Yann Bonnet : Ses conseils pour sécuriser votre entreprise

Description

Bienvenue dans « Safe & Sound », votre rendez-vous mensuel pour tout comprendre sur la cybersécurité ! Que vous soyez un particulier soucieux de protéger vos données ou à la tête d'une PME cherchant à sécuriser vos systèmes, « Safe & Sound » vous prépare efficacement contre les cybermenaces.

Dans cet épisode inaugural, Yann Bonnet, Directeur Général Délégué du Campus Cyber, partage ses perspectives sur les dernières tendances des cyberattaques, des ransomwares aux phishings sophistiqués. Figure clé du numérique à l’échelle européenne, il explique pourquoi il est essentiel de rester vigilant face à ces menaces en constante évolution.

Yann Bonnet met également en lumière les défis spécifiques auxquels font face les PME françaises à l'approche des Jeux Olympiques et Paralympiques de 2024, événements qui attirent l'attention mondiale des cybercriminels.

Ne ratez aucun épisode : abonnez-vous pour découvrir de nombreux conseils pratiques et enrichir vos connaissances en cybersécurité !

À propos de Yann Bonnet

Yann Bonnet est le Directeur Général Délégué de Campus Cyber, le lieu totem de la cybersécurité en France. Il a été le Directeur de cabinet de l'Agence Française de la cybersécurité (ANSSI) de 2018 à 2021. Il enseigne à Sciences Po Paris sur les enjeux technologiques, politiques et humains de la sécurité numérique. Il a été membre du groupe d'experts de haut niveau sur l'IA de la Commission européenne. Il a accompagné Cédric Villani, médaille fields, dans sa mission sur l'intelligence artificielle, dont le rapport a contribué à définir la stratégie de la France en matière d'IA présentée par le Président de la République en 2018. En 2014, il a été chargé de piloter la consultation nationale en France sur le numérique, qui a débouché sur la loi République numérique. Il a été secrétaire général du Conseil national du numérique (CNNum) de 2015 à 2018, un think tank gouvernemental dont les membres sont nommés par le Président de la République.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Yann Bonnet
La question, ce n'est plus de savoir si vous allez être attaqué, mais quand est-ce que vous allez être attaqué. On parle d'une attaque toutes les 11 secondes au niveau mondial, qui dans certains cas peut aboutir à des situations très critiques pour une PME.
Cybiah
Plus 400% d'attaques cyber entre 2020 et 2023, un coût moyen qui varie entre 160 000 euros pour une PME et plusieurs millions pour un grand groupe. plus personne n'est à l'abri d'une compromission de ces systèmes d'information. Alors, devons-nous nous résoudre au fatalisme et attendre sagement que la catastrophe arrive ? Les experts sont unanimes. C'est votre degré de préparation qui préservera vos données, votre santé financière comme votre réputation, et limitera les conséquences de l'attaque. Et c'est là tout notre objectif. Vous donner les clés de compréhension, les fondamentaux cyber, pour que simplement et avec un minimum d'effort, vous adoptiez une bonne hygiène numérique et que vous soyez, vous aussi, cyber-ready. Pour ce premier épisode, nous nous sommes rendus au Campus Cyber, le lieu totem de la cybersécurité en France, pour rencontrer son directeur général délégué, personnalité du domaine internationalement reconnue, aussi à l'aise derrière un clavier qu'un pupitre, j'ai nommé Yann Bonnet. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne, qui offre un accompagnement cyber sur mesure aux TPE et aux PME. produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris-Ouest-La Défense. Cet épisode est réalisé par l'agence GEF. Bonjour Yann Bonnet.
Yann Bonnet
Bonjour.
Cybiah
Nous sommes ravis de vous recevoir pour ce premier épisode. Pouvez-vous commencer par vous présenter s'il vous plaît et revenir un peu sur votre parcours, vous avez le temps que vous voulez.
Yann Bonnet
Bonjour, je suis Yann Bonnet, je suis le DG délégué du Campus Cyber qui est le lieu totem de la cybersécurité en France. On pourra revenir un peu là-dessus. Auparavant, j'étais directeur de cabinet de l'ANSI, qui est l'agence de cybersécurité de l'État. C'est une équipe de plus de 600 experts qui sont rattachés au secrétariat général de la défense et de la sécurité nationale et qui est là pour protéger notamment en priorité les infrastructures critiques de la nation. Et avant ça, je travaillais au Conseil national des numériques, qui est une sorte de think tank gouvernemental qui... qui conseille les présidents de la République sur l'impact du numérique. J'ai eu l'occasion notamment de travailler sur les sujets d'IA avec Cédric Villani, dans ce contexte, pour définir la stratégie de la France sur le sujet, et à la Commission européenne avec un groupe d'experts sur l'IA.
Cybiah
Merci beaucoup pour cette présentation. Concrètement, le CyberCampus au quotidien, c'est quoi ? Ça œuvre à quoi dans le monde de la cybersécurité ?
Yann Bonnet
Ouais, en fait, le campus cyber, c'est un lieu totem. C'est un lieu physique qu'on a ouvert il n'y a pas si longtemps que ça, il y a deux ans. Ça a été impulsé par le président de la République, une mission qui a été confiée à un entrepreneur à succès qui s'appelle Michel Vandenberg, que j'ai eu la chance d'accompagner pour concevoir ce lieu. L'idée du campus, c'est d'être plus fort ensemble. On a un état de la menace cyber qui est assez important, qui est plutôt grandissant. On pourra revenir là-dessus aussi. Et l'idée du campus, c'est d'être plus fort ensemble, je le disais, c'est-à-dire essayer de fédérer les acteurs de l'écosystème pour créer des synergies et inverser le rapport de force par rapport à ceux qui nous attaquent. C'est aussi un moyen de faire rayonner l'excellence française. Donc aujourd'hui, après deux ans concrètement, on a déjà plus de 5500 experts qui ont des accès au niveau du campus. Chaque jour, c'est à peu près 1200... experts qui sont dans ce lieu. C'est assez rare au niveau mondial d'avoir autant d'experts au même endroit. On a en deux ans, je sais pas, fait plus de 700 événements. On a 500 jeunes qui sont en train de se former au sein du campus. Et on a 650 acteurs publics et privés qui contribuent à ce qu'on appelle des communs. C'est des ressources mutualisées, soit en open source ou pour... pour être plus forts ensemble et notamment partager aussi de l'information sur les attaquants, là encore pour être plus forts ensemble. On a trois grandes missions au sein du campus. La première, c'est clairement, notre priorité, c'est les talents. On est en pleine pénurie de talents et donc l'idée, c'est de montrer tout le sens des métiers, de nos métiers de la cyber, c'est des métiers du care, de la protection. Et donc, essayer d'attirer des nouveaux talents, les former. pour être en capacité de mieux se protéger ou de mieux innover dans ce domaine. La deuxième mission, c'est l'innovation. Là aussi, pour essayer d'avoir un coup d'avance par rapport à ceux qui nous attaquent. On travaille beaucoup sur des sujets comme comment on peut utiliser l'IA pour mieux détecter un certain nombre d'attaques, comment on peut utiliser l'IA pour mieux répondre, ou des sujets un peu plus lointains comme la crypto post-quantique. Voilà, il y a plein de sujets comme ça. Et puis enfin, ce lieu, c'est la troisième mission du campus, c'est de protéger, notamment les acteurs qui sont peut-être un peu moins matures, et on va en revenir tout à l'heure, mais notamment je pense aux PME, aux collectivités qui ont besoin de se protéger. Donc c'est un lieu qui est ouvert 24h sur 24, 7 jours sur 7, où il y a des sortes de cyber-pompiers qui sont là pour protéger et intervenir quand il y a des attaques.
Cybiah
Oui, parce que... Qui dit campus dit écosystème, dit une grande variété d'acteurs. Et donc votre objectif, c'est de coordonner tout ça, les pouvoirs publics, les acteurs privés, les startups, tout ce qui intervient dans le monde de la cyber ?
Yann Bonnet
Exactement, c'est d'être plus fort ensemble. Moi, l'image que j'aime bien prendre, c'est tout bête, mais ce qu'on essaye de faire, c'est un écosystème qui est fertile. Un écosystème qui est fertile, c'est comme dans la nature. Un terrain qui produit bien, c'est un terrain où il y a une biodiversité d'acteurs. il y a une biodiversité, et donc là, le campus, il y a une biodiversité d'acteurs, on va revenir là-dessus aussi, et il y a besoin d'un équilibre. Parce que dans la nature, si vous avez un acteur qui est trop dominant, c'est le début de la pollution, et c'est la fin de la chaîne de fertilité, en quelque sorte. Le campus, le numérique, moi, ma conviction, c'est que c'est exactement la même chose. On a besoin de biodiversité, donc ici, au campus, vous pouvez croiser, vous avez croisé tout à l'heure, des jeunes qui viennent... cours, des chercheurs, des enseignants, des startups, des grands groupes, puisqu'on a plus de la moitié du CAC 40 qui est ici. On a, par exemple, toute la communauté des banques, qui sont la première communauté et assurance à se mobiliser énormément au sein du campus pour être plus forts ensemble. Effectivement, c'est des acteurs publics. L'écosystème cyber est très divers, et c'est ce qui fait aussi toute la part de cette richesse.
Cybiah
Et au final ? Pourquoi il y a besoin d'un campus cyber ? Pourquoi il y a besoin de s'emparer des sujets ? Pourquoi il y avait besoin de cette impulsion qui a été amenée par Emmanuel Macron, comme vous disiez, mais qui remonte même à l'échelle européenne ?
Yann Bonnet
En fait, notre société, elle est en train de se numériser déjà depuis quelques années. Et cette numérisation, c'est à la fois un remède et un poison pour notre société. Le numérique, ça va nous permettre plein de super choses. s'éduquer plus facilement, de communiquer à distance, même d'améliorer la détection de certains cancers, plein de choses positives. Mais en même temps, plus notre société se numérise dans notre quotidien, ce n'est pas juste l'ordinateur, ça va être nos voitures, un peu tous les objets qu'on utilise, plus il peut y avoir aussi des nouvelles menaces qui arrivent, et notamment la menace cyber. Et ça, cette menace, on le voit, elle est de plus en plus importante. Il y a un document qui est hyper intéressant que l'ANSI publie, l'ANSI qui est donc l'Agence de Cybersécurité de l'État, chaque année, qui s'appelle l'État de la menace. Et encore cette année, ils ont vu encore une augmentation assez importante de la menace, avec déjà depuis quelques années un peu un transfert de la menace vers les acteurs. les moins matures. Et je pense vraiment notamment aux PME, aux hôpitaux, aux collectivités. Il faut bien comprendre cette menace cyber, c'est pas juste théorique. Un hôpital qui est attaqué dans la minute qui suit, qui est rançonné, donc qui va bloquer l'hôpital contre une rançon, dans la minute qui suit, les infirmiers, les infirmières, les médecins sont complètement désorganisés. Ils savent plus quels médicaments ils ont prescrit à tel ou tel patient. qui est de désorganisation totale. Donc ce n'est pas que quelque chose d'informationnel, c'est quelque chose qui peut nous toucher concrètement et qui peut même aller jusqu'à des choses très humaines. On a une collectivité, une mairie qui est attaquée. Concrètement, c'est une mairie qui ne peut plus gérer parfois les passeports ou même les cimetières. C'est ça, en fait, concrètement, la menace cyber.
Cybiah
Et cette menace cyber, elle vient d'où ? On entend beaucoup parler des ransomware. qui ont un objectif purement pécunier financier, on pique des données et on les rend contre une rançon. Enfin, on les rend pas forcément en plus. Cette menace, elle vient d'où ? Elle s'inscrit dans quel contexte ?
Yann Bonnet
Alors, il y a plusieurs motivations derrière cette menace. On a une première motivation que vous venez d'indiquer qui est l'appât du gain. Donc, c'est des cybercriminels qui sont là pour gagner de l'argent. C'est ça leur motivation. Et donc, effectivement, ils utilisent des méthodes qui sont très très simples, qui demandent... pas énormément de compétences et qui ne coûtent pas très cher à trouver en plus sur des endroits cachés d'internet, mais qui sont bien sûr extrêmement condamnables et qui vont essayer de bloquer un système contre une rançon. Après, il y a une autre motivation qui peut être l'espionnage. On entend un peu moins parler, c'est plus discret, mais ça peut faire tout autant mal, même ça peut avoir des impacts qui sont très importants. Alors de l'espionnage, ça peut être de l'espionnage commercial, politique, et ça peut être derrière différents acteurs, notamment des groupes étatiques, des grosses puissances étatiques qui peuvent, derrière des opérations quasi militaires qui sont programmées pour déstabiliser un pays. Et donc ça, c'est les deux grands types de motivations. Après, il peut y avoir une autre motivation dont on parle encore moins, qui est le sabotage. Et qui là aussi, ça va être des opérations quasi militaires pour essayer de déstabiliser un pays. C'est vraiment là, dans le contexte qu'on est actuellement, c'est une menace qui est totalement possible, vu les problématiques géopolitiques qu'on voit avec l'Ukraine en Israël. Et ce moment... fort que va être les JO en France, ça peut être aussi un autre type de motivation qui est important de bien maîtriser.
