moins d'attaques que ce qui était prévisible. Comment on peut expliquer ce succès ?
Speaker #1
Effectivement, ça a été la bonne surprise, mais finalement, ce n'est pas tant une surprise que ça pour nous. Puisque ça fait en fait plus de deux ans qu'on se prépare pour les jeux. En tout cas, on s'était préparé deux ans avant le début des jeux. Et donc peut-être que le fait qu'aucune attaque n'ait eu d'impact majeur sur les jeux, c'est le résultat de cette très bonne préparation, longue préparation encore une fois de deux ans, avec un très grand nombre d'entités. Nous avions recensé environ 500 entités qui... qui avait un rôle plus ou moins critique pour la bonne tenue des jeux. Et nous avons en tout cas travaillé à différents degrés avec l'ensemble de toutes ces entités.
Speaker #0
Et des menaces qui étaient donc nombreuses, qui ont été évitées. Quelles étaient les menaces qui vous faisaient le plus peur ? Et au final, quelles sont les menaces qui vous font le plus peur pour le tissu économique français ?
Speaker #1
Alors, il y avait différentes catégories de menaces, effectivement. géopolitique actuelle qui ne nous a pas échappé. Il y a un certain nombre d'États qui pouvaient être intéressés par l'idée peut-être de nuire à la crédibilité de la France ou à l'image de la France, en tout cas sa capacité à bien organiser un grand événement comme les Jeux Olympiques. Donc ça c'est ce qu'on appelle dans notre jargon la menace étatique. Donc ça faisait partie des hypothèses qu'on avait pris en compte. Et puis il y a une autre menace qui est aujourd'hui omniprésente. et qui, elle, est beaucoup moins ciblée, beaucoup moins ciblée, c'est ça. Qui est la cybercriminalité, la criminalité organisée en fait. Une sorte de criminalité organisée qui s'est spécialisée dans les attaques par rançon jicienne notamment et qui là aussi pouvait avoir des effets extrêmement dévastateurs si une de ces attaques par exemple avait touché un stade qui organisait une compétition.
Speaker #0
Il y avait un risque également complémentaire qui était le risque sur les sous-traitants qui amenait un soutien essentiel au déroulement des JO et qui sont tout aussi essentiels dans le tissu économique ?
Speaker #1
Exactement. Donc quand on a commencé à s'intéresser à la cybersécurité des jeux, on a constaté, et ça on le savait, on l'a vu tout de suite, qu'il y avait des sites de compétition, des entités très connues comme Paris 2024 évidemment, qui allaient très certainement faire l'objet d'attaques. Mais derrière ces sites de compétition, ces entités au cœur des jeux, il y a généralement toute une chaîne logistique, toute une chaîne de soutien, de prestataires. Et il a fallu aussi qu'on regarde très finement l'ensemble de ces prestataires pour s'assurer qu'effectivement ils n'étaient pas fragiles et en tout cas trop facilement attaquables. C'est pour ça qu'on est arrivé à environ 500 entités, publiques ou privées d'ailleurs. à protéger ou à aider.
Speaker #0
On parle beaucoup d'héritage des Jeux Olympiques, c'est quelque chose qui est beaucoup revenu après les Jeux dans la presse. Y a-t-il un héritage des Jeux Olympiques en matière cyber ?
Speaker #1
On n'a pas complètement tiré cet héritage, mais il y a deux points qui me viennent vraiment à l'esprit. Le premier point, c'est comme je vous le disais, la préparation. Bien se préparer, bien se défendre. avoir des protections efficaces, et bien finalement ça marche. C'est quand même la meilleure façon d'éviter une attaque cyber, et c'est efficace. La deuxième leçon que nous tirons des Jeux Olympiques, c'est la coordination. On a fait beaucoup d'exercices avant les Jeux pour s'assurer qu'on était capable de se parler très rapidement, que dès lors qu'une entité qui participait aux Jeux détectait un signal faible d'une attaque, Elle était capable de nous contacter rapidement et qu'on était en mesure, nous, de lui apporter une réponse utile, efficace. Et donc tout ce travail de coordination, de mise en place de canaux d'échange, de groupes de discussion a été aussi extrêmement bénéfique et utile pendant les Jeux et nous a permis encore une fois d'avoir des réponses extrêmement rapides à tous les premiers signes finalement du début d'une attaque.