Cybiah
Je vais être peut-être volontairement naïf, mais ces menaces, quand on vous écoute, elles paraissent assez macro, elles s'adressent à des acteurs assez importants, les États, les collectivités, les grandes entreprises, pour les patrons de petites entreprises, de moyennes entreprises qui nous écoutent, pour les particuliers. Cette menace, elle existe ? Ou au final, à part s'il y a une question d'opportunisme, le risque est limité ?
Yann Bonnet
Vraiment, le message, on est tous concernés. Il ne faut surtout pas croire que les cybercriminels, par exemple, ne s'intéressent qu'aux gros acteurs. Et même, j'ai envie de dire, ce n'est pas l'inverse, mais les gros acteurs, ils ont depuis des années mis des moyens considérables pour se protéger. Et là, on est... Maintenant, les cybercriminels vont parfois avoir tendance à pêcher Ausha, à lancer le filet très large, et dans leur filet vont attraper tous les acteurs qui n'ont pas du tout préparé cette situation. Ce qu'on dit souvent, c'est que la question, ce n'est plus de savoir si vous allez être attaqué, mais quand est-ce que vous allez être attaqué, et surtout, est-ce que vous allez avoir la résilience, les bons réflexes pour faire face à cette menace ? Clairement, pour les PME, c'est une menace qui est importante. Il faut bien comprendre qu'une PME qui est attaquée, il y a des risques de coûts très importants directs, mais aussi indirects, de perte de confiance des clients. Ce qui, dans certains cas, peut aboutir à des situations très critiques pour une PME. Ça concerne vraiment tout le monde. C'est très important d'avoir ça en tête.
Cybiah
Est-ce qu'on mesure aujourd'hui le nombre d'attaques chaque année sur les PME, les TPE, les grands groupes ? Est-ce qu'on a une idée du préjudice qui est causé à cette entreprise ?
Yann Bonnet
Je n'ai pas une vision complètement à date. Je vous parlais tout à l'heure de l'état de la menace du document publié par l'ANSI. Il y a des chiffres qui sont assez intéressants chaque année. Les chiffres que je peux avoir en tête, c'est qu'on parle d'une attaque toutes les 11 secondes au niveau mondial. Il y a déjà quelques années, on évaluait au niveau mondial à plus de 5 000 milliards le coût de la cyber. C'est considérable. quasiment tous les jours il y a des attaques un peu partout la menace c'est en train de se déplacer vers les acteurs un peu moins matures les PME, les collectivités les hôpitaux c'est vraiment l'affaire de tous il ne faut pas croire que c'est réservé qu'aux autres à part mettre des mots de passe avec une forte protection à part...
Cybiah
Faire en sorte de ne pas envoyer de données sensibles, bancaires, etc. par des moyens non sécurisés. Au final, qu'est-ce que je peux faire ? Parce que la cybersécurité, moi, ça ne me parle pas. J'utilise des outils. Je ne sais pas comment les protéger, comment me protéger au quotidien.
Yann Bonnet
Juste avant de répondre à votre question, j'ai vraiment envie de vous dire un truc. Plus j'avance, plus j'ai l'impression qu'on est dans une situation un peu comme il y a 400 ans. Il y a eu un épisode qui était assez incroyable à Londres, qui s'appelle le grand incendie de Londres. où on savait en fait, les maisons étaient en bois, très rapprochées. Alors il n'y avait que quelques grands nobles qui avaient leur maison un peu de côté, qui avaient des bons réflexes et qui avaient les moyens de bien se protéger contre les incendies. Mais la majorité était un peu consciente mais n'avait pas les bons gestes. Et un jour, l'incendie s'est lancé et une grande partie de Londres, à brûler. Voilà, moi j'ai vraiment l'impression qu'en ce moment on est un peu en train de reprendre un peu... On est un peu dans cette situation où... où malheureusement la majorité des gens n'ont pas encore pris un certain nombre de réflexes de construire des maisons un peu écartées, d'avoir dans les maisons des systèmes ou dans les immeubles, dans les entreprises des systèmes pour détecter les incendies et c'est ça qu'il faut qu'on arrive petit à petit à avoir collectivement, ces fameux réflexes. Alors on parle de différentes choses, vous avez parlé d'hygiène numérique, avant tout dans les trucs simples. effectivement c'est de ne pas être naïve donc on ne clique pas sur n'importe quoi, sur un mail qui nous promet le dernier iPhone qui n'est même pas encore sorti, il faut faire attention il faut mettre à jour effectivement ces appareils régulièrement parce qu'il y a des corrections de sécurité qui se font régulièrement il faut toujours un truc très très simple, c'est de sauvegarder les informations les plus critiques je ne sais pas si vous êtes une PME, vous avez votre fichier client etc... ce fichier-là, faites en sorte de bien le protéger et sur quelque chose qui n'est pas connecté à Internet. Donc régulièrement, et vous vérifiez régulièrement, je ne sais pas, une fois par mois, que vous avez bien accès à ce fichier. Voilà, c'est des petits réflexes, ce n'est pas blâtrément très cher, mais il y a des petits réflexes comme ça à avoir. Alors, pour aller plus loin que ces premiers réflexes, on a justement avec Paris-Ouest-La-Défense et le campus cyber, mis en place une initiative qui s'appelle Cibia, Ciberia Hub, et on a été sélectionné par la Commission européenne pour justement aider des petites PME et des collectivités. C'est une expérimentation, on va essayer de couvrir 150 PME et une cinquantaine de collectivités en trois ans. L'idée c'est vraiment de les accompagner sur les premières phases pour bien les embarquer, bien comprendre quelles sont leurs problématiques. diagnostiquer les sujets les plus importants pour les différents acteurs qu'on va protéger et les accompagner jusqu'au test de différentes solutions. On a recruté des experts cyber qui sont des tiers de confiance. C'est très compliqué pour une PME, même pour un expert cyber, de s'y retrouver. Si on se met du côté des PME, il y a énormément d'offres et de savoir quelle offre est adaptée à son contexte, ce n'est pas si simple. Et si on se met du côté des offreurs, c'est très compliqué parce que les PME, c'est un marché qui est très important. Quand on compte les TPE, c'est 3 ou 4 millions d'organisations. C'est 99% de notre tissu économique. Mais en même temps, c'est très compliqué parce qu'en termes de communication, pour adresser ce marché, c'est... C'est fragmenté. Voilà, c'est très fragmenté. Et donc du coup, nous, le campus cyber avec... Avec cette initiative Cibia, je vous invite à aller sur le site cibia.eu. Vous pouvez être accompagné sans reste à charge, donc c'est gratuit, sur les premières phases. Et on va même vous aider à, comme je le disais, trouver la bonne solution et aller chercher du financement pour la trouver. Donc c'est une super expérimentation, je pense. Donc il ne faut pas hésiter à nous contacter.
Cybiah
Et en plus, c'est extrêmement simple, puisqu'en fait, c'est un rendez-vous avec un expert, si je ne dis pas de bêtises. il y a un audit qui est fait. En gros, on va vérifier que les fondamentaux sont bien respectés. Et derrière, un peu tout le spectre et toute l'exposition numérique de la PME, c'est ça, pour ensuite couvrir et trouver les bonnes solutions sur toutes les vulnérabilités qu'on peut identifier.
Yann Bonnet
Exactement. Donc, on va vraiment accompagner depuis le début la PME ou la petite collectivité pour bien comprendre le contexte, pour voir les points de progrès possibles. Et nous, on est tiers de confiance entre les PME et les offreurs pour faire en sorte que ce soit le plus efficace et qu'on utilise vraiment les solutions qui soient adaptées.
Cybiah
Parce qu'en termes de cybersécurité, justement, est-ce qu'il n'y a pas un peu cette notion de ça fait peur à tout le monde ? Je crois qu'il y a 83% des Français, d'après une étude, qui sont concernés par ça. Est-ce qu'il n'y a pas ce côté, on en a tous peur, mais au final, on est très peu protégé à l'exposition. Et donc, rien que le fait de respecter les premiers fondamentaux de la cybersécurité, réduit la probabilité de se faire attaquer et réduit aussi l'exposition qu'on peut avoir en cas d'attaque et donc les conséquences.
Yann Bonnet
C'est clair, c'est pour ça qu'il faut avoir ces réflexes. L'image que j'aime bien prendre, c'est comme quand on rentre dans une voiture, maintenant on a tous le réflexe de mettre la ceinture de sécurité. Bien sûr, si on va trop vite et qu'on a malheureusement un accident qui est dramatique, ça peut mal se terminer, mais la plupart du temps, ça peut sauver des vies. Donc voilà, il y a des gestes simples comme mettre une ceinture qui peut se sauver des vies, et c'est exactement la même chose dans le domaine cyber. Il y a un certain nombre de réflexes à avoir, plus ou moins avancés, qui permettent de garantir que le jour où on sera attaqué, on va pouvoir retrouver ces données et ne pas être bloqué.
Cybiah
J'aime bien cette comparaison en mode de l'automobile. En fait, là, on est un peu dans les... Les années 50-60 quand la ceinture de sécurité vient d'être inventée mais qu'on a encore peu de régulations, pas forcément de limites sur les routes. Là, c'est pareil, on n'a pas forcément de limites ou du moins on n'est pas trop conscient des risques qu'on prend sur Internet. Et il y a un point qui est assez intéressant, c'est qu'il y a la directive NIS 2 qui a été publiée. On avait également la réglementation DORA qui entre en vigueur, si je ne dis pas de bêtises, en 2025. Qu'est-ce que cherche à faire l'Union européenne, puisque ça émane de l'Union européenne ? Et comment ça va se traduire concrètement dans le quotidien des utilisateurs, des entreprises ?
Yann Bonnet
Globalement, on peut s'en rentrer dans les détails, mais je pense que la commission cherche à faire qu'on puisse avoir confiance dans cet univers numérique qui, encore une fois, nous apporte énormément de bonnes choses. Pour une PME, il n'a jamais été aussi simple de toucher largement plein de prospects, de clients, pour des coûts qui parfois sont quand même assez faibles par rapport à... à quelques années, mais en même temps, il y a cette dépendance au numérique qui est importante et qui, comme je disais tout à l'heure, peut entraîner de nouvelles menaces. Donc c'est extrêmement important, à travers ces réglementations, d'essayer d'embarquer le maximum de personnes et que ce ne soit pas uniquement que les très gros acteurs qui sachent se protéger parce qu'on a cet état de rechercher de cybersécurité, d'être en cybersécurité. C'est quelque chose qu'on peut souhaiter à tout le monde et qui ne doit pas être réservé que à certains acteurs.
Cybiah
Donc si je vous comprends bien, c'est qu'on ne pourra jamais, comme encore une fois, sur la route éviter l'accident, éviter le choc. Par contre, entre guillemets, notre obligation individuelle, qu'on soit particulier, salarié, chef d'entreprise, c'est de chaque jour mettre en place des sécurités pour éviter qu'on ne meure, entre guillemets. s'il y a une attaque.
Yann Bonnet
Exactement.
Cybiah
Et on a vu quand même qu'il y avait beaucoup d'attaques. On en parlait avant ce podcast, il y a eu donc France Travail, il y a eu beaucoup d'autres exemples, les hôpitaux qui ont été touchés, même la Fédération française de football avec à chaque fois des millions de données personnelles qui sont diffusées. Mais là, on arrive dans une phase où la France va être beaucoup exposée. Est-ce qu'au final, on est prêt pour les entreprises, pour l'État ? à accueillir les JO sur un plan de la cybersécurité ?
Yann Bonnet
Alors les JO, ça va être un moment qui est très important, qui a une portée planétaire où beaucoup de personnes autour du monde vont être focalisées sur la France pour ce moment de sport. Mais effectivement, on a noté déjà depuis quelques années que lors des JO, du fait... que ce soit ce focus très important sur un pays, il y a un certain nombre d'acteurs qui en profitent pour, notamment dans le domaine du numérique, essayer de porter atteinte à l'image d'un pays. Alors, face à cette situation, on a des acteurs comme l'ANSI, l'Agence de Cybersécurité de l'État, qui travaille depuis plus de deux ans sur le sujet pour préparer, anticiper les différents types d'attaques. qu'il pourrait y avoir, en tout cas sur les points les plus importants dans le cadre des JO. Donc voilà, on se prépare collectivement avec des acteurs et c'est l'ANSI qui coordonne tout ça avec tous les acteurs concernés. Ça va être un moment qui va être assez important, on va avoir des attaques un peu partout, probablement, mais on a préparé, les acteurs concernés ont préparé au maximum pour que on puisse se... faire en sorte de se focaliser sur les attaques les plus importantes et que les JO se passent bien. C'est aussi un moyen d'élever notre niveau de sécurité cyber, notre niveau de maturité cyber. Donc c'est aussi positif, in fine, parce qu'avec cette échéance, je pense qu'on aura augmenté notre niveau de sécurité.
Cybiah
C'était effectivement ma question de suite, de savoir si les événements stressants, enfin, parce qu'au final, tous ces événements n'étaient pas des stress tests. et n'étaient pas des opportunités de monter en compétences, surtout que vous parliez beaucoup de l'ANSI, mais il me semble qu'il y a beaucoup d'acteurs qui œuvrent dans le monde de la cybersécurité. Est-ce que vous pouvez nous donner un peu de visibilité sur tous ces acteurs et nous aider à comprendre comment tout ça s'articule ?
Yann Bonnet
Juste avant, effectivement, l'entraînement, c'est quelque chose d'extrêmement important dans la cybersécurité. On peut mettre plein de... acheter plein de choses et compagnie, mais si on ne s'est pas entraîné au moment où il va se passer quelque chose d'une crise, c'est très compliqué. Donc il faut vraiment, on apprend énormément en pratiquant et si possible dans l'entraînement plutôt que sur une vraie crise où là c'est compliqué pour apprendre. Vis-à-vis de l'écosystème, cyber est extrêmement varié. On a... à la fois des acteurs publics, avec l'agence de cybersécurité, l'ANSI, mais aussi du côté militaire, des acteurs comme le Comcyber, le commandement cyber, des acteurs dans la sphère de renseignement, comme la DGSI, la DGSE, la DRSD. Il y a plein d'acteurs différents qui agissent, et l'ANSI est un peu... le chef d'orchestre de tous ces acteurs. On a des acteurs de la recherche qui s'intéressent heureusement, et je pense notamment à l'INRIA, au CNRS, au CEA, et qui sont très actifs au niveau du campus pour essayer là encore d'avoir un coup d'avance par rapport à ceux qui nous attaquent. On a des acteurs de la formation, on a énormément d'écoles. et des universités qui s'y mettent de plus en plus. Et ça, c'est un énorme enjeu, parce qu'encore une fois, on a une vraie pénurie de talents. On parle de plus de 15 000 postes non pourvus en France. Et donc, dans les prochaines années, ça va augmenter énormément. On a, bien sûr, des entreprises. On a un écosystème qui est très fertile en termes de startups, depuis quelques années. Donc ça, c'est aussi extrêmement important. Et puis, des grands groupes. Je pense à Orange, CyberDéfense... Thalès, à Capgemini, qui sont aussi très actifs dans le domaine de la cybersécurité. Donc un système très varié, très divers.
Cybiah
J'ai l'impression justement que sur la cybersécurité, on a un secteur où il y a beaucoup de synergies entre le civil, le militaire, le renseignement et l'étatique, et ça donne un peu l'impression vous avez fait une métaphore historique tout à l'heure en préparant cette série de podcasts, j'ai eu l'impression un peu de la situation de la marine au XVIIe, XVIIIe siècle, où au final il y avait de la piraterie qui touchait à la fois, qui était à la fois étatique, à la fois commerciale, où en fait les enjeux politiques et financiers se confondaient, et où au final les navires de commerce qu'on pourrait comparer au PME d'aujourd'hui étaient une cible facile à la fois pour ceux qui voulaient de l'argent et à la fois pour les États qui voulaient se nuire entre eux. Est-ce qu'au final on n'est pas dans cette situation aujourd'hui et est-ce que... plus que jamais et dans la cyber, la coopération civile avec le militaire et le renseignement est indispensable.
Yann Bonnet
Moi je suis assez convaincu que face à des menaces de ce type, on ne peut pas juste raisonner que d'un côté les acteurs publics ou les acteurs privés. On a des menaces extrêmement importantes là. Alors il y a des menaces encore plus importantes de mon point de vue qui sont la menace écologique, où là il y a un risque existentiel. Mais bon, on ne va pas plomber le moral de tout le monde. Mais face à des enjeux, des défis qui sont les défis de notre époque, on a besoin d'avoir cette approche écosystème, acteurs publics et privés, pour être plus forts ensemble, pour trouver... Il n'y a pas de fatalité, mais il faut qu'on gagne en maturité et qu'on se sente tous responsables et qu'on agisse pour être plus forts ensemble. Je ne sais pas le dire plus simplement que ça.
Cybiah
Comment ça va se traduire pour les PME, TPE ? Quelles sont les ambitions que vous portez pour faire en sorte de les embarquer et pour faire en sorte que facilement, tout le monde ait sa ceinture de sécurité dans la voiture ?
Yann Bonnet
Déjà, on a conscience que le chantier et le défi, il est énorme. Encore une fois, on compte les TPE et PME, on parle de 3 millions d'acteurs au niveau français. Donc il faut qu'on travaille, on a notre initiative, il y a d'autres initiatives aussi qui sont très belles et avec qui il y a d'autres acteurs avec qui on travaille et qui sont associés je pense à Cybermalveillance, à la BPI, à plein plein d'acteurs de ce type. Alors ce qu'on va faire, ce qu'on est en train de faire, c'est petit à petit essayer d'aller chercher les PME parce que voilà un patron de PME il a son business à gérer en priorité et il va pas au blatement. penser à la cyber tous les matins. Donc on a tout un ensemble d'actions d'aller organiser, alors ça va passer, notamment on va co-organiser avec les mairies de la région des petits événements pour inviter des PME qui sont sur leur territoire pour essayer de les sensibiliser à la thématique et petit à petit les embarquer dans notre process Cibia pour faire en sorte que on les accompagne avec notre expert. sur les gestes importants et adaptés à leur contexte. Donc on va essayer de faire des choses comme ça, des podcasts comme celui que vous êtes en train de faire. Essayer de faire en sorte que ce soit un sujet qui soit grand public. On travaille aussi avec du Mass Media, Radio France, France Télé. On a plein de différentes actions, que ce soit pour sensibiliser ou attirer des nouveaux talents. Et notre idée, c'est d'essayer de... de faire en sorte que ce sujet de la cyber, ça ne soit pas réservé qu'à des experts. C'est un sujet qui nous concerne tous, encore une fois, et où on doit avoir conscience qu'on a tous un rôle à jouer et que tout se passe bien.
Cybiah
On est donc tous responsables de notre hygiène numérique, si j'ai pu le dire. Et vous parliez justement de Cibia. Cibia, l'avantage de ce programme, effectivement, c'est que c'est sain, reste à charge pour les entreprises qui rentrent dans ce programme. Mais est-ce que c'est cher, la cyber ? Est-ce que c'est coûteux ? de mettre en place, j'ai envie de dire, le niveau 1 de la cybersécurité ?
Yann Bonnet
C'est difficile de répondre à cette question, ça dépend vraiment des contextes de chaque entreprise, de chaque organisation. Encore une fois, il y a des gestes simples qui ne sont pas complètement coûteux. Il y a des choses qui sont en fonction des contextes, puis il y a des choses qui peuvent être un peu plus coûteuses que d'autres. En tout cas, c'est important de choisir les bonnes solutions. Et là encore, c'est toute la valeur que... Nos experts vont apporter, on a vraiment cette chance d'être financé, on est co-financé en fait par la Commission européenne à 50% et aussi par la région Île-de-France. Et c'est ces subventions qui nous permettent d'aider, d'expérimenter et de jouer notre rôle de guide vis-à-vis des PME et de faire en sorte que petit à petit, les offreurs arrivent à mieux comprendre les problématiques des PME et adaptent leurs offres pour que... ce coût de la cyber soit le moindre possible et le plus acceptable pour les PME.
Cybiah
Et puis au final, est-ce que pour une PME, ce n'est pas une opportunité d'avoir des mesures cyber en place et de s'être emparé de manière précoce de ces sujets ?
Yann Bonnet
C'est clair que c'est préférable d'anticiper, de voir ça plutôt comme une opportunité, même un argument commercial. Le fait d'être mature d'un point de vue... C'est quelque chose qui va de plus en plus parler et qui parle déjà énormément aux clients.
Cybiah
Et puis, est-ce que ce n'est pas aussi une manière de s'insérer dans la chaîne de valeur de grands groupes ? Parce que justement, vous parliez de ces grands groupes qui sont très en avance sur les questions cyber. La chaîne de valeur des grands groupes, elle est composée d'une multitude de sous-traitants de rang 1, de rang 2, de rang 3 qui sont des TPE-PME. Est-ce que le fait d'être engagé sur une question cyber, ça permet de rentrer plus facilement ? dans ces grands groupes de s'insérer plus facilement dans la chaîne de valeur ? Et est-ce que demain, ce ne sera pas même un prérequis dans les appels d'offres des grands groupes ?
Yann Bonnet
Vous avez raison, je pense qu'on est complètement dans cette philosophie. D'ailleurs, Nice 2, il me semble, va dans ce sens de plus en plus. Pour gagner tel ou tel marché, il va y avoir des demandes, des vérifications, des audits de niveau de conformité ou de niveau de maturité cyber. Et donc... Donc clairement, il y aura les PME qui sont matures, de confiance, que certains grands groupes vont pouvoir faire appel. Et puis les autres qui ont un peu plus de difficultés, probablement à donner confiance à certains grands groupes.
Cybiah
Et le fait de se préparer, ça n'exclut pas le fait d'avoir un jour un problème. On parle de plus en plus d'assurance Uber. Est-ce que c'est la solution ? Et est-ce qu'au final, tout le monde peut y prétendre de manière très simple ? Est-ce que c'est aussi simple que de prendre un contrat automobile ?
Yann Bonnet
C'est un secteur qui est en train d'énormément bouger. L'assurance Uber, la partie positive que je vois, c'est qu'en fait, les assurances vont avoir besoin de faire de la prévention. et faire en sorte que les PME, il ne s'agit pas juste de se dire bon, je prends un contrat d'assurance, c'est bon, je suis assuré Ça, ça ne marchera pas, parce que le jour où vous serez rançonné, vous aurez beau être remboursé sur certaines parties, mais si vous avez perdu tous vos fichiers clients, c'est juste, ça peut être complètement dramatique. Donc les assurances ont intérêt, et les PME aussi, du coup, à faire en sorte d'aller au-delà de juste ce contrat d'assurance. Et souvent dans les contrats, il y a des clauses qui obligent les PME à avoir fait un certain nombre de gestes en amont pour s'assurer que les bons réflexes sont déjà là et les bonnes solutions sont déjà là. Donc c'est quelque chose qui va être... C'est important. Il faut avoir... Ça va être de plus en plus important de... Il va y avoir un marché de plus en plus important sur les assurances cyber. Mais en même temps... il faut avoir ces gestes de prévention en amont pour que tout se passe bien.
Cybiah
Ok c'est comme une assurance qui il y a toujours des prérequis les clés, voilà exactement d'avoir une porte sécurisée pour son assurance habitation c'est exactement pareil. C'est pareil. Sauf qu'aujourd'hui j'ai l'impression que on est tous un peu avec la porte ouverte, les clés dessus et tout le monde peut rentrer dans la maison Est-ce qu'on n'est pas un peu dans ce cadre-là pour beaucoup de PME, TPE ?
Yann Bonnet
Heureusement, c'est en train de bouger. Mais probablement, effectivement, et le pire, c'est que beaucoup n'ont même pas conscience de ça. Mais vous avez raison, je pense que c'est pour ça que c'est important qu'on sensibilise, qu'on sorte de cette naïveté sans être rentré dans une paranoïa énorme. Mais qu'on soit conscient des risques, des menaces et qu'en fonction de notre situation, on prenne les bonnes décisions et qu'on se fasse aider par des gens compétents, de confiance, pour faire en sorte qu'effectivement les clés soient bien fermées quand il faut qu'elles soient fermées.
Cybiah
Et on arrive, je pense, au bout de ce podcast. En sortant, qu'est-ce que vous me conseillez de faire en rentrant au bureau ?
Yann Bonnet
Déjà, retenir que la cybersécurité, ça concerne tout le monde. Ensuite, Allez passer un petit tour du côté du site cybermalveillance.gouv.fr où vous trouverez plein de bons conseils, notamment de gestes simples pour se protéger. Et puis enfin, si vous voulez aller un peu plus loin, allez sur le site Cibia, C-Y-B-I-A-H, une initiative qui est cofinancée par la Commission européenne et par la région, qu'on copilote côté campus. Et avec nos experts, on est là pour... vous accompagner et trouver les bonnes solutions adaptées. C'est sans reste à charge en plus, donc il faut en profiter.
Cybiah
Merci beaucoup Yann d'avoir partagé votre expertise avec nos auditeurs, de nous avoir adressé les bons conseils et de nous avoir sensibilisé sans nous effrayer au final.
Yann Bonnet
Merci à toi.
Cybiah
Vous l'aurez compris tout au long de cette interview avec Yann Bonnet, mettre en place les premiers gestes d'hygiène numérique, ce n'est pas si compliqué. Il vaut mieux privilégier un mot de passe complexe à Maman 2024 ou Chaton ou encore Password, éviter d'envoyer ses mots de passe par SMS ou par mail, ou encore activer une double authentification sur ses applications favorites. Plein de petits gestes qui ne coûtent pas grand-chose, mais qui vous éviteront de longues heures d'angoisse le jour où vos comptes seront compromis. Et dans les prochains épisodes, nous irons encore plus loin. en rencontrant le commissaire de police qui dirige la BL2C, la brigade de lutte contre la cybercriminalité, ou encore le RSSI, c'est-à-dire le grand chef de la sécurité informatique de Paris-Ouest-La Défense. Bref, plein d'experts, de spécialistes, confrontés chaque jour à la cybersécurité qui vous emmèneront de nouveaux éléments pour comprendre cet environnement passionnant. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée, à commenter, noter ce podcast, vos retours nous sont précieux, et également à nous suivre. sur linkedin at sybia, C-Y-B-I-A-H. A très vite.