Speaker #0
en janvier 2023, vous parliez de passer du sur-mesure au prêt-à-porter en matière de cybersécurité. Est-ce que les Jeux Olympiques et même plus largement toutes les mesures et toutes les dispositions mises en place par l'ANSI permettent aujourd'hui de passer sur ce prêt-à-porter et donc sur cette massification des solutions cyber ?
Speaker #1
C'est exactement ça. Pendant les Jeux, on a fait à la fois du sur-mesure mais on a fait aussi du prêt-à-porter. Exemple de sur-mesure sur le stade de France. qui était quand même le site principal de compétition, on a fait évidemment du sur-mesure. C'est-à-dire que nos équipes d'audit sont allées auditer, tester les protections du Stade de France pour faire en sorte qu'elles soient au meilleur niveau possible. Donc là c'est vraiment des actions type sur-mesure. En revanche en termes d'exercice... Comme il était impossible d'organiser un exercice avec plus de 500 participants, avec des niveaux de maturité en cybersécurité extrêmement variés, on a pris le parti de distribuer des kits d'exercices qui ont permis à un très grand nombre d'entités de s'entraîner toutes seules. Voilà, donc des kits d'exercices assez pédagogiques, bien faits, qui font que même si vous n'êtes pas un spécialiste de la cybersécurité, Et bien finalement, vous êtes accompagné pour organiser dans votre entité, sans l'ANSI, un exercice qui vous permet d'avoir peut-être après les bons réflexes en cas d'attaque.
Speaker #0
C'est un peu la manière de faire de Cibia à travers ces ateliers ludiques qui convient des dirigeants de TPE, PME à faire des exercices assez ludiques pour sensibiliser justement à la cybersécurité et qui permet en plus de voir l'étendue de la donnée qu'on peut trouver en source ouverte pour ensuite mener des attaques. Je me permettais juste ces petits apartés. Toujours dans cette interview, enfin dans votre intervention au Sénat, vous parliez d'une forme de naïveté, notamment dans le tissu économique. Est-ce qu'on est face à des entreprises, notamment des TPE-PME qui n'ont pas conscience du risque qui est pourtant présent ? Les cyberattaquants pêchent au chalut, c'est-à-dire qu'ils vont attaquer de manière totalement indifférenciée. différentes organisations et prendre en fait les plus exposées, celles qui ont le moins de protection. Donc pensez-vous qu'il y a cette forme de naïveté de la part des TPE ? Et pensez-vous qu'au final on développe beaucoup de solutions à destination des TPE PME sans pour autant arriver à les sensibiliser comme on le devrait ou comme il le faudrait du moins ?
Speaker #1
C'est peut-être pas forcément une question de naïveté. Je pense qu'aujourd'hui... Il suffit de regarder le journal du 20h pour entendre parler de cyberattaques qui touchent des hôpitaux ou des entreprises, dont certaines ont été obligées d'ailleurs de faire faillite après. Donc je ne pense pas que ce sujet du risque cyber échappe aujourd'hui à un patron d'entreprise, quelle que soit la taille de cette entreprise. En revanche, je suis absolument persuadé que les patrons de PME et de TPE sont très souvent très démunis. pour trouver des solutions à la mesure de leurs moyens, et des solutions efficaces aussi, face à cette menace. Parce qu'effectivement, ce n'est pas leur métier de faire de la cybersécurité, que de recourir à des entreprises qui font du conseil en cybersécurité, c'est parfois un peu hors de portée pour ces entreprises. Donc on a un vrai travail aujourd'hui à mener vers ces entreprises de petite taille. pour leur permettre effectivement de mettre en œuvre des mesures de cybersécurité qui soient, encore une fois, proportionnées, adaptées à leurs moyens et qui soient efficaces. Et ça, ce n'est pas quelque chose de facile. C'est un problème un peu nouveau pour l'agence et je pense pour l'ensemble de l'écosystème en général. Mais on va y arriver.