About Safe & Sound

Bienvenue sur "Safe & Sound" ! Développé par CYBIAH en partenariat avec le Catalyseur de l’Innovation et de l’Entrepreneuriat propulsé par Paris Ouest La Défense (POLD), ce podcast est votre nouveau rendez-vous pour comprendre les enjeux cruciaux de la cybersécurité.

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Chaque épisode, d'une durée de 30 à 45 minutes, donne la parole à un expert de la sécurité numérique. Il est conçu pour guider dirigeant·es et salarié·es dans la compréhension des enjeux cyber et les préparer efficacement aux cyberattaques. Abonnez-vous pour rester safe & sound !

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Ne ratez aucun épisode : abonnez-vous pour découvrir de nombreux conseils pratiques et enrichir vos connaissances en cybersécurité !

À propos de Yann Bonnet

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Yann Bonnet
La question, ce n'est plus de savoir si vous allez être attaqué, mais quand est-ce que vous allez être attaqué. On parle d'une attaque toutes les 11 secondes au niveau mondial, qui dans certains cas peut aboutir à des situations très critiques pour une PME.
Cybiah
Plus 400% d'attaques cyber entre 2020 et 2023, un coût moyen qui varie entre 160 000 euros pour une PME et plusieurs millions pour un grand groupe. plus personne n'est à l'abri d'une compromission de ces systèmes d'information. Alors, devons-nous nous résoudre au fatalisme et attendre sagement que la catastrophe arrive ? Les experts sont unanimes. C'est votre degré de préparation qui préservera vos données, votre santé financière comme votre réputation, et limitera les conséquences de l'attaque. Et c'est là tout notre objectif. Vous donner les clés de compréhension, les fondamentaux cyber, pour que simplement et avec un minimum d'effort, vous adoptiez une bonne hygiène numérique et que vous soyez, vous aussi, cyber-ready. Pour ce premier épisode, nous nous sommes rendus au Campus Cyber, le lieu totem de la cybersécurité en France, pour rencontrer son directeur général délégué, personnalité du domaine internationalement reconnue, aussi à l'aise derrière un clavier qu'un pupitre, j'ai nommé Yann Bonnet. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne, qui offre un accompagnement cyber sur mesure aux TPE et aux PME. produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris-Ouest-La Défense. Cet épisode est réalisé par l'agence GEF. Bonjour Yann Bonnet.
Yann Bonnet
Bonjour.
Cybiah
Nous sommes ravis de vous recevoir pour ce premier épisode. Pouvez-vous commencer par vous présenter s'il vous plaît et revenir un peu sur votre parcours, vous avez le temps que vous voulez.
Yann Bonnet
Bonjour, je suis Yann Bonnet, je suis le DG délégué du Campus Cyber qui est le lieu totem de la cybersécurité en France. On pourra revenir un peu là-dessus. Auparavant, j'étais directeur de cabinet de l'ANSI, qui est l'agence de cybersécurité de l'État. C'est une équipe de plus de 600 experts qui sont rattachés au secrétariat général de la défense et de la sécurité nationale et qui est là pour protéger notamment en priorité les infrastructures critiques de la nation. Et avant ça, je travaillais au Conseil national des numériques, qui est une sorte de think tank gouvernemental qui... qui conseille les présidents de la République sur l'impact du numérique. J'ai eu l'occasion notamment de travailler sur les sujets d'IA avec Cédric Villani, dans ce contexte, pour définir la stratégie de la France sur le sujet, et à la Commission européenne avec un groupe d'experts sur l'IA.
Cybiah
Merci beaucoup pour cette présentation. Concrètement, le CyberCampus au quotidien, c'est quoi ? Ça œuvre à quoi dans le monde de la cybersécurité ?
Yann Bonnet
Ouais, en fait, le campus cyber, c'est un lieu totem. C'est un lieu physique qu'on a ouvert il n'y a pas si longtemps que ça, il y a deux ans. Ça a été impulsé par le président de la République, une mission qui a été confiée à un entrepreneur à succès qui s'appelle Michel Vandenberg, que j'ai eu la chance d'accompagner pour concevoir ce lieu. L'idée du campus, c'est d'être plus fort ensemble. On a un état de la menace cyber qui est assez important, qui est plutôt grandissant. On pourra revenir là-dessus aussi. Et l'idée du campus, c'est d'être plus fort ensemble, je le disais, c'est-à-dire essayer de fédérer les acteurs de l'écosystème pour créer des synergies et inverser le rapport de force par rapport à ceux qui nous attaquent. C'est aussi un moyen de faire rayonner l'excellence française. Donc aujourd'hui, après deux ans concrètement, on a déjà plus de 5500 experts qui ont des accès au niveau du campus. Chaque jour, c'est à peu près 1200... experts qui sont dans ce lieu. C'est assez rare au niveau mondial d'avoir autant d'experts au même endroit. On a en deux ans, je sais pas, fait plus de 700 événements. On a 500 jeunes qui sont en train de se former au sein du campus. Et on a 650 acteurs publics et privés qui contribuent à ce qu'on appelle des communs. C'est des ressources mutualisées, soit en open source ou pour... pour être plus forts ensemble et notamment partager aussi de l'information sur les attaquants, là encore pour être plus forts ensemble. On a trois grandes missions au sein du campus. La première, c'est clairement, notre priorité, c'est les talents. On est en pleine pénurie de talents et donc l'idée, c'est de montrer tout le sens des métiers, de nos métiers de la cyber, c'est des métiers du care, de la protection. Et donc, essayer d'attirer des nouveaux talents, les former. pour être en capacité de mieux se protéger ou de mieux innover dans ce domaine. La deuxième mission, c'est l'innovation. Là aussi, pour essayer d'avoir un coup d'avance par rapport à ceux qui nous attaquent. On travaille beaucoup sur des sujets comme comment on peut utiliser l'IA pour mieux détecter un certain nombre d'attaques, comment on peut utiliser l'IA pour mieux répondre, ou des sujets un peu plus lointains comme la crypto post-quantique. Voilà, il y a plein de sujets comme ça. Et puis enfin, ce lieu, c'est la troisième mission du campus, c'est de protéger, notamment les acteurs qui sont peut-être un peu moins matures, et on va en revenir tout à l'heure, mais notamment je pense aux PME, aux collectivités qui ont besoin de se protéger. Donc c'est un lieu qui est ouvert 24h sur 24, 7 jours sur 7, où il y a des sortes de cyber-pompiers qui sont là pour protéger et intervenir quand il y a des attaques.
Cybiah
Oui, parce que... Qui dit campus dit écosystème, dit une grande variété d'acteurs. Et donc votre objectif, c'est de coordonner tout ça, les pouvoirs publics, les acteurs privés, les startups, tout ce qui intervient dans le monde de la cyber ?
Yann Bonnet
Exactement, c'est d'être plus fort ensemble. Moi, l'image que j'aime bien prendre, c'est tout bête, mais ce qu'on essaye de faire, c'est un écosystème qui est fertile. Un écosystème qui est fertile, c'est comme dans la nature. Un terrain qui produit bien, c'est un terrain où il y a une biodiversité d'acteurs. il y a une biodiversité, et donc là, le campus, il y a une biodiversité d'acteurs, on va revenir là-dessus aussi, et il y a besoin d'un équilibre. Parce que dans la nature, si vous avez un acteur qui est trop dominant, c'est le début de la pollution, et c'est la fin de la chaîne de fertilité, en quelque sorte. Le campus, le numérique, moi, ma conviction, c'est que c'est exactement la même chose. On a besoin de biodiversité, donc ici, au campus, vous pouvez croiser, vous avez croisé tout à l'heure, des jeunes qui viennent... cours, des chercheurs, des enseignants, des startups, des grands groupes, puisqu'on a plus de la moitié du CAC 40 qui est ici. On a, par exemple, toute la communauté des banques, qui sont la première communauté et assurance à se mobiliser énormément au sein du campus pour être plus forts ensemble. Effectivement, c'est des acteurs publics. L'écosystème cyber est très divers, et c'est ce qui fait aussi toute la part de cette richesse.
Cybiah
Et au final ? Pourquoi il y a besoin d'un campus cyber ? Pourquoi il y a besoin de s'emparer des sujets ? Pourquoi il y avait besoin de cette impulsion qui a été amenée par Emmanuel Macron, comme vous disiez, mais qui remonte même à l'échelle européenne ?
Yann Bonnet
En fait, notre société, elle est en train de se numériser déjà depuis quelques années. Et cette numérisation, c'est à la fois un remède et un poison pour notre société. Le numérique, ça va nous permettre plein de super choses. s'éduquer plus facilement, de communiquer à distance, même d'améliorer la détection de certains cancers, plein de choses positives. Mais en même temps, plus notre société se numérise dans notre quotidien, ce n'est pas juste l'ordinateur, ça va être nos voitures, un peu tous les objets qu'on utilise, plus il peut y avoir aussi des nouvelles menaces qui arrivent, et notamment la menace cyber. Et ça, cette menace, on le voit, elle est de plus en plus importante. Il y a un document qui est hyper intéressant que l'ANSI publie, l'ANSI qui est donc l'Agence de Cybersécurité de l'État, chaque année, qui s'appelle l'État de la menace. Et encore cette année, ils ont vu encore une augmentation assez importante de la menace, avec déjà depuis quelques années un peu un transfert de la menace vers les acteurs. les moins matures. Et je pense vraiment notamment aux PME, aux hôpitaux, aux collectivités. Il faut bien comprendre cette menace cyber, c'est pas juste théorique. Un hôpital qui est attaqué dans la minute qui suit, qui est rançonné, donc qui va bloquer l'hôpital contre une rançon, dans la minute qui suit, les infirmiers, les infirmières, les médecins sont complètement désorganisés. Ils savent plus quels médicaments ils ont prescrit à tel ou tel patient. qui est de désorganisation totale. Donc ce n'est pas que quelque chose d'informationnel, c'est quelque chose qui peut nous toucher concrètement et qui peut même aller jusqu'à des choses très humaines. On a une collectivité, une mairie qui est attaquée. Concrètement, c'est une mairie qui ne peut plus gérer parfois les passeports ou même les cimetières. C'est ça, en fait, concrètement, la menace cyber.
Cybiah
Et cette menace cyber, elle vient d'où ? On entend beaucoup parler des ransomware. qui ont un objectif purement pécunier financier, on pique des données et on les rend contre une rançon. Enfin, on les rend pas forcément en plus. Cette menace, elle vient d'où ? Elle s'inscrit dans quel contexte ?
Yann Bonnet
Alors, il y a plusieurs motivations derrière cette menace. On a une première motivation que vous venez d'indiquer qui est l'appât du gain. Donc, c'est des cybercriminels qui sont là pour gagner de l'argent. C'est ça leur motivation. Et donc, effectivement, ils utilisent des méthodes qui sont très très simples, qui demandent... pas énormément de compétences et qui ne coûtent pas très cher à trouver en plus sur des endroits cachés d'internet, mais qui sont bien sûr extrêmement condamnables et qui vont essayer de bloquer un système contre une rançon. Après, il y a une autre motivation qui peut être l'espionnage. On entend un peu moins parler, c'est plus discret, mais ça peut faire tout autant mal, même ça peut avoir des impacts qui sont très importants. Alors de l'espionnage, ça peut être de l'espionnage commercial, politique, et ça peut être derrière différents acteurs, notamment des groupes étatiques, des grosses puissances étatiques qui peuvent, derrière des opérations quasi militaires qui sont programmées pour déstabiliser un pays. Et donc ça, c'est les deux grands types de motivations. Après, il peut y avoir une autre motivation dont on parle encore moins, qui est le sabotage. Et qui là aussi, ça va être des opérations quasi militaires pour essayer de déstabiliser un pays. C'est vraiment là, dans le contexte qu'on est actuellement, c'est une menace qui est totalement possible, vu les problématiques géopolitiques qu'on voit avec l'Ukraine en Israël. Et ce moment... fort que va être les JO en France, ça peut être aussi un autre type de motivation qui est important de bien maîtriser.
Cybiah
Je vais être peut-être volontairement naïf, mais ces menaces, quand on vous écoute, elles paraissent assez macro, elles s'adressent à des acteurs assez importants, les États, les collectivités, les grandes entreprises, pour les patrons de petites entreprises, de moyennes entreprises qui nous écoutent, pour les particuliers. Cette menace, elle existe ? Ou au final, à part s'il y a une question d'opportunisme, le risque est limité ?
Yann Bonnet
Vraiment, le message, on est tous concernés. Il ne faut surtout pas croire que les cybercriminels, par exemple, ne s'intéressent qu'aux gros acteurs. Et même, j'ai envie de dire, ce n'est pas l'inverse, mais les gros acteurs, ils ont depuis des années mis des moyens considérables pour se protéger. Et là, on est... Maintenant, les cybercriminels vont parfois avoir tendance à pêcher Ausha, à lancer le filet très large, et dans leur filet vont attraper tous les acteurs qui n'ont pas du tout préparé cette situation. Ce qu'on dit souvent, c'est que la question, ce n'est plus de savoir si vous allez être attaqué, mais quand est-ce que vous allez être attaqué, et surtout, est-ce que vous allez avoir la résilience, les bons réflexes pour faire face à cette menace ? Clairement, pour les PME, c'est une menace qui est importante. Il faut bien comprendre qu'une PME qui est attaquée, il y a des risques de coûts très importants directs, mais aussi indirects, de perte de confiance des clients. Ce qui, dans certains cas, peut aboutir à des situations très critiques pour une PME. Ça concerne vraiment tout le monde. C'est très important d'avoir ça en tête.
Cybiah
Est-ce qu'on mesure aujourd'hui le nombre d'attaques chaque année sur les PME, les TPE, les grands groupes ? Est-ce qu'on a une idée du préjudice qui est causé à cette entreprise ?
Yann Bonnet
Je n'ai pas une vision complètement à date. Je vous parlais tout à l'heure de l'état de la menace du document publié par l'ANSI. Il y a des chiffres qui sont assez intéressants chaque année. Les chiffres que je peux avoir en tête, c'est qu'on parle d'une attaque toutes les 11 secondes au niveau mondial. Il y a déjà quelques années, on évaluait au niveau mondial à plus de 5 000 milliards le coût de la cyber. C'est considérable. quasiment tous les jours il y a des attaques un peu partout la menace c'est en train de se déplacer vers les acteurs un peu moins matures les PME, les collectivités les hôpitaux c'est vraiment l'affaire de tous il ne faut pas croire que c'est réservé qu'aux autres à part mettre des mots de passe avec une forte protection à part...
Cybiah
Faire en sorte de ne pas envoyer de données sensibles, bancaires, etc. par des moyens non sécurisés. Au final, qu'est-ce que je peux faire ? Parce que la cybersécurité, moi, ça ne me parle pas. J'utilise des outils. Je ne sais pas comment les protéger, comment me protéger au quotidien.
Yann Bonnet
Juste avant de répondre à votre question, j'ai vraiment envie de vous dire un truc. Plus j'avance, plus j'ai l'impression qu'on est dans une situation un peu comme il y a 400 ans. Il y a eu un épisode qui était assez incroyable à Londres, qui s'appelle le grand incendie de Londres. où on savait en fait, les maisons étaient en bois, très rapprochées. Alors il n'y avait que quelques grands nobles qui avaient leur maison un peu de côté, qui avaient des bons réflexes et qui avaient les moyens de bien se protéger contre les incendies. Mais la majorité était un peu consciente mais n'avait pas les bons gestes. Et un jour, l'incendie s'est lancé et une grande partie de Londres, à brûler. Voilà, moi j'ai vraiment l'impression qu'en ce moment on est un peu en train de reprendre un peu... On est un peu dans cette situation où... où malheureusement la majorité des gens n'ont pas encore pris un certain nombre de réflexes de construire des maisons un peu écartées, d'avoir dans les maisons des systèmes ou dans les immeubles, dans les entreprises des systèmes pour détecter les incendies et c'est ça qu'il faut qu'on arrive petit à petit à avoir collectivement, ces fameux réflexes. Alors on parle de différentes choses, vous avez parlé d'hygiène numérique, avant tout dans les trucs simples. effectivement c'est de ne pas être naïve donc on ne clique pas sur n'importe quoi, sur un mail qui nous promet le dernier iPhone qui n'est même pas encore sorti, il faut faire attention il faut mettre à jour effectivement ces appareils régulièrement parce qu'il y a des corrections de sécurité qui se font régulièrement il faut toujours un truc très très simple, c'est de sauvegarder les informations les plus critiques je ne sais pas si vous êtes une PME, vous avez votre fichier client etc... ce fichier-là, faites en sorte de bien le protéger et sur quelque chose qui n'est pas connecté à Internet. Donc régulièrement, et vous vérifiez régulièrement, je ne sais pas, une fois par mois, que vous avez bien accès à ce fichier. Voilà, c'est des petits réflexes, ce n'est pas blâtrément très cher, mais il y a des petits réflexes comme ça à avoir. Alors, pour aller plus loin que ces premiers réflexes, on a justement avec Paris-Ouest-La-Défense et le campus cyber, mis en place une initiative qui s'appelle Cibia, Ciberia Hub, et on a été sélectionné par la Commission européenne pour justement aider des petites PME et des collectivités. C'est une expérimentation, on va essayer de couvrir 150 PME et une cinquantaine de collectivités en trois ans. L'idée c'est vraiment de les accompagner sur les premières phases pour bien les embarquer, bien comprendre quelles sont leurs problématiques. diagnostiquer les sujets les plus importants pour les différents acteurs qu'on va protéger et les accompagner jusqu'au test de différentes solutions. On a recruté des experts cyber qui sont des tiers de confiance. C'est très compliqué pour une PME, même pour un expert cyber, de s'y retrouver. Si on se met du côté des PME, il y a énormément d'offres et de savoir quelle offre est adaptée à son contexte, ce n'est pas si simple. Et si on se met du côté des offreurs, c'est très compliqué parce que les PME, c'est un marché qui est très important. Quand on compte les TPE, c'est 3 ou 4 millions d'organisations. C'est 99% de notre tissu économique. Mais en même temps, c'est très compliqué parce qu'en termes de communication, pour adresser ce marché, c'est... C'est fragmenté. Voilà, c'est très fragmenté. Et donc du coup, nous, le campus cyber avec... Avec cette initiative Cibia, je vous invite à aller sur le site cibia.eu. Vous pouvez être accompagné sans reste à charge, donc c'est gratuit, sur les premières phases. Et on va même vous aider à, comme je le disais, trouver la bonne solution et aller chercher du financement pour la trouver. Donc c'est une super expérimentation, je pense. Donc il ne faut pas hésiter à nous contacter.
Cybiah
Et en plus, c'est extrêmement simple, puisqu'en fait, c'est un rendez-vous avec un expert, si je ne dis pas de bêtises. il y a un audit qui est fait. En gros, on va vérifier que les fondamentaux sont bien respectés. Et derrière, un peu tout le spectre et toute l'exposition numérique de la PME, c'est ça, pour ensuite couvrir et trouver les bonnes solutions sur toutes les vulnérabilités qu'on peut identifier.