Speaker #0
Je n'en doute pas. Et pourquoi les TPE-PME justement sont peut-être plus exposés au final que des grands groupes ?
Speaker #1
Parce que ces entreprises sont de plus en plus numérisées elles aussi. Elles ont besoin du numérique pour développer leur business, c'est un accélérateur de leur business. Mais en général, elles n'ont pas, contrairement aux grandes entreprises, les moyens de mettre en œuvre de la cybersécurité à bon niveau. Donc bien souvent, elles se numérisent très rapidement mais sans avoir eu le temps de mettre la couche cybersécurité par-dessus. C'est là-dessus qu'il faut qu'on les accompagne aujourd'hui.
Speaker #0
C'est une forme de décalage entre l'exposition numérique au final et les solutions en mesure de déployer, c'est bien ça ?
Speaker #1
Oui, et puis c'est un problème qu'ont connu les grandes entreprises aussi pendant quelques années. C'est-à-dire que les cybercriminels dont je parlais tout à l'heure ont au début attaqué les grandes entreprises jusqu'à ce que celles-ci comprennent qu'elles étaient des cibles et aient mis les moyens sur leur protection. Aujourd'hui, comme ces grandes entreprises sont bien protégées, effectivement, les criminels se tournent vers ceux qui sont moins protégés et donc tombent sur des entreprises de taille intermédiaire, des PME, des TPE, qui elles, effectivement, sont moins protégées. Donc à nous maintenant de faire cet effort vers cet écosystème d'entreprises-là pour les accompagner dans leur protection et leur montrer qu'il y a des choses qui sont atteignables, qui ne sont pas forcément atteignables grâce à de l'expertise, qui sont assez facilement atteignables et qui sont très efficaces. Encore une fois, pour se protéger contre cette cybercriminalité qui fait de la pêche au chalut, comme vous dites.
Speaker #0
Pour concrétiser et rendre plus palpable cette pêche au chalut, quelles sont les vulnérabilités qu'ont les TPE-PME et d'où viennent au final les attaques ?
Speaker #1
Bien souvent, vous savez, ça commence par un authentifiant, un login et surtout un mot de passe extrêmement faible qui a peut-être fuité sur Internet parce que c'était le même mot de passe que sur un compte de réseau social, par exemple. Et ce mot de passe, il est utilisé pour tous les comptes de l'entreprise. Donc ça commence par là, par exemple, d'utiliser des mots de passe solides. Ça, ce n'est pas quelque chose de très compliqué à faire. Mais c'est quelque chose quand même qui est redoutablement efficace. Et le nombre d'attaques qui commencent tout simplement par, encore une fois, un accès frauduleux à un compte parce que le mot de passe était beaucoup trop faible, c'est bien souvent ce qu'on rencontre.
Speaker #0
Et tout à l'heure vous parliez justement des entreprises qui ont fini par mettre la clé sous la porte suite à une cyberattaque. Au final, quelles sont les conséquences pour une entreprise de m'en attaquer ? Comment on finit par mettre la clé sous la porte ?
Speaker #1
Le schéma est très simple. Vous êtes attaqué, le criminel a deux modes d'action qu'il peut jouer en même temps. Il peut bloquer votre système d'information, entièrement le chiffrer. Là vous n'avez plus accès à vos données mais votre système ne fonctionne plus, votre messagerie ne fonctionne plus, vous n'avez plus accès à votre comptabilité par exemple ou à votre carnet de clients. Et puis en même temps, bien souvent il a volé vos données. Et il vous menace de les divulguer aussi sur Internet si vous ne payez pas une rançon. Donc, les cybercriminels arrivent très rapidement à évaluer le niveau de rançon qui est payable par une entreprise. Et ils vous proposent effectivement de leur payer rapidement cette rançon si vous voulez retrouver l'accès à vos données. Donc ça, évidemment, ça a des conséquences immédiates sur le... l'entreprise, soit le patron de l'entreprise décide de payer parce qu'il a les moyens de payer et il s'en sort plutôt bien, soit il décide de ne pas payer parce qu'il n'a pas les moyens et effectivement là très rapidement son activité s'arrête.