Yann Bonnet
Exactement. Donc, on va vraiment accompagner depuis le début la PME ou la petite collectivité pour bien comprendre le contexte, pour voir les points de progrès possibles. Et nous, on est tiers de confiance entre les PME et les offreurs pour faire en sorte que ce soit le plus efficace et qu'on utilise vraiment les solutions qui soient adaptées.
Cybiah
Parce qu'en termes de cybersécurité, justement, est-ce qu'il n'y a pas un peu cette notion de ça fait peur à tout le monde ? Je crois qu'il y a 83% des Français, d'après une étude, qui sont concernés par ça. Est-ce qu'il n'y a pas ce côté, on en a tous peur, mais au final, on est très peu protégé à l'exposition. Et donc, rien que le fait de respecter les premiers fondamentaux de la cybersécurité, réduit la probabilité de se faire attaquer et réduit aussi l'exposition qu'on peut avoir en cas d'attaque et donc les conséquences.
Yann Bonnet
C'est clair, c'est pour ça qu'il faut avoir ces réflexes. L'image que j'aime bien prendre, c'est comme quand on rentre dans une voiture, maintenant on a tous le réflexe de mettre la ceinture de sécurité. Bien sûr, si on va trop vite et qu'on a malheureusement un accident qui est dramatique, ça peut mal se terminer, mais la plupart du temps, ça peut sauver des vies. Donc voilà, il y a des gestes simples comme mettre une ceinture qui peut se sauver des vies, et c'est exactement la même chose dans le domaine cyber. Il y a un certain nombre de réflexes à avoir, plus ou moins avancés, qui permettent de garantir que le jour où on sera attaqué, on va pouvoir retrouver ces données et ne pas être bloqué.
Cybiah
J'aime bien cette comparaison en mode de l'automobile. En fait, là, on est un peu dans les... Les années 50-60 quand la ceinture de sécurité vient d'être inventée mais qu'on a encore peu de régulations, pas forcément de limites sur les routes. Là, c'est pareil, on n'a pas forcément de limites ou du moins on n'est pas trop conscient des risques qu'on prend sur Internet. Et il y a un point qui est assez intéressant, c'est qu'il y a la directive NIS 2 qui a été publiée. On avait également la réglementation DORA qui entre en vigueur, si je ne dis pas de bêtises, en 2025. Qu'est-ce que cherche à faire l'Union européenne, puisque ça émane de l'Union européenne ? Et comment ça va se traduire concrètement dans le quotidien des utilisateurs, des entreprises ?
Yann Bonnet
Globalement, on peut s'en rentrer dans les détails, mais je pense que la commission cherche à faire qu'on puisse avoir confiance dans cet univers numérique qui, encore une fois, nous apporte énormément de bonnes choses. Pour une PME, il n'a jamais été aussi simple de toucher largement plein de prospects, de clients, pour des coûts qui parfois sont quand même assez faibles par rapport à... à quelques années, mais en même temps, il y a cette dépendance au numérique qui est importante et qui, comme je disais tout à l'heure, peut entraîner de nouvelles menaces. Donc c'est extrêmement important, à travers ces réglementations, d'essayer d'embarquer le maximum de personnes et que ce ne soit pas uniquement que les très gros acteurs qui sachent se protéger parce qu'on a cet état de rechercher de cybersécurité, d'être en cybersécurité. C'est quelque chose qu'on peut souhaiter à tout le monde et qui ne doit pas être réservé que à certains acteurs.
Cybiah
Donc si je vous comprends bien, c'est qu'on ne pourra jamais, comme encore une fois, sur la route éviter l'accident, éviter le choc. Par contre, entre guillemets, notre obligation individuelle, qu'on soit particulier, salarié, chef d'entreprise, c'est de chaque jour mettre en place des sécurités pour éviter qu'on ne meure, entre guillemets. s'il y a une attaque.
Yann Bonnet
Exactement.
Cybiah
Et on a vu quand même qu'il y avait beaucoup d'attaques. On en parlait avant ce podcast, il y a eu donc France Travail, il y a eu beaucoup d'autres exemples, les hôpitaux qui ont été touchés, même la Fédération française de football avec à chaque fois des millions de données personnelles qui sont diffusées. Mais là, on arrive dans une phase où la France va être beaucoup exposée. Est-ce qu'au final, on est prêt pour les entreprises, pour l'État ? à accueillir les JO sur un plan de la cybersécurité ?
Yann Bonnet
Alors les JO, ça va être un moment qui est très important, qui a une portée planétaire où beaucoup de personnes autour du monde vont être focalisées sur la France pour ce moment de sport. Mais effectivement, on a noté déjà depuis quelques années que lors des JO, du fait... que ce soit ce focus très important sur un pays, il y a un certain nombre d'acteurs qui en profitent pour, notamment dans le domaine du numérique, essayer de porter atteinte à l'image d'un pays. Alors, face à cette situation, on a des acteurs comme l'ANSI, l'Agence de Cybersécurité de l'État, qui travaille depuis plus de deux ans sur le sujet pour préparer, anticiper les différents types d'attaques. qu'il pourrait y avoir, en tout cas sur les points les plus importants dans le cadre des JO. Donc voilà, on se prépare collectivement avec des acteurs et c'est l'ANSI qui coordonne tout ça avec tous les acteurs concernés. Ça va être un moment qui va être assez important, on va avoir des attaques un peu partout, probablement, mais on a préparé, les acteurs concernés ont préparé au maximum pour que on puisse se... faire en sorte de se focaliser sur les attaques les plus importantes et que les JO se passent bien. C'est aussi un moyen d'élever notre niveau de sécurité cyber, notre niveau de maturité cyber. Donc c'est aussi positif, in fine, parce qu'avec cette échéance, je pense qu'on aura augmenté notre niveau de sécurité.
Cybiah
C'était effectivement ma question de suite, de savoir si les événements stressants, enfin, parce qu'au final, tous ces événements n'étaient pas des stress tests. et n'étaient pas des opportunités de monter en compétences, surtout que vous parliez beaucoup de l'ANSI, mais il me semble qu'il y a beaucoup d'acteurs qui œuvrent dans le monde de la cybersécurité. Est-ce que vous pouvez nous donner un peu de visibilité sur tous ces acteurs et nous aider à comprendre comment tout ça s'articule ?
Yann Bonnet
Juste avant, effectivement, l'entraînement, c'est quelque chose d'extrêmement important dans la cybersécurité. On peut mettre plein de... acheter plein de choses et compagnie, mais si on ne s'est pas entraîné au moment où il va se passer quelque chose d'une crise, c'est très compliqué. Donc il faut vraiment, on apprend énormément en pratiquant et si possible dans l'entraînement plutôt que sur une vraie crise où là c'est compliqué pour apprendre. Vis-à-vis de l'écosystème, cyber est extrêmement varié. On a... à la fois des acteurs publics, avec l'agence de cybersécurité, l'ANSI, mais aussi du côté militaire, des acteurs comme le Comcyber, le commandement cyber, des acteurs dans la sphère de renseignement, comme la DGSI, la DGSE, la DRSD. Il y a plein d'acteurs différents qui agissent, et l'ANSI est un peu... le chef d'orchestre de tous ces acteurs. On a des acteurs de la recherche qui s'intéressent heureusement, et je pense notamment à l'INRIA, au CNRS, au CEA, et qui sont très actifs au niveau du campus pour essayer là encore d'avoir un coup d'avance par rapport à ceux qui nous attaquent. On a des acteurs de la formation, on a énormément d'écoles. et des universités qui s'y mettent de plus en plus. Et ça, c'est un énorme enjeu, parce qu'encore une fois, on a une vraie pénurie de talents. On parle de plus de 15 000 postes non pourvus en France. Et donc, dans les prochaines années, ça va augmenter énormément. On a, bien sûr, des entreprises. On a un écosystème qui est très fertile en termes de startups, depuis quelques années. Donc ça, c'est aussi extrêmement important. Et puis, des grands groupes. Je pense à Orange, CyberDéfense... Thalès, à Capgemini, qui sont aussi très actifs dans le domaine de la cybersécurité. Donc un système très varié, très divers.
Cybiah
J'ai l'impression justement que sur la cybersécurité, on a un secteur où il y a beaucoup de synergies entre le civil, le militaire, le renseignement et l'étatique, et ça donne un peu l'impression vous avez fait une métaphore historique tout à l'heure en préparant cette série de podcasts, j'ai eu l'impression un peu de la situation de la marine au XVIIe, XVIIIe siècle, où au final il y avait de la piraterie qui touchait à la fois, qui était à la fois étatique, à la fois commerciale, où en fait les enjeux politiques et financiers se confondaient, et où au final les navires de commerce qu'on pourrait comparer au PME d'aujourd'hui étaient une cible facile à la fois pour ceux qui voulaient de l'argent et à la fois pour les États qui voulaient se nuire entre eux. Est-ce qu'au final on n'est pas dans cette situation aujourd'hui et est-ce que... plus que jamais et dans la cyber, la coopération civile avec le militaire et le renseignement est indispensable.
Yann Bonnet
Moi je suis assez convaincu que face à des menaces de ce type, on ne peut pas juste raisonner que d'un côté les acteurs publics ou les acteurs privés. On a des menaces extrêmement importantes là. Alors il y a des menaces encore plus importantes de mon point de vue qui sont la menace écologique, où là il y a un risque existentiel. Mais bon, on ne va pas plomber le moral de tout le monde. Mais face à des enjeux, des défis qui sont les défis de notre époque, on a besoin d'avoir cette approche écosystème, acteurs publics et privés, pour être plus forts ensemble, pour trouver... Il n'y a pas de fatalité, mais il faut qu'on gagne en maturité et qu'on se sente tous responsables et qu'on agisse pour être plus forts ensemble. Je ne sais pas le dire plus simplement que ça.
Cybiah
Comment ça va se traduire pour les PME, TPE ? Quelles sont les ambitions que vous portez pour faire en sorte de les embarquer et pour faire en sorte que facilement, tout le monde ait sa ceinture de sécurité dans la voiture ?
Yann Bonnet
Déjà, on a conscience que le chantier et le défi, il est énorme. Encore une fois, on compte les TPE et PME, on parle de 3 millions d'acteurs au niveau français. Donc il faut qu'on travaille, on a notre initiative, il y a d'autres initiatives aussi qui sont très belles et avec qui il y a d'autres acteurs avec qui on travaille et qui sont associés je pense à Cybermalveillance, à la BPI, à plein plein d'acteurs de ce type. Alors ce qu'on va faire, ce qu'on est en train de faire, c'est petit à petit essayer d'aller chercher les PME parce que voilà un patron de PME il a son business à gérer en priorité et il va pas au blatement. penser à la cyber tous les matins. Donc on a tout un ensemble d'actions d'aller organiser, alors ça va passer, notamment on va co-organiser avec les mairies de la région des petits événements pour inviter des PME qui sont sur leur territoire pour essayer de les sensibiliser à la thématique et petit à petit les embarquer dans notre process Cibia pour faire en sorte que on les accompagne avec notre expert. sur les gestes importants et adaptés à leur contexte. Donc on va essayer de faire des choses comme ça, des podcasts comme celui que vous êtes en train de faire. Essayer de faire en sorte que ce soit un sujet qui soit grand public. On travaille aussi avec du Mass Media, Radio France, France Télé. On a plein de différentes actions, que ce soit pour sensibiliser ou attirer des nouveaux talents. Et notre idée, c'est d'essayer de... de faire en sorte que ce sujet de la cyber, ça ne soit pas réservé qu'à des experts. C'est un sujet qui nous concerne tous, encore une fois, et où on doit avoir conscience qu'on a tous un rôle à jouer et que tout se passe bien.
Cybiah
On est donc tous responsables de notre hygiène numérique, si j'ai pu le dire. Et vous parliez justement de Cibia. Cibia, l'avantage de ce programme, effectivement, c'est que c'est sain, reste à charge pour les entreprises qui rentrent dans ce programme. Mais est-ce que c'est cher, la cyber ? Est-ce que c'est coûteux ? de mettre en place, j'ai envie de dire, le niveau 1 de la cybersécurité ?
Yann Bonnet
C'est difficile de répondre à cette question, ça dépend vraiment des contextes de chaque entreprise, de chaque organisation. Encore une fois, il y a des gestes simples qui ne sont pas complètement coûteux. Il y a des choses qui sont en fonction des contextes, puis il y a des choses qui peuvent être un peu plus coûteuses que d'autres. En tout cas, c'est important de choisir les bonnes solutions. Et là encore, c'est toute la valeur que... Nos experts vont apporter, on a vraiment cette chance d'être financé, on est co-financé en fait par la Commission européenne à 50% et aussi par la région Île-de-France. Et c'est ces subventions qui nous permettent d'aider, d'expérimenter et de jouer notre rôle de guide vis-à-vis des PME et de faire en sorte que petit à petit, les offreurs arrivent à mieux comprendre les problématiques des PME et adaptent leurs offres pour que... ce coût de la cyber soit le moindre possible et le plus acceptable pour les PME.
Cybiah
Et puis au final, est-ce que pour une PME, ce n'est pas une opportunité d'avoir des mesures cyber en place et de s'être emparé de manière précoce de ces sujets ?
Yann Bonnet
C'est clair que c'est préférable d'anticiper, de voir ça plutôt comme une opportunité, même un argument commercial. Le fait d'être mature d'un point de vue... C'est quelque chose qui va de plus en plus parler et qui parle déjà énormément aux clients.
Cybiah
Et puis, est-ce que ce n'est pas aussi une manière de s'insérer dans la chaîne de valeur de grands groupes ? Parce que justement, vous parliez de ces grands groupes qui sont très en avance sur les questions cyber. La chaîne de valeur des grands groupes, elle est composée d'une multitude de sous-traitants de rang 1, de rang 2, de rang 3 qui sont des TPE-PME. Est-ce que le fait d'être engagé sur une question cyber, ça permet de rentrer plus facilement ? dans ces grands groupes de s'insérer plus facilement dans la chaîne de valeur ? Et est-ce que demain, ce ne sera pas même un prérequis dans les appels d'offres des grands groupes ?
Yann Bonnet
Vous avez raison, je pense qu'on est complètement dans cette philosophie. D'ailleurs, Nice 2, il me semble, va dans ce sens de plus en plus. Pour gagner tel ou tel marché, il va y avoir des demandes, des vérifications, des audits de niveau de conformité ou de niveau de maturité cyber. Et donc... Donc clairement, il y aura les PME qui sont matures, de confiance, que certains grands groupes vont pouvoir faire appel. Et puis les autres qui ont un peu plus de difficultés, probablement à donner confiance à certains grands groupes.
Cybiah
Et le fait de se préparer, ça n'exclut pas le fait d'avoir un jour un problème. On parle de plus en plus d'assurance Uber. Est-ce que c'est la solution ? Et est-ce qu'au final, tout le monde peut y prétendre de manière très simple ? Est-ce que c'est aussi simple que de prendre un contrat automobile ?
Yann Bonnet
C'est un secteur qui est en train d'énormément bouger. L'assurance Uber, la partie positive que je vois, c'est qu'en fait, les assurances vont avoir besoin de faire de la prévention. et faire en sorte que les PME, il ne s'agit pas juste de se dire bon, je prends un contrat d'assurance, c'est bon, je suis assuré Ça, ça ne marchera pas, parce que le jour où vous serez rançonné, vous aurez beau être remboursé sur certaines parties, mais si vous avez perdu tous vos fichiers clients, c'est juste, ça peut être complètement dramatique. Donc les assurances ont intérêt, et les PME aussi, du coup, à faire en sorte d'aller au-delà de juste ce contrat d'assurance. Et souvent dans les contrats, il y a des clauses qui obligent les PME à avoir fait un certain nombre de gestes en amont pour s'assurer que les bons réflexes sont déjà là et les bonnes solutions sont déjà là. Donc c'est quelque chose qui va être... C'est important. Il faut avoir... Ça va être de plus en plus important de... Il va y avoir un marché de plus en plus important sur les assurances cyber. Mais en même temps... il faut avoir ces gestes de prévention en amont pour que tout se passe bien.
Cybiah
Ok c'est comme une assurance qui il y a toujours des prérequis les clés, voilà exactement d'avoir une porte sécurisée pour son assurance habitation c'est exactement pareil. C'est pareil. Sauf qu'aujourd'hui j'ai l'impression que on est tous un peu avec la porte ouverte, les clés dessus et tout le monde peut rentrer dans la maison Est-ce qu'on n'est pas un peu dans ce cadre-là pour beaucoup de PME, TPE ?
Yann Bonnet
Heureusement, c'est en train de bouger. Mais probablement, effectivement, et le pire, c'est que beaucoup n'ont même pas conscience de ça. Mais vous avez raison, je pense que c'est pour ça que c'est important qu'on sensibilise, qu'on sorte de cette naïveté sans être rentré dans une paranoïa énorme. Mais qu'on soit conscient des risques, des menaces et qu'en fonction de notre situation, on prenne les bonnes décisions et qu'on se fasse aider par des gens compétents, de confiance, pour faire en sorte qu'effectivement les clés soient bien fermées quand il faut qu'elles soient fermées.
Cybiah
Et on arrive, je pense, au bout de ce podcast. En sortant, qu'est-ce que vous me conseillez de faire en rentrant au bureau ?
Yann Bonnet
Déjà, retenir que la cybersécurité, ça concerne tout le monde. Ensuite, Allez passer un petit tour du côté du site cybermalveillance.gouv.fr où vous trouverez plein de bons conseils, notamment de gestes simples pour se protéger. Et puis enfin, si vous voulez aller un peu plus loin, allez sur le site Cibia, C-Y-B-I-A-H, une initiative qui est cofinancée par la Commission européenne et par la région, qu'on copilote côté campus. Et avec nos experts, on est là pour... vous accompagner et trouver les bonnes solutions adaptées. C'est sans reste à charge en plus, donc il faut en profiter.
Cybiah
Merci beaucoup Yann d'avoir partagé votre expertise avec nos auditeurs, de nous avoir adressé les bons conseils et de nous avoir sensibilisé sans nous effrayer au final.
Yann Bonnet
Merci à toi.
Cybiah
Vous l'aurez compris tout au long de cette interview avec Yann Bonnet, mettre en place les premiers gestes d'hygiène numérique, ce n'est pas si compliqué. Il vaut mieux privilégier un mot de passe complexe à Maman 2024 ou Chaton ou encore Password, éviter d'envoyer ses mots de passe par SMS ou par mail, ou encore activer une double authentification sur ses applications favorites. Plein de petits gestes qui ne coûtent pas grand-chose, mais qui vous éviteront de longues heures d'angoisse le jour où vos comptes seront compromis. Et dans les prochains épisodes, nous irons encore plus loin. en rencontrant le commissaire de police qui dirige la BL2C, la brigade de lutte contre la cybercriminalité, ou encore le RSSI, c'est-à-dire le grand chef de la sécurité informatique de Paris-Ouest-La Défense. Bref, plein d'experts, de spécialistes, confrontés chaque jour à la cybersécurité qui vous emmèneront de nouveaux éléments pour comprendre cet environnement passionnant. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée, à commenter, noter ce podcast, vos retours nous sont précieux, et également à nous suivre. sur linkedin at sybia, C-Y-B-I-A-H. A très vite.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

Ne ratez aucun épisode : abonnez-vous pour découvrir de nombreux conseils pratiques et enrichir vos connaissances en cybersécurité !

À propos de Yann Bonnet

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Yann Bonnet
La question, ce n'est plus de savoir si vous allez être attaqué, mais quand est-ce que vous allez être attaqué. On parle d'une attaque toutes les 11 secondes au niveau mondial, qui dans certains cas peut aboutir à des situations très critiques pour une PME.
Cybiah
Plus 400% d'attaques cyber entre 2020 et 2023, un coût moyen qui varie entre 160 000 euros pour une PME et plusieurs millions pour un grand groupe. plus personne n'est à l'abri d'une compromission de ces systèmes d'information. Alors, devons-nous nous résoudre au fatalisme et attendre sagement que la catastrophe arrive ? Les experts sont unanimes. C'est votre degré de préparation qui préservera vos données, votre santé financière comme votre réputation, et limitera les conséquences de l'attaque. Et c'est là tout notre objectif. Vous donner les clés de compréhension, les fondamentaux cyber, pour que simplement et avec un minimum d'effort, vous adoptiez une bonne hygiène numérique et que vous soyez, vous aussi, cyber-ready. Pour ce premier épisode, nous nous sommes rendus au Campus Cyber, le lieu totem de la cybersécurité en France, pour rencontrer son directeur général délégué, personnalité du domaine internationalement reconnue, aussi à l'aise derrière un clavier qu'un pupitre, j'ai nommé Yann Bonnet. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne, qui offre un accompagnement cyber sur mesure aux TPE et aux PME. produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris-Ouest-La Défense. Cet épisode est réalisé par l'agence GEF. Bonjour Yann Bonnet.
Yann Bonnet
Bonjour.
Cybiah
Nous sommes ravis de vous recevoir pour ce premier épisode. Pouvez-vous commencer par vous présenter s'il vous plaît et revenir un peu sur votre parcours, vous avez le temps que vous voulez.
Yann Bonnet
Bonjour, je suis Yann Bonnet, je suis le DG délégué du Campus Cyber qui est le lieu totem de la cybersécurité en France. On pourra revenir un peu là-dessus. Auparavant, j'étais directeur de cabinet de l'ANSI, qui est l'agence de cybersécurité de l'État. C'est une équipe de plus de 600 experts qui sont rattachés au secrétariat général de la défense et de la sécurité nationale et qui est là pour protéger notamment en priorité les infrastructures critiques de la nation. Et avant ça, je travaillais au Conseil national des numériques, qui est une sorte de think tank gouvernemental qui... qui conseille les présidents de la République sur l'impact du numérique. J'ai eu l'occasion notamment de travailler sur les sujets d'IA avec Cédric Villani, dans ce contexte, pour définir la stratégie de la France sur le sujet, et à la Commission européenne avec un groupe d'experts sur l'IA.
Cybiah
Merci beaucoup pour cette présentation. Concrètement, le CyberCampus au quotidien, c'est quoi ? Ça œuvre à quoi dans le monde de la cybersécurité ?
Yann Bonnet
Ouais, en fait, le campus cyber, c'est un lieu totem. C'est un lieu physique qu'on a ouvert il n'y a pas si longtemps que ça, il y a deux ans. Ça a été impulsé par le président de la République, une mission qui a été confiée à un entrepreneur à succès qui s'appelle Michel Vandenberg, que j'ai eu la chance d'accompagner pour concevoir ce lieu. L'idée du campus, c'est d'être plus fort ensemble. On a un état de la menace cyber qui est assez important, qui est plutôt grandissant. On pourra revenir là-dessus aussi. Et l'idée du campus, c'est d'être plus fort ensemble, je le disais, c'est-à-dire essayer de fédérer les acteurs de l'écosystème pour créer des synergies et inverser le rapport de force par rapport à ceux qui nous attaquent. C'est aussi un moyen de faire rayonner l'excellence française. Donc aujourd'hui, après deux ans concrètement, on a déjà plus de 5500 experts qui ont des accès au niveau du campus. Chaque jour, c'est à peu près 1200... experts qui sont dans ce lieu. C'est assez rare au niveau mondial d'avoir autant d'experts au même endroit. On a en deux ans, je sais pas, fait plus de 700 événements. On a 500 jeunes qui sont en train de se former au sein du campus. Et on a 650 acteurs publics et privés qui contribuent à ce qu'on appelle des communs. C'est des ressources mutualisées, soit en open source ou pour... pour être plus forts ensemble et notamment partager aussi de l'information sur les attaquants, là encore pour être plus forts ensemble. On a trois grandes missions au sein du campus. La première, c'est clairement, notre priorité, c'est les talents. On est en pleine pénurie de talents et donc l'idée, c'est de montrer tout le sens des métiers, de nos métiers de la cyber, c'est des métiers du care, de la protection. Et donc, essayer d'attirer des nouveaux talents, les former. pour être en capacité de mieux se protéger ou de mieux innover dans ce domaine. La deuxième mission, c'est l'innovation. Là aussi, pour essayer d'avoir un coup d'avance par rapport à ceux qui nous attaquent. On travaille beaucoup sur des sujets comme comment on peut utiliser l'IA pour mieux détecter un certain nombre d'attaques, comment on peut utiliser l'IA pour mieux répondre, ou des sujets un peu plus lointains comme la crypto post-quantique. Voilà, il y a plein de sujets comme ça. Et puis enfin, ce lieu, c'est la troisième mission du campus, c'est de protéger, notamment les acteurs qui sont peut-être un peu moins matures, et on va en revenir tout à l'heure, mais notamment je pense aux PME, aux collectivités qui ont besoin de se protéger. Donc c'est un lieu qui est ouvert 24h sur 24, 7 jours sur 7, où il y a des sortes de cyber-pompiers qui sont là pour protéger et intervenir quand il y a des attaques.
Cybiah
Oui, parce que... Qui dit campus dit écosystème, dit une grande variété d'acteurs. Et donc votre objectif, c'est de coordonner tout ça, les pouvoirs publics, les acteurs privés, les startups, tout ce qui intervient dans le monde de la cyber ?
Yann Bonnet
Exactement, c'est d'être plus fort ensemble. Moi, l'image que j'aime bien prendre, c'est tout bête, mais ce qu'on essaye de faire, c'est un écosystème qui est fertile. Un écosystème qui est fertile, c'est comme dans la nature. Un terrain qui produit bien, c'est un terrain où il y a une biodiversité d'acteurs. il y a une biodiversité, et donc là, le campus, il y a une biodiversité d'acteurs, on va revenir là-dessus aussi, et il y a besoin d'un équilibre. Parce que dans la nature, si vous avez un acteur qui est trop dominant, c'est le début de la pollution, et c'est la fin de la chaîne de fertilité, en quelque sorte. Le campus, le numérique, moi, ma conviction, c'est que c'est exactement la même chose. On a besoin de biodiversité, donc ici, au campus, vous pouvez croiser, vous avez croisé tout à l'heure, des jeunes qui viennent... cours, des chercheurs, des enseignants, des startups, des grands groupes, puisqu'on a plus de la moitié du CAC 40 qui est ici. On a, par exemple, toute la communauté des banques, qui sont la première communauté et assurance à se mobiliser énormément au sein du campus pour être plus forts ensemble. Effectivement, c'est des acteurs publics. L'écosystème cyber est très divers, et c'est ce qui fait aussi toute la part de cette richesse.
Cybiah
Et au final ? Pourquoi il y a besoin d'un campus cyber ? Pourquoi il y a besoin de s'emparer des sujets ? Pourquoi il y avait besoin de cette impulsion qui a été amenée par Emmanuel Macron, comme vous disiez, mais qui remonte même à l'échelle européenne ?
Yann Bonnet
En fait, notre société, elle est en train de se numériser déjà depuis quelques années. Et cette numérisation, c'est à la fois un remède et un poison pour notre société. Le numérique, ça va nous permettre plein de super choses. s'éduquer plus facilement, de communiquer à distance, même d'améliorer la détection de certains cancers, plein de choses positives. Mais en même temps, plus notre société se numérise dans notre quotidien, ce n'est pas juste l'ordinateur, ça va être nos voitures, un peu tous les objets qu'on utilise, plus il peut y avoir aussi des nouvelles menaces qui arrivent, et notamment la menace cyber. Et ça, cette menace, on le voit, elle est de plus en plus importante. Il y a un document qui est hyper intéressant que l'ANSI publie, l'ANSI qui est donc l'Agence de Cybersécurité de l'État, chaque année, qui s'appelle l'État de la menace. Et encore cette année, ils ont vu encore une augmentation assez importante de la menace, avec déjà depuis quelques années un peu un transfert de la menace vers les acteurs. les moins matures. Et je pense vraiment notamment aux PME, aux hôpitaux, aux collectivités. Il faut bien comprendre cette menace cyber, c'est pas juste théorique. Un hôpital qui est attaqué dans la minute qui suit, qui est rançonné, donc qui va bloquer l'hôpital contre une rançon, dans la minute qui suit, les infirmiers, les infirmières, les médecins sont complètement désorganisés. Ils savent plus quels médicaments ils ont prescrit à tel ou tel patient. qui est de désorganisation totale. Donc ce n'est pas que quelque chose d'informationnel, c'est quelque chose qui peut nous toucher concrètement et qui peut même aller jusqu'à des choses très humaines. On a une collectivité, une mairie qui est attaquée. Concrètement, c'est une mairie qui ne peut plus gérer parfois les passeports ou même les cimetières. C'est ça, en fait, concrètement, la menace cyber.
Cybiah
Et cette menace cyber, elle vient d'où ? On entend beaucoup parler des ransomware. qui ont un objectif purement pécunier financier, on pique des données et on les rend contre une rançon. Enfin, on les rend pas forcément en plus. Cette menace, elle vient d'où ? Elle s'inscrit dans quel contexte ?
Yann Bonnet
Alors, il y a plusieurs motivations derrière cette menace. On a une première motivation que vous venez d'indiquer qui est l'appât du gain. Donc, c'est des cybercriminels qui sont là pour gagner de l'argent. C'est ça leur motivation. Et donc, effectivement, ils utilisent des méthodes qui sont très très simples, qui demandent... pas énormément de compétences et qui ne coûtent pas très cher à trouver en plus sur des endroits cachés d'internet, mais qui sont bien sûr extrêmement condamnables et qui vont essayer de bloquer un système contre une rançon. Après, il y a une autre motivation qui peut être l'espionnage. On entend un peu moins parler, c'est plus discret, mais ça peut faire tout autant mal, même ça peut avoir des impacts qui sont très importants. Alors de l'espionnage, ça peut être de l'espionnage commercial, politique, et ça peut être derrière différents acteurs, notamment des groupes étatiques, des grosses puissances étatiques qui peuvent, derrière des opérations quasi militaires qui sont programmées pour déstabiliser un pays. Et donc ça, c'est les deux grands types de motivations. Après, il peut y avoir une autre motivation dont on parle encore moins, qui est le sabotage. Et qui là aussi, ça va être des opérations quasi militaires pour essayer de déstabiliser un pays. C'est vraiment là, dans le contexte qu'on est actuellement, c'est une menace qui est totalement possible, vu les problématiques géopolitiques qu'on voit avec l'Ukraine en Israël. Et ce moment... fort que va être les JO en France, ça peut être aussi un autre type de motivation qui est important de bien maîtriser.
Cybiah
Je vais être peut-être volontairement naïf, mais ces menaces, quand on vous écoute, elles paraissent assez macro, elles s'adressent à des acteurs assez importants, les États, les collectivités, les grandes entreprises, pour les patrons de petites entreprises, de moyennes entreprises qui nous écoutent, pour les particuliers. Cette menace, elle existe ? Ou au final, à part s'il y a une question d'opportunisme, le risque est limité ?
Yann Bonnet
Vraiment, le message, on est tous concernés. Il ne faut surtout pas croire que les cybercriminels, par exemple, ne s'intéressent qu'aux gros acteurs. Et même, j'ai envie de dire, ce n'est pas l'inverse, mais les gros acteurs, ils ont depuis des années mis des moyens considérables pour se protéger. Et là, on est... Maintenant, les cybercriminels vont parfois avoir tendance à pêcher Ausha, à lancer le filet très large, et dans leur filet vont attraper tous les acteurs qui n'ont pas du tout préparé cette situation. Ce qu'on dit souvent, c'est que la question, ce n'est plus de savoir si vous allez être attaqué, mais quand est-ce que vous allez être attaqué, et surtout, est-ce que vous allez avoir la résilience, les bons réflexes pour faire face à cette menace ? Clairement, pour les PME, c'est une menace qui est importante. Il faut bien comprendre qu'une PME qui est attaquée, il y a des risques de coûts très importants directs, mais aussi indirects, de perte de confiance des clients. Ce qui, dans certains cas, peut aboutir à des situations très critiques pour une PME. Ça concerne vraiment tout le monde. C'est très important d'avoir ça en tête.
Cybiah
Est-ce qu'on mesure aujourd'hui le nombre d'attaques chaque année sur les PME, les TPE, les grands groupes ? Est-ce qu'on a une idée du préjudice qui est causé à cette entreprise ?
Yann Bonnet
Je n'ai pas une vision complètement à date. Je vous parlais tout à l'heure de l'état de la menace du document publié par l'ANSI. Il y a des chiffres qui sont assez intéressants chaque année. Les chiffres que je peux avoir en tête, c'est qu'on parle d'une attaque toutes les 11 secondes au niveau mondial. Il y a déjà quelques années, on évaluait au niveau mondial à plus de 5 000 milliards le coût de la cyber. C'est considérable. quasiment tous les jours il y a des attaques un peu partout la menace c'est en train de se déplacer vers les acteurs un peu moins matures les PME, les collectivités les hôpitaux c'est vraiment l'affaire de tous il ne faut pas croire que c'est réservé qu'aux autres à part mettre des mots de passe avec une forte protection à part...
Cybiah
Faire en sorte de ne pas envoyer de données sensibles, bancaires, etc. par des moyens non sécurisés. Au final, qu'est-ce que je peux faire ? Parce que la cybersécurité, moi, ça ne me parle pas. J'utilise des outils. Je ne sais pas comment les protéger, comment me protéger au quotidien.
Yann Bonnet
Juste avant de répondre à votre question, j'ai vraiment envie de vous dire un truc. Plus j'avance, plus j'ai l'impression qu'on est dans une situation un peu comme il y a 400 ans. Il y a eu un épisode qui était assez incroyable à Londres, qui s'appelle le grand incendie de Londres. où on savait en fait, les maisons étaient en bois, très rapprochées. Alors il n'y avait que quelques grands nobles qui avaient leur maison un peu de côté, qui avaient des bons réflexes et qui avaient les moyens de bien se protéger contre les incendies. Mais la majorité était un peu consciente mais n'avait pas les bons gestes. Et un jour, l'incendie s'est lancé et une grande partie de Londres, à brûler. Voilà, moi j'ai vraiment l'impression qu'en ce moment on est un peu en train de reprendre un peu... On est un peu dans cette situation où... où malheureusement la majorité des gens n'ont pas encore pris un certain nombre de réflexes de construire des maisons un peu écartées, d'avoir dans les maisons des systèmes ou dans les immeubles, dans les entreprises des systèmes pour détecter les incendies et c'est ça qu'il faut qu'on arrive petit à petit à avoir collectivement, ces fameux réflexes. Alors on parle de différentes choses, vous avez parlé d'hygiène numérique, avant tout dans les trucs simples. effectivement c'est de ne pas être naïve donc on ne clique pas sur n'importe quoi, sur un mail qui nous promet le dernier iPhone qui n'est même pas encore sorti, il faut faire attention il faut mettre à jour effectivement ces appareils régulièrement parce qu'il y a des corrections de sécurité qui se font régulièrement il faut toujours un truc très très simple, c'est de sauvegarder les informations les plus critiques je ne sais pas si vous êtes une PME, vous avez votre fichier client etc... ce fichier-là, faites en sorte de bien le protéger et sur quelque chose qui n'est pas connecté à Internet. Donc régulièrement, et vous vérifiez régulièrement, je ne sais pas, une fois par mois, que vous avez bien accès à ce fichier. Voilà, c'est des petits réflexes, ce n'est pas blâtrément très cher, mais il y a des petits réflexes comme ça à avoir. Alors, pour aller plus loin que ces premiers réflexes, on a justement avec Paris-Ouest-La-Défense et le campus cyber, mis en place une initiative qui s'appelle Cibia, Ciberia Hub, et on a été sélectionné par la Commission européenne pour justement aider des petites PME et des collectivités. C'est une expérimentation, on va essayer de couvrir 150 PME et une cinquantaine de collectivités en trois ans. L'idée c'est vraiment de les accompagner sur les premières phases pour bien les embarquer, bien comprendre quelles sont leurs problématiques. diagnostiquer les sujets les plus importants pour les différents acteurs qu'on va protéger et les accompagner jusqu'au test de différentes solutions. On a recruté des experts cyber qui sont des tiers de confiance. C'est très compliqué pour une PME, même pour un expert cyber, de s'y retrouver. Si on se met du côté des PME, il y a énormément d'offres et de savoir quelle offre est adaptée à son contexte, ce n'est pas si simple. Et si on se met du côté des offreurs, c'est très compliqué parce que les PME, c'est un marché qui est très important. Quand on compte les TPE, c'est 3 ou 4 millions d'organisations. C'est 99% de notre tissu économique. Mais en même temps, c'est très compliqué parce qu'en termes de communication, pour adresser ce marché, c'est... C'est fragmenté. Voilà, c'est très fragmenté. Et donc du coup, nous, le campus cyber avec... Avec cette initiative Cibia, je vous invite à aller sur le site cibia.eu. Vous pouvez être accompagné sans reste à charge, donc c'est gratuit, sur les premières phases. Et on va même vous aider à, comme je le disais, trouver la bonne solution et aller chercher du financement pour la trouver. Donc c'est une super expérimentation, je pense. Donc il ne faut pas hésiter à nous contacter.
Cybiah
Et en plus, c'est extrêmement simple, puisqu'en fait, c'est un rendez-vous avec un expert, si je ne dis pas de bêtises. il y a un audit qui est fait. En gros, on va vérifier que les fondamentaux sont bien respectés. Et derrière, un peu tout le spectre et toute l'exposition numérique de la PME, c'est ça, pour ensuite couvrir et trouver les bonnes solutions sur toutes les vulnérabilités qu'on peut identifier.
Yann Bonnet
Exactement. Donc, on va vraiment accompagner depuis le début la PME ou la petite collectivité pour bien comprendre le contexte, pour voir les points de progrès possibles. Et nous, on est tiers de confiance entre les PME et les offreurs pour faire en sorte que ce soit le plus efficace et qu'on utilise vraiment les solutions qui soient adaptées.
Cybiah