Speaker #0
Sans compter qu'il peut y avoir la double peine, c'est-à-dire payer, voir quand même ces données libérées sur le Darknet.
Speaker #1
Effectivement, il y a aussi ça puisque ce sont des criminels qui mènent ces activités là donc on ne peut pas vraiment leur faire confiance quant à la parole qu'ils ont.
Speaker #0
On a une idée du marché en valeur des ranches anglicielles ? Combien ça représente au final ?
Speaker #1
Non, je ne pourrais pas vous dire et c'est extrêmement compliqué. Tous les chiffres sont cités dans la presse régulièrement. Il n'y a pas, je pense, de chiffres très vérifiables dans ce domaine-là. Mais ce qui est important, nous ce qu'on constate en tout cas, En 2023, la menace concernant les entreprises de taille intermédiaire ou les petites entreprises a réellement bondi. Donc on verra ce que donneront les chiffres. Mais aujourd'hui, ce sont vraiment ces entités-là, tout comme d'ailleurs les collectivités ou les établissements publics de cette taille-là, qui sont les premières victimes de cette cybercriminalité.
Speaker #0
Oui, et si on n'a pas encore les chiffres de 2024, nul doute qu'on est quand même sur une tendance haussière et que c'est une tendance de fond.
Speaker #1
Hélas, oui.
Speaker #0
Malheureusement. Et quelles sont les solutions, vous Alain, que vous privilégiez pour augmenter la résilience et la préparation, avant de parler de résilience, des TPE-PME ?
Speaker #1
Alors il y a toutes les mesures qu'on appelle des mesures simples, mais les mesures d'hygiène numérique. Ça c'est encore une fois extrêmement efficace. Je vous ai cité l'exemple des mots de passe, mais je peux vous citer d'autres exemples, notamment les sauvegardes. Avoir des sauvegardes de ces données, c'est quelque chose qui paraît évident, qui n'est pas très compliqué, et surtout si ces sauvegardes sont en ligne. Mais c'est quelque chose que bien souvent les entreprises ne font pas. Et encore une fois, quand votre système se retrouve chiffré, bloqué, si vous n'avez pas de sauvegarde, vous êtes très embêté. Il y a un certain nombre de mesures que tout le monde peut retrouver dans nos guides d'hygiène numérique, qui sont assez simples à mettre en œuvre. mais qui sont très efficaces.
Speaker #0
Et faciles à retrouver sur votre site en plus.
Speaker #1
Absolument.
Speaker #0
Mais ce qui est fou, c'est qu'on échange aujourd'hui ensemble, on a échangé avec Yann Bonnet, avec Jérôme Notin, avec Fabrice Billot, donc que des grands noms au final de la cybersécurité. Le discours est toujours le même et pourtant il n'a pas été compris ou absorbé par la population. De manière générale, je fais un grand bloc en parlant de population et c'est justement pour ça que Cibia, cette initiative européenne, a vu le jour. Pour vous, quelle est la grande force de Cibia ?
Speaker #1
La grande force de Cibia, c'est justement de continuer à déployer, à développer tous ces messages vers les PME. Aujourd'hui, je me mets à la place d'un patron de PME qui est peut-être en province, assez loin de Paris. L'ANSI, même si pour moi je trouve que c'est une très belle agence, pour lui c'est peut-être quelque chose qu'il ne connaît pas du tout. Il n'a jamais entendu parler de cette agence et le jour où il subit une attaque, il est peut-être encore une fois très démuni parce qu'il ne sait pas très bien vers qui se retourner. Aller contacter une agence parisienne, ça lui paraît très éloigné de ses problèmes. Donc ça veut dire qu'on a vraiment besoin de relais, de multiples relais pour aider ces entreprises. Alors ces relais peuvent être territoire rio, Peut-être qu'effectivement, il aura entendu parler par sa CCI d'un centre cyber dans sa région. Ils peuvent être sectoriels aussi. Peut-être que dans son association professionnelle, il aura entendu parler d'un centre cyber pour son secteur d'activité. Et puis, il y a aussi Cibia qui va peut-être lui amener un certain nombre de réponses pour l'aider à résoudre une attaque ou à mieux se protéger. Aujourd'hui, notre enjeu, c'est vraiment de développer tous ces relais pour faire en sorte que finalement, à la fin, tout patron de PME ait entendu parler d'au moins un dispositif d'assistance. Au moins un quoi. Et s'il en a entendu parler de deux ou trois, ben c'est très bien, c'est quand mieux, mais au moins un quoi. Et je pense qu'on n'en est pas là aujourd'hui encore.
Speaker #0
Donc si je comprends bien, il n'y a pas une manière d'atteindre, que ce soit un dirigeant d'entreprise au final ou un particulier, c'est vraiment une couverture nationale avec les... les campus cyber régionaux qui commencent à se déployer. Il y a eu notamment Bretagne, qui ont été déployés récemment. Et toutes ces solutions comme Cibia, qui permet de calculer la zone d'exposition et de vulnérabilité pour ensuite déployer des solutions justement qui sont en plus agréées par l'ANSI. En parlant d'un côté un peu plus légal, il y a la directive européenne NIS2 qui est transposée dans le droit français qui amène de nouvelles responsabilités qui devraient également permettre de faciliter la... coopération à l'échelle européenne. Pouvez-vous nous en dire un peu plus sur cette directive qui, au final, devrait permettre de passer un nouveau cran en matière de cybersécurité ?
Speaker #1
La directive NIS 2, c'est effectivement une directive européenne sur laquelle l'agence a beaucoup œuvré, a beaucoup promu pour qu'elle soit promulguée au niveau européen et qu'on va devoir maintenant transposer dans le droit national. Cette directive Nice 2, elle est partie en fait du constat que la menace cyber a explosé depuis quelques années. Et comme on le disait précédemment, elle ne touche pas uniquement les grandes administrations, les grandes entreprises, mais aujourd'hui elle touche tout le tissu socio-économique du pays et des pays européens. Donc face à l'explosion de cette menace... Les États membres de l'Union européenne se sont dit qu'il fallait qu'ils développent une nouvelle doctrine, une nouvelle réglementation qui permette de couvrir plus largement les acteurs économiques de l'Union européenne et donc en particulier aller plus loin dans les secteurs d'activité et dans la taille des entreprises concernées par la cybersécurité. C'est une directive qui touche aussi les établissements publics et les collectivités territoriales mais qui va nous permettre sur le plan purement entreprise... encore une fois, de toucher beaucoup plus de secteurs. Il y avait déjà une précédente directive avant qui s'appelait NIS 1, mais qui ne concernait que 7 secteurs d'activité. Là, avec cette nouvelle directive, on passe à 18 secteurs d'activité. Et puis, en fonction de la taille des entités aussi, il y a de nouveaux critères. On ne touche plus uniquement les grandes entreprises, mais on va aussi maintenant pouvoir aider les entreprises de taille intermédiaire, voire dans certains secteurs d'activité, les PME.
Speaker #0
En fonction justement de leur degré d'importance en matière de souveraineté, de défense, de santé ? Enfin sur le régalien ?
Speaker #1
C'est ça. Comme je vous l'ai dit, il y a beaucoup de secteurs d'activité maintenant qui sont concernés. Il y a des critères liés à la taille de l'entreprise, à son chiffre d'affaires. Tout ça fait un système de critères un peu compliqué que je ne vais pas vous détailler là à l'oral. Mais vous avez un site que nous avons mis en ligne qui s'appelle MonEspaceNice2. Et sur ce site, n'importe quelle entreprise peut aller pour voir si elle est éligible maintenant à la directive NIS 2. Donc elle rentre un certain nombre d'informations la concernant et à la fin ça lui dit que vous allez être soumis à la directive NIS 2 ou non, vous n'êtes pas concerné.