Parce qu'en termes de cybersécurité, justement, est-ce qu'il n'y a pas un peu cette notion de ça fait peur à tout le monde ? Je crois qu'il y a 83% des Français, d'après une étude, qui sont concernés par ça. Est-ce qu'il n'y a pas ce côté, on en a tous peur, mais au final, on est très peu protégé à l'exposition. Et donc, rien que le fait de respecter les premiers fondamentaux de la cybersécurité, réduit la probabilité de se faire attaquer et réduit aussi l'exposition qu'on peut avoir en cas d'attaque et donc les conséquences.
Yann Bonnet
C'est clair, c'est pour ça qu'il faut avoir ces réflexes. L'image que j'aime bien prendre, c'est comme quand on rentre dans une voiture, maintenant on a tous le réflexe de mettre la ceinture de sécurité. Bien sûr, si on va trop vite et qu'on a malheureusement un accident qui est dramatique, ça peut mal se terminer, mais la plupart du temps, ça peut sauver des vies. Donc voilà, il y a des gestes simples comme mettre une ceinture qui peut se sauver des vies, et c'est exactement la même chose dans le domaine cyber. Il y a un certain nombre de réflexes à avoir, plus ou moins avancés, qui permettent de garantir que le jour où on sera attaqué, on va pouvoir retrouver ces données et ne pas être bloqué.
Cybiah
J'aime bien cette comparaison en mode de l'automobile. En fait, là, on est un peu dans les... Les années 50-60 quand la ceinture de sécurité vient d'être inventée mais qu'on a encore peu de régulations, pas forcément de limites sur les routes. Là, c'est pareil, on n'a pas forcément de limites ou du moins on n'est pas trop conscient des risques qu'on prend sur Internet. Et il y a un point qui est assez intéressant, c'est qu'il y a la directive NIS 2 qui a été publiée. On avait également la réglementation DORA qui entre en vigueur, si je ne dis pas de bêtises, en 2025. Qu'est-ce que cherche à faire l'Union européenne, puisque ça émane de l'Union européenne ? Et comment ça va se traduire concrètement dans le quotidien des utilisateurs, des entreprises ?
Yann Bonnet
Globalement, on peut s'en rentrer dans les détails, mais je pense que la commission cherche à faire qu'on puisse avoir confiance dans cet univers numérique qui, encore une fois, nous apporte énormément de bonnes choses. Pour une PME, il n'a jamais été aussi simple de toucher largement plein de prospects, de clients, pour des coûts qui parfois sont quand même assez faibles par rapport à... à quelques années, mais en même temps, il y a cette dépendance au numérique qui est importante et qui, comme je disais tout à l'heure, peut entraîner de nouvelles menaces. Donc c'est extrêmement important, à travers ces réglementations, d'essayer d'embarquer le maximum de personnes et que ce ne soit pas uniquement que les très gros acteurs qui sachent se protéger parce qu'on a cet état de rechercher de cybersécurité, d'être en cybersécurité. C'est quelque chose qu'on peut souhaiter à tout le monde et qui ne doit pas être réservé que à certains acteurs.
Cybiah
Donc si je vous comprends bien, c'est qu'on ne pourra jamais, comme encore une fois, sur la route éviter l'accident, éviter le choc. Par contre, entre guillemets, notre obligation individuelle, qu'on soit particulier, salarié, chef d'entreprise, c'est de chaque jour mettre en place des sécurités pour éviter qu'on ne meure, entre guillemets. s'il y a une attaque.
Yann Bonnet
Exactement.
Cybiah
Et on a vu quand même qu'il y avait beaucoup d'attaques. On en parlait avant ce podcast, il y a eu donc France Travail, il y a eu beaucoup d'autres exemples, les hôpitaux qui ont été touchés, même la Fédération française de football avec à chaque fois des millions de données personnelles qui sont diffusées. Mais là, on arrive dans une phase où la France va être beaucoup exposée. Est-ce qu'au final, on est prêt pour les entreprises, pour l'État ? à accueillir les JO sur un plan de la cybersécurité ?
Yann Bonnet
Alors les JO, ça va être un moment qui est très important, qui a une portée planétaire où beaucoup de personnes autour du monde vont être focalisées sur la France pour ce moment de sport. Mais effectivement, on a noté déjà depuis quelques années que lors des JO, du fait... que ce soit ce focus très important sur un pays, il y a un certain nombre d'acteurs qui en profitent pour, notamment dans le domaine du numérique, essayer de porter atteinte à l'image d'un pays. Alors, face à cette situation, on a des acteurs comme l'ANSI, l'Agence de Cybersécurité de l'État, qui travaille depuis plus de deux ans sur le sujet pour préparer, anticiper les différents types d'attaques. qu'il pourrait y avoir, en tout cas sur les points les plus importants dans le cadre des JO. Donc voilà, on se prépare collectivement avec des acteurs et c'est l'ANSI qui coordonne tout ça avec tous les acteurs concernés. Ça va être un moment qui va être assez important, on va avoir des attaques un peu partout, probablement, mais on a préparé, les acteurs concernés ont préparé au maximum pour que on puisse se... faire en sorte de se focaliser sur les attaques les plus importantes et que les JO se passent bien. C'est aussi un moyen d'élever notre niveau de sécurité cyber, notre niveau de maturité cyber. Donc c'est aussi positif, in fine, parce qu'avec cette échéance, je pense qu'on aura augmenté notre niveau de sécurité.
Cybiah
C'était effectivement ma question de suite, de savoir si les événements stressants, enfin, parce qu'au final, tous ces événements n'étaient pas des stress tests. et n'étaient pas des opportunités de monter en compétences, surtout que vous parliez beaucoup de l'ANSI, mais il me semble qu'il y a beaucoup d'acteurs qui œuvrent dans le monde de la cybersécurité. Est-ce que vous pouvez nous donner un peu de visibilité sur tous ces acteurs et nous aider à comprendre comment tout ça s'articule ?
Yann Bonnet
Juste avant, effectivement, l'entraînement, c'est quelque chose d'extrêmement important dans la cybersécurité. On peut mettre plein de... acheter plein de choses et compagnie, mais si on ne s'est pas entraîné au moment où il va se passer quelque chose d'une crise, c'est très compliqué. Donc il faut vraiment, on apprend énormément en pratiquant et si possible dans l'entraînement plutôt que sur une vraie crise où là c'est compliqué pour apprendre. Vis-à-vis de l'écosystème, cyber est extrêmement varié. On a... à la fois des acteurs publics, avec l'agence de cybersécurité, l'ANSI, mais aussi du côté militaire, des acteurs comme le Comcyber, le commandement cyber, des acteurs dans la sphère de renseignement, comme la DGSI, la DGSE, la DRSD. Il y a plein d'acteurs différents qui agissent, et l'ANSI est un peu... le chef d'orchestre de tous ces acteurs. On a des acteurs de la recherche qui s'intéressent heureusement, et je pense notamment à l'INRIA, au CNRS, au CEA, et qui sont très actifs au niveau du campus pour essayer là encore d'avoir un coup d'avance par rapport à ceux qui nous attaquent. On a des acteurs de la formation, on a énormément d'écoles. et des universités qui s'y mettent de plus en plus. Et ça, c'est un énorme enjeu, parce qu'encore une fois, on a une vraie pénurie de talents. On parle de plus de 15 000 postes non pourvus en France. Et donc, dans les prochaines années, ça va augmenter énormément. On a, bien sûr, des entreprises. On a un écosystème qui est très fertile en termes de startups, depuis quelques années. Donc ça, c'est aussi extrêmement important. Et puis, des grands groupes. Je pense à Orange, CyberDéfense... Thalès, à Capgemini, qui sont aussi très actifs dans le domaine de la cybersécurité. Donc un système très varié, très divers.
Cybiah
J'ai l'impression justement que sur la cybersécurité, on a un secteur où il y a beaucoup de synergies entre le civil, le militaire, le renseignement et l'étatique, et ça donne un peu l'impression vous avez fait une métaphore historique tout à l'heure en préparant cette série de podcasts, j'ai eu l'impression un peu de la situation de la marine au XVIIe, XVIIIe siècle, où au final il y avait de la piraterie qui touchait à la fois, qui était à la fois étatique, à la fois commerciale, où en fait les enjeux politiques et financiers se confondaient, et où au final les navires de commerce qu'on pourrait comparer au PME d'aujourd'hui étaient une cible facile à la fois pour ceux qui voulaient de l'argent et à la fois pour les États qui voulaient se nuire entre eux. Est-ce qu'au final on n'est pas dans cette situation aujourd'hui et est-ce que... plus que jamais et dans la cyber, la coopération civile avec le militaire et le renseignement est indispensable.
Yann Bonnet
Moi je suis assez convaincu que face à des menaces de ce type, on ne peut pas juste raisonner que d'un côté les acteurs publics ou les acteurs privés. On a des menaces extrêmement importantes là. Alors il y a des menaces encore plus importantes de mon point de vue qui sont la menace écologique, où là il y a un risque existentiel. Mais bon, on ne va pas plomber le moral de tout le monde. Mais face à des enjeux, des défis qui sont les défis de notre époque, on a besoin d'avoir cette approche écosystème, acteurs publics et privés, pour être plus forts ensemble, pour trouver... Il n'y a pas de fatalité, mais il faut qu'on gagne en maturité et qu'on se sente tous responsables et qu'on agisse pour être plus forts ensemble. Je ne sais pas le dire plus simplement que ça.
Cybiah
Comment ça va se traduire pour les PME, TPE ? Quelles sont les ambitions que vous portez pour faire en sorte de les embarquer et pour faire en sorte que facilement, tout le monde ait sa ceinture de sécurité dans la voiture ?
Yann Bonnet
Déjà, on a conscience que le chantier et le défi, il est énorme. Encore une fois, on compte les TPE et PME, on parle de 3 millions d'acteurs au niveau français. Donc il faut qu'on travaille, on a notre initiative, il y a d'autres initiatives aussi qui sont très belles et avec qui il y a d'autres acteurs avec qui on travaille et qui sont associés je pense à Cybermalveillance, à la BPI, à plein plein d'acteurs de ce type. Alors ce qu'on va faire, ce qu'on est en train de faire, c'est petit à petit essayer d'aller chercher les PME parce que voilà un patron de PME il a son business à gérer en priorité et il va pas au blatement. penser à la cyber tous les matins. Donc on a tout un ensemble d'actions d'aller organiser, alors ça va passer, notamment on va co-organiser avec les mairies de la région des petits événements pour inviter des PME qui sont sur leur territoire pour essayer de les sensibiliser à la thématique et petit à petit les embarquer dans notre process Cibia pour faire en sorte que on les accompagne avec notre expert. sur les gestes importants et adaptés à leur contexte. Donc on va essayer de faire des choses comme ça, des podcasts comme celui que vous êtes en train de faire. Essayer de faire en sorte que ce soit un sujet qui soit grand public. On travaille aussi avec du Mass Media, Radio France, France Télé. On a plein de différentes actions, que ce soit pour sensibiliser ou attirer des nouveaux talents. Et notre idée, c'est d'essayer de... de faire en sorte que ce sujet de la cyber, ça ne soit pas réservé qu'à des experts. C'est un sujet qui nous concerne tous, encore une fois, et où on doit avoir conscience qu'on a tous un rôle à jouer et que tout se passe bien.
Cybiah
On est donc tous responsables de notre hygiène numérique, si j'ai pu le dire. Et vous parliez justement de Cibia. Cibia, l'avantage de ce programme, effectivement, c'est que c'est sain, reste à charge pour les entreprises qui rentrent dans ce programme. Mais est-ce que c'est cher, la cyber ? Est-ce que c'est coûteux ? de mettre en place, j'ai envie de dire, le niveau 1 de la cybersécurité ?
Yann Bonnet
C'est difficile de répondre à cette question, ça dépend vraiment des contextes de chaque entreprise, de chaque organisation. Encore une fois, il y a des gestes simples qui ne sont pas complètement coûteux. Il y a des choses qui sont en fonction des contextes, puis il y a des choses qui peuvent être un peu plus coûteuses que d'autres. En tout cas, c'est important de choisir les bonnes solutions. Et là encore, c'est toute la valeur que... Nos experts vont apporter, on a vraiment cette chance d'être financé, on est co-financé en fait par la Commission européenne à 50% et aussi par la région Île-de-France. Et c'est ces subventions qui nous permettent d'aider, d'expérimenter et de jouer notre rôle de guide vis-à-vis des PME et de faire en sorte que petit à petit, les offreurs arrivent à mieux comprendre les problématiques des PME et adaptent leurs offres pour que... ce coût de la cyber soit le moindre possible et le plus acceptable pour les PME.
Cybiah
Et puis au final, est-ce que pour une PME, ce n'est pas une opportunité d'avoir des mesures cyber en place et de s'être emparé de manière précoce de ces sujets ?
Yann Bonnet
C'est clair que c'est préférable d'anticiper, de voir ça plutôt comme une opportunité, même un argument commercial. Le fait d'être mature d'un point de vue... C'est quelque chose qui va de plus en plus parler et qui parle déjà énormément aux clients.
Cybiah
Et puis, est-ce que ce n'est pas aussi une manière de s'insérer dans la chaîne de valeur de grands groupes ? Parce que justement, vous parliez de ces grands groupes qui sont très en avance sur les questions cyber. La chaîne de valeur des grands groupes, elle est composée d'une multitude de sous-traitants de rang 1, de rang 2, de rang 3 qui sont des TPE-PME. Est-ce que le fait d'être engagé sur une question cyber, ça permet de rentrer plus facilement ? dans ces grands groupes de s'insérer plus facilement dans la chaîne de valeur ? Et est-ce que demain, ce ne sera pas même un prérequis dans les appels d'offres des grands groupes ?
Yann Bonnet
Vous avez raison, je pense qu'on est complètement dans cette philosophie. D'ailleurs, Nice 2, il me semble, va dans ce sens de plus en plus. Pour gagner tel ou tel marché, il va y avoir des demandes, des vérifications, des audits de niveau de conformité ou de niveau de maturité cyber. Et donc... Donc clairement, il y aura les PME qui sont matures, de confiance, que certains grands groupes vont pouvoir faire appel. Et puis les autres qui ont un peu plus de difficultés, probablement à donner confiance à certains grands groupes.
Cybiah
Et le fait de se préparer, ça n'exclut pas le fait d'avoir un jour un problème. On parle de plus en plus d'assurance Uber. Est-ce que c'est la solution ? Et est-ce qu'au final, tout le monde peut y prétendre de manière très simple ? Est-ce que c'est aussi simple que de prendre un contrat automobile ?
Yann Bonnet
C'est un secteur qui est en train d'énormément bouger. L'assurance Uber, la partie positive que je vois, c'est qu'en fait, les assurances vont avoir besoin de faire de la prévention. et faire en sorte que les PME, il ne s'agit pas juste de se dire bon, je prends un contrat d'assurance, c'est bon, je suis assuré Ça, ça ne marchera pas, parce que le jour où vous serez rançonné, vous aurez beau être remboursé sur certaines parties, mais si vous avez perdu tous vos fichiers clients, c'est juste, ça peut être complètement dramatique. Donc les assurances ont intérêt, et les PME aussi, du coup, à faire en sorte d'aller au-delà de juste ce contrat d'assurance. Et souvent dans les contrats, il y a des clauses qui obligent les PME à avoir fait un certain nombre de gestes en amont pour s'assurer que les bons réflexes sont déjà là et les bonnes solutions sont déjà là. Donc c'est quelque chose qui va être... C'est important. Il faut avoir... Ça va être de plus en plus important de... Il va y avoir un marché de plus en plus important sur les assurances cyber. Mais en même temps... il faut avoir ces gestes de prévention en amont pour que tout se passe bien.
Cybiah
Ok c'est comme une assurance qui il y a toujours des prérequis les clés, voilà exactement d'avoir une porte sécurisée pour son assurance habitation c'est exactement pareil. C'est pareil. Sauf qu'aujourd'hui j'ai l'impression que on est tous un peu avec la porte ouverte, les clés dessus et tout le monde peut rentrer dans la maison Est-ce qu'on n'est pas un peu dans ce cadre-là pour beaucoup de PME, TPE ?
Yann Bonnet
Heureusement, c'est en train de bouger. Mais probablement, effectivement, et le pire, c'est que beaucoup n'ont même pas conscience de ça. Mais vous avez raison, je pense que c'est pour ça que c'est important qu'on sensibilise, qu'on sorte de cette naïveté sans être rentré dans une paranoïa énorme. Mais qu'on soit conscient des risques, des menaces et qu'en fonction de notre situation, on prenne les bonnes décisions et qu'on se fasse aider par des gens compétents, de confiance, pour faire en sorte qu'effectivement les clés soient bien fermées quand il faut qu'elles soient fermées.
Cybiah
Et on arrive, je pense, au bout de ce podcast. En sortant, qu'est-ce que vous me conseillez de faire en rentrant au bureau ?
Yann Bonnet
Déjà, retenir que la cybersécurité, ça concerne tout le monde. Ensuite, Allez passer un petit tour du côté du site cybermalveillance.gouv.fr où vous trouverez plein de bons conseils, notamment de gestes simples pour se protéger. Et puis enfin, si vous voulez aller un peu plus loin, allez sur le site Cibia, C-Y-B-I-A-H, une initiative qui est cofinancée par la Commission européenne et par la région, qu'on copilote côté campus. Et avec nos experts, on est là pour... vous accompagner et trouver les bonnes solutions adaptées. C'est sans reste à charge en plus, donc il faut en profiter.
Cybiah
Merci beaucoup Yann d'avoir partagé votre expertise avec nos auditeurs, de nous avoir adressé les bons conseils et de nous avoir sensibilisé sans nous effrayer au final.
Yann Bonnet
Merci à toi.
Cybiah
Vous l'aurez compris tout au long de cette interview avec Yann Bonnet, mettre en place les premiers gestes d'hygiène numérique, ce n'est pas si compliqué. Il vaut mieux privilégier un mot de passe complexe à Maman 2024 ou Chaton ou encore Password, éviter d'envoyer ses mots de passe par SMS ou par mail, ou encore activer une double authentification sur ses applications favorites. Plein de petits gestes qui ne coûtent pas grand-chose, mais qui vous éviteront de longues heures d'angoisse le jour où vos comptes seront compromis. Et dans les prochains épisodes, nous irons encore plus loin. en rencontrant le commissaire de police qui dirige la BL2C, la brigade de lutte contre la cybercriminalité, ou encore le RSSI, c'est-à-dire le grand chef de la sécurité informatique de Paris-Ouest-La Défense. Bref, plein d'experts, de spécialistes, confrontés chaque jour à la cybersécurité qui vous emmèneront de nouveaux éléments pour comprendre cet environnement passionnant. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée, à commenter, noter ce podcast, vos retours nous sont précieux, et également à nous suivre. sur linkedin at sybia, C-Y-B-I-A-H. A très vite.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Ne ratez aucun épisode : abonnez-vous pour découvrir de nombreux conseils pratiques et enrichir vos connaissances en cybersécurité !