Speaker #0
Et est-ce qu'à mesure que l'on va protéger les acteurs critiques, les entités importantes, un rôle très stratégique, Nice souverain, et donc renforcer encore plus la pression sur ces petites entités ?
Speaker #1
La pression est déjà là aujourd'hui. Elle est déjà sur ces petites entités. L'ambition de Nice 2, justement, c'est d'aller bien au-delà du cœur régalien des entreprises les plus critiques ou les plus souveraines pour le pays. Mais justement d'aller sur des entreprises de taille intermédiaire, des PME, dans des secteurs d'activité qui sont extrêmement variés.
Speaker #0
Parce que la menace est déjà présente et pèse déjà lourdement sur ces secteurs d'activité ou ces entreprises-là. à part entière de ces guerres hybrides, et où au final les entreprises sont des victimes collatérales. Et plus le nouvel ordre géopolitique va se modifier, plus on va être confronté à ces menaces qui touchent de manière très aléatoire les entreprises.
Speaker #1
Oui, les attaques informatiques font partie de ce qu'on appelle la guerre hybride. C'est au même titre d'ailleurs que les actions de désinformation ou d'autres... de déstabilisation qui peuvent être menées par certains états. Mais dans le cadre de Nice 2, ce n'est vraiment pas face à cette menace-là qu'on cherche à protéger les entreprises. Encore une fois c'est plutôt face à une menace de type cybercriminalité qui a des liens forcément avec le contexte géopolitique. Le développement de cette cybercriminalité n'est pas non plus complètement déconnecté du contexte géopolitique dans lequel nous vivons mais les liens ne sont Et donc, c'est pour protéger ces entreprises contre la cybercriminalité qui, elle, c'est vous qui l'avez dit, fait de la pêche au chalut sur tout type d'entités, notamment les plus faibles, que la directive NIS2 a été promulguée et va permettre, quand elle sera mise en œuvre, de mieux protéger ces entreprises.
Speaker #0
Et quelles vont être les mesures spécifiques déployées par l'ANSI pour réussir à faire ce prêt-à-porter ?
Speaker #1
plusieurs choses. Ça va nous permettre de connaître ces entreprises, donc elles vont devoir s'enregistrer. Je vous ai dit qu'on a un portail qui s'appelle MonEspace Nice2, qui permet de savoir si une entreprise est éligible ou pas. Donc pour celles qui seront éligibles, on va leur demander effectivement de s'enregistrer. La deuxième chose que va nous permettre Nice2, ça va être de connaître les entreprises qui subissent une attaque informatique. Puisqu'une fois qu'elles auront été désignées comme éligibles et qu'elles se seront enregistrées, dès lors qu'elles subiront une attaque informatique, elles devront nous signaler, nous notifier cette attaque informatique. Elles devront aussi porter plainte. Ça c'est un autre sujet mais qui est aussi très important. Et puis le troisième volet de la directive NIS 2 pour les entreprises qui sont éligibles à cette directive, ça va être de mettre en œuvre des mesures de cybersécurité que nous allons leur prescrire. Et ces mesures de cybersécurité, elles seront évidemment adaptées à la taille des entreprises. On ne demande pas la même chose à une PME qu'à une grande entreprise. Donc ces mesures de cybersécurité, elles seront proportionnées aux moyens de ces entreprises, mais avec toujours dans l'idée que ces mesures, même si elles sont proportionnées aux moyens, il faut qu'à la fin elles soient efficaces. Donc ça effectivement c'est tout ce qu'on trouvera bientôt dans la transposition de la directive NIS. et sur notre portail et mon espace NIS2. Ensuite, effectivement, comme on ne pourra pas être au chevet de toutes ces entités, aujourd'hui on estime qu'on aura à peu près 15 000 entités concernées par NIS2 et parmi ces 15 000 entités, ce sera un très grand nombre de PME justement. Donc comme on ne pourra pas être au chevet de toutes ces entreprises, de l'ANSI dans chacune de ces entreprises. Nous développons un très grand nombre de services en ligne pour, comme je vous l'ai dit, déjà renseigner les entreprises sur ce qu'elles auront à faire, mais nous sommes aussi en train de développer un autre service en ligne qu'on appelle MonAideCyber qui va permettre à un patron de PME de trouver un aidant, quelqu'un qui va pouvoir l'aider à mettre en œuvre un certain nombre de mesures assez immédiates et assez efficaces en termes de cybersécurité. Et puis nous aurons d'autres services en ligne, petit à petit, que nous allons développer pour finalement massifier.
Speaker #0
nos modes d'action et passer, comme on le disait précédemment, de cette logique de surmesure à une logique de prêt-à-porter, facile à utiliser, facile à mettre en œuvre pour quelqu'un qui n'est pas un grand spécialiste de la cybersécurité.
Speaker #1
Merci beaucoup pour cet overview du travail de l'ANSI et c'est assez passionnant de voir tout ce qui est mis en place. Et permettez-moi de vous poser une question un peu triviale, mais est-ce que c'est cher la cybersécurité pour une TPE ? Combien ça coûte ?
Speaker #0
Alors, on n'a pas de chiffres très précis. Tout ça est très dépendant de l'informatique que l'entreprise utilise. On a l'habitude de dire qu'il faut investir entre 5 à 10 % du budget informatique dans la cybersécurité. Voilà, ça c'est un désabac, un benchmark qui a été fait par un certain nombre de cabinets. qui semblent avoir du sens. Mais encore une fois, il faut vraiment l'adapter à l'entreprise. Vous avez des entreprises qui sont très numérisées, très informatisées et peut-être qu'elles, il va leur falloir investir plus, d'autres qui le sont beaucoup moins. Donc ça dépend effectivement de la nature de l'activité.
Speaker #1
Et en parlant de nature et de l'activité, il y a de plus en plus de startups qui se lancent dans l'IA. Pour vous, le quantique et l'intelligence artificielle, est-ce qu'elle est plutôt au profit des cyberattaquants ou au contraire ? C'est une formidable opportunité de détecter plus facilement la menace, de multiplier la puissance de calcul pour y répondre.
Speaker #0
Ça c'est un vaste sujet. L'intelligence artificielle, effectivement, c'est un sujet sur lequel on réfléchit beaucoup actuellement. Aujourd'hui, on n'a pas vu d'attaque informatique qui mettait à profit des techniques d'intelligence artificielle. Je vous dis bien aujourd'hui, peut-être que demain ça changera, mais... Aujourd'hui, on ne constate pas cette évolution de la menace. Oui, l'intelligence artificielle va nous aider très certainement à être plus efficaces en termes de cybersécurité. Donc demain, très certainement, et dès aujourd'hui d'ailleurs, un certain nombre de produits, de solutions reposeront sur des techniques ou des technologies d'intelligence artificielle. Et puis on a un défi assez important à mener qui est de bien protéger Ces intelligences artificielles aussi, notamment celles qui sont grand public, dont tout le monde entend parler actuellement, et pour faire en sorte qu'elles soient efficaces et qu'elles continuent à fonctionner correctement. Donc sur l'intelligence artificielle, aujourd'hui on aurait tendance plutôt à dire que ça va être bénéfique pour la cybersécurité, plus bénéfique pour la cybersécurité que pour les criminels ou les attaquants. Concernant le quantique, c'est un vrai problème. Pourquoi ? Parce qu'effectivement, l'ordinateur quantique permettra demain, quand il arrivera, de casser un certain nombre de techniques de cryptographie. Donc un certain nombre de secrets seront, pas tous, mais un certain nombre de secrets seront dévoilés dès lors que l'ordinateur quantique sera là. Donc ça veut dire qu'on peut imaginer que certains états aujourd'hui stockent des informations... chiffrés, qu'ils ne sont pas capables de lire dans l'idée de pouvoir demain, dans cinq ans, que sais-je, les déchiffrer pour avoir accès à ces secrets. Donc ça, ça veut dire qu'il faut réfléchir dès aujourd'hui à faire évoluer les technologies de cryptographie qui sont embarquées dans nos logiciels, dans nos navigateurs, dans tout ce qu'on ne voit pas mais qui est très présent aujourd'hui, pour faire en sorte que ces technologies-là, ces mécanismes de cryptographie résistent. à cet ordinateur quantique qui arrivera probablement un jour.