À propos de Yann Bonnet

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Yann Bonnet
La question, ce n'est plus de savoir si vous allez être attaqué, mais quand est-ce que vous allez être attaqué. On parle d'une attaque toutes les 11 secondes au niveau mondial, qui dans certains cas peut aboutir à des situations très critiques pour une PME.
Cybiah
Plus 400% d'attaques cyber entre 2020 et 2023, un coût moyen qui varie entre 160 000 euros pour une PME et plusieurs millions pour un grand groupe. plus personne n'est à l'abri d'une compromission de ces systèmes d'information. Alors, devons-nous nous résoudre au fatalisme et attendre sagement que la catastrophe arrive ? Les experts sont unanimes. C'est votre degré de préparation qui préservera vos données, votre santé financière comme votre réputation, et limitera les conséquences de l'attaque. Et c'est là tout notre objectif. Vous donner les clés de compréhension, les fondamentaux cyber, pour que simplement et avec un minimum d'effort, vous adoptiez une bonne hygiène numérique et que vous soyez, vous aussi, cyber-ready. Pour ce premier épisode, nous nous sommes rendus au Campus Cyber, le lieu totem de la cybersécurité en France, pour rencontrer son directeur général délégué, personnalité du domaine internationalement reconnue, aussi à l'aise derrière un clavier qu'un pupitre, j'ai nommé Yann Bonnet. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne, qui offre un accompagnement cyber sur mesure aux TPE et aux PME. produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris-Ouest-La Défense. Cet épisode est réalisé par l'agence GEF. Bonjour Yann Bonnet.
Yann Bonnet
Bonjour.
Cybiah
Nous sommes ravis de vous recevoir pour ce premier épisode. Pouvez-vous commencer par vous présenter s'il vous plaît et revenir un peu sur votre parcours, vous avez le temps que vous voulez.
Yann Bonnet
Bonjour, je suis Yann Bonnet, je suis le DG délégué du Campus Cyber qui est le lieu totem de la cybersécurité en France. On pourra revenir un peu là-dessus. Auparavant, j'étais directeur de cabinet de l'ANSI, qui est l'agence de cybersécurité de l'État. C'est une équipe de plus de 600 experts qui sont rattachés au secrétariat général de la défense et de la sécurité nationale et qui est là pour protéger notamment en priorité les infrastructures critiques de la nation. Et avant ça, je travaillais au Conseil national des numériques, qui est une sorte de think tank gouvernemental qui... qui conseille les présidents de la République sur l'impact du numérique. J'ai eu l'occasion notamment de travailler sur les sujets d'IA avec Cédric Villani, dans ce contexte, pour définir la stratégie de la France sur le sujet, et à la Commission européenne avec un groupe d'experts sur l'IA.
Cybiah
Merci beaucoup pour cette présentation. Concrètement, le CyberCampus au quotidien, c'est quoi ? Ça œuvre à quoi dans le monde de la cybersécurité ?
Yann Bonnet
Ouais, en fait, le campus cyber, c'est un lieu totem. C'est un lieu physique qu'on a ouvert il n'y a pas si longtemps que ça, il y a deux ans. Ça a été impulsé par le président de la République, une mission qui a été confiée à un entrepreneur à succès qui s'appelle Michel Vandenberg, que j'ai eu la chance d'accompagner pour concevoir ce lieu. L'idée du campus, c'est d'être plus fort ensemble. On a un état de la menace cyber qui est assez important, qui est plutôt grandissant. On pourra revenir là-dessus aussi. Et l'idée du campus, c'est d'être plus fort ensemble, je le disais, c'est-à-dire essayer de fédérer les acteurs de l'écosystème pour créer des synergies et inverser le rapport de force par rapport à ceux qui nous attaquent. C'est aussi un moyen de faire rayonner l'excellence française. Donc aujourd'hui, après deux ans concrètement, on a déjà plus de 5500 experts qui ont des accès au niveau du campus. Chaque jour, c'est à peu près 1200... experts qui sont dans ce lieu. C'est assez rare au niveau mondial d'avoir autant d'experts au même endroit. On a en deux ans, je sais pas, fait plus de 700 événements. On a 500 jeunes qui sont en train de se former au sein du campus. Et on a 650 acteurs publics et privés qui contribuent à ce qu'on appelle des communs. C'est des ressources mutualisées, soit en open source ou pour... pour être plus forts ensemble et notamment partager aussi de l'information sur les attaquants, là encore pour être plus forts ensemble. On a trois grandes missions au sein du campus. La première, c'est clairement, notre priorité, c'est les talents. On est en pleine pénurie de talents et donc l'idée, c'est de montrer tout le sens des métiers, de nos métiers de la cyber, c'est des métiers du care, de la protection. Et donc, essayer d'attirer des nouveaux talents, les former. pour être en capacité de mieux se protéger ou de mieux innover dans ce domaine. La deuxième mission, c'est l'innovation. Là aussi, pour essayer d'avoir un coup d'avance par rapport à ceux qui nous attaquent. On travaille beaucoup sur des sujets comme comment on peut utiliser l'IA pour mieux détecter un certain nombre d'attaques, comment on peut utiliser l'IA pour mieux répondre, ou des sujets un peu plus lointains comme la crypto post-quantique. Voilà, il y a plein de sujets comme ça. Et puis enfin, ce lieu, c'est la troisième mission du campus, c'est de protéger, notamment les acteurs qui sont peut-être un peu moins matures, et on va en revenir tout à l'heure, mais notamment je pense aux PME, aux collectivités qui ont besoin de se protéger. Donc c'est un lieu qui est ouvert 24h sur 24, 7 jours sur 7, où il y a des sortes de cyber-pompiers qui sont là pour protéger et intervenir quand il y a des attaques.
Cybiah
Oui, parce que... Qui dit campus dit écosystème, dit une grande variété d'acteurs. Et donc votre objectif, c'est de coordonner tout ça, les pouvoirs publics, les acteurs privés, les startups, tout ce qui intervient dans le monde de la cyber ?
Yann Bonnet
Exactement, c'est d'être plus fort ensemble. Moi, l'image que j'aime bien prendre, c'est tout bête, mais ce qu'on essaye de faire, c'est un écosystème qui est fertile. Un écosystème qui est fertile, c'est comme dans la nature. Un terrain qui produit bien, c'est un terrain où il y a une biodiversité d'acteurs. il y a une biodiversité, et donc là, le campus, il y a une biodiversité d'acteurs, on va revenir là-dessus aussi, et il y a besoin d'un équilibre. Parce que dans la nature, si vous avez un acteur qui est trop dominant, c'est le début de la pollution, et c'est la fin de la chaîne de fertilité, en quelque sorte. Le campus, le numérique, moi, ma conviction, c'est que c'est exactement la même chose. On a besoin de biodiversité, donc ici, au campus, vous pouvez croiser, vous avez croisé tout à l'heure, des jeunes qui viennent... cours, des chercheurs, des enseignants, des startups, des grands groupes, puisqu'on a plus de la moitié du CAC 40 qui est ici. On a, par exemple, toute la communauté des banques, qui sont la première communauté et assurance à se mobiliser énormément au sein du campus pour être plus forts ensemble. Effectivement, c'est des acteurs publics. L'écosystème cyber est très divers, et c'est ce qui fait aussi toute la part de cette richesse.
Cybiah
Et au final ? Pourquoi il y a besoin d'un campus cyber ? Pourquoi il y a besoin de s'emparer des sujets ? Pourquoi il y avait besoin de cette impulsion qui a été amenée par Emmanuel Macron, comme vous disiez, mais qui remonte même à l'échelle européenne ?
Yann Bonnet
En fait, notre société, elle est en train de se numériser déjà depuis quelques années. Et cette numérisation, c'est à la fois un remède et un poison pour notre société. Le numérique, ça va nous permettre plein de super choses. s'éduquer plus facilement, de communiquer à distance, même d'améliorer la détection de certains cancers, plein de choses positives. Mais en même temps, plus notre société se numérise dans notre quotidien, ce n'est pas juste l'ordinateur, ça va être nos voitures, un peu tous les objets qu'on utilise, plus il peut y avoir aussi des nouvelles menaces qui arrivent, et notamment la menace cyber. Et ça, cette menace, on le voit, elle est de plus en plus importante. Il y a un document qui est hyper intéressant que l'ANSI publie, l'ANSI qui est donc l'Agence de Cybersécurité de l'État, chaque année, qui s'appelle l'État de la menace. Et encore cette année, ils ont vu encore une augmentation assez importante de la menace, avec déjà depuis quelques années un peu un transfert de la menace vers les acteurs. les moins matures. Et je pense vraiment notamment aux PME, aux hôpitaux, aux collectivités. Il faut bien comprendre cette menace cyber, c'est pas juste théorique. Un hôpital qui est attaqué dans la minute qui suit, qui est rançonné, donc qui va bloquer l'hôpital contre une rançon, dans la minute qui suit, les infirmiers, les infirmières, les médecins sont complètement désorganisés. Ils savent plus quels médicaments ils ont prescrit à tel ou tel patient. qui est de désorganisation totale. Donc ce n'est pas que quelque chose d'informationnel, c'est quelque chose qui peut nous toucher concrètement et qui peut même aller jusqu'à des choses très humaines. On a une collectivité, une mairie qui est attaquée. Concrètement, c'est une mairie qui ne peut plus gérer parfois les passeports ou même les cimetières. C'est ça, en fait, concrètement, la menace cyber.
Cybiah
Et cette menace cyber, elle vient d'où ? On entend beaucoup parler des ransomware. qui ont un objectif purement pécunier financier, on pique des données et on les rend contre une rançon. Enfin, on les rend pas forcément en plus. Cette menace, elle vient d'où ? Elle s'inscrit dans quel contexte ?
Yann Bonnet
Alors, il y a plusieurs motivations derrière cette menace. On a une première motivation que vous venez d'indiquer qui est l'appât du gain. Donc, c'est des cybercriminels qui sont là pour gagner de l'argent. C'est ça leur motivation. Et donc, effectivement, ils utilisent des méthodes qui sont très très simples, qui demandent... pas énormément de compétences et qui ne coûtent pas très cher à trouver en plus sur des endroits cachés d'internet, mais qui sont bien sûr extrêmement condamnables et qui vont essayer de bloquer un système contre une rançon. Après, il y a une autre motivation qui peut être l'espionnage. On entend un peu moins parler, c'est plus discret, mais ça peut faire tout autant mal, même ça peut avoir des impacts qui sont très importants. Alors de l'espionnage, ça peut être de l'espionnage commercial, politique, et ça peut être derrière différents acteurs, notamment des groupes étatiques, des grosses puissances étatiques qui peuvent, derrière des opérations quasi militaires qui sont programmées pour déstabiliser un pays. Et donc ça, c'est les deux grands types de motivations. Après, il peut y avoir une autre motivation dont on parle encore moins, qui est le sabotage. Et qui là aussi, ça va être des opérations quasi militaires pour essayer de déstabiliser un pays. C'est vraiment là, dans le contexte qu'on est actuellement, c'est une menace qui est totalement possible, vu les problématiques géopolitiques qu'on voit avec l'Ukraine en Israël. Et ce moment... fort que va être les JO en France, ça peut être aussi un autre type de motivation qui est important de bien maîtriser.
Cybiah
Je vais être peut-être volontairement naïf, mais ces menaces, quand on vous écoute, elles paraissent assez macro, elles s'adressent à des acteurs assez importants, les États, les collectivités, les grandes entreprises, pour les patrons de petites entreprises, de moyennes entreprises qui nous écoutent, pour les particuliers. Cette menace, elle existe ? Ou au final, à part s'il y a une question d'opportunisme, le risque est limité ?
Yann Bonnet
Vraiment, le message, on est tous concernés. Il ne faut surtout pas croire que les cybercriminels, par exemple, ne s'intéressent qu'aux gros acteurs. Et même, j'ai envie de dire, ce n'est pas l'inverse, mais les gros acteurs, ils ont depuis des années mis des moyens considérables pour se protéger. Et là, on est... Maintenant, les cybercriminels vont parfois avoir tendance à pêcher Ausha, à lancer le filet très large, et dans leur filet vont attraper tous les acteurs qui n'ont pas du tout préparé cette situation. Ce qu'on dit souvent, c'est que la question, ce n'est plus de savoir si vous allez être attaqué, mais quand est-ce que vous allez être attaqué, et surtout, est-ce que vous allez avoir la résilience, les bons réflexes pour faire face à cette menace ? Clairement, pour les PME, c'est une menace qui est importante. Il faut bien comprendre qu'une PME qui est attaquée, il y a des risques de coûts très importants directs, mais aussi indirects, de perte de confiance des clients. Ce qui, dans certains cas, peut aboutir à des situations très critiques pour une PME. Ça concerne vraiment tout le monde. C'est très important d'avoir ça en tête.
Cybiah
Est-ce qu'on mesure aujourd'hui le nombre d'attaques chaque année sur