Speaker #1
Si je vous suis bien, depuis le début de notre interview, le maître mot de la cybersécurité, c'est l'anticipation. C'est toujours se dire, est-ce que je suis au final préparé aujourd'hui pour les menaces de demain ?
Speaker #0
Absolument. La préparation, encore une fois, on l'a démontré pendant les Jeux, mais ça marche, c'est efficace. L'anticipation, la bonne préparation, c'est quelque chose qui permet de réduire considérablement la menace. et à tout le moins d'être préparé si, à un moment, on est effectivement victime d'une attaque.
Speaker #1
On a évoqué tout à l'heure le campus cyber de la Défense, puis ces émanations qui commencent à émerger un peu partout sur le territoire. Pourquoi les déployer ? Et surtout, quel est le rôle de l'ANSI là-dedans ? Et qu'est-ce que ça va apporter de plus ou de différent par rapport au campus de la Défense ?
Speaker #0
Le campus de la Défense, effectivement, c'est... C'est une superbe initiative prise par le président de la République et incarnée par Michel Vandenberg, qui permet de développer de multiples synergies entre la recherche... les industriels, les administrations, des clients de la cybersécurité, des fournisseurs de produits. Donc ça effectivement c'est une étape majeure pour nous dans le développement de l'écosystème de la cybersécurité. Son seul défaut, c'est qu'il est parisien. Et encore une fois, si je vous reprends l'exemple de ma PME qui est à Orange, une petite ville de province qui me tient à cœur. Bon bah, se retourner vers le campus cyber quand on habite Orange, c'est peut-être pas forcément évident. En revanche, s'il y avait un campus cyber à Marseille ou à Avignon encore mieux, peut-être que ce serait plus naturel pour le patron de cette PME d'Orange d'aller se retourner vers ce campus cyber plus régional. Donc on a besoin d'acteurs régionaux, d'acteurs de terrain pour aider ces patrons de PME qui... cherchent des solutions efficaces à leurs problèmes.
Speaker #1
On va arriver au bout de cet échange. Pour vous, quelles seraient les recommandations que vous donneriez à une entreprise qui aujourd'hui subirait une cyberattaque ? Quels sont les bons réflexes ? Je vois mes systèmes d'information qui sont down. Qu'est-ce que je fais dans l'immédiat ?
Speaker #0
Déjà, j'espère être passé avant pour lui dire protégez-vous, préparez-vous. Investissez dans la cybersécurité, ce n'est pas un investissement à perte. Aujourd'hui vous savez un patron de PME je pense qu'il investit dans ses systèmes de sécurité, sa vidéoprotection, sa vidéosurveillance de ses bâtiments. Il sait se protéger contre des vols. Il faut qu'on leur explique aussi comment se protéger contre de la cybersécurité et c'est encore une fois quelque chose de tout à fait faisable, atteignable avec des moyens qui sont raisonnables. Et puis si hélas, malgré tout ça, il est victime d'une attaque informatique, je lui dirais de rapidement se déconnecter d'Internet, rapidement protéger ses sauvegardes puisque, comme on se sera vu avant, il aura mis en place un système de sauvegarde de données. Donc de déconnecter ses sauvegardes si elles étaient encore connectées pour s'assurer qu'elles soient bien protégées. Je lui dirais aussi également d'aller porter plainte très rapidement. et puis de se tourner vers son campus régional ou son centre cyber régional pour trouver un prestataire qui pourra l'aider certainement et qui est probablement pas très loin de chez lui pour lui apporter des solutions techniques efficaces.
Speaker #1
Merci beaucoup pour toutes ces mesures qui, je pense, seront extrêmement utiles à tous les entrepreneurs, que ce soit avant une attaque ou malheureusement après pour certains. Merci de vous être rendu disponible sur ce podcast et d'avoir partagé toute votre expertise. Merci à vous. Également, nous suivre sur LinkedIn at sybiach. A très vite !

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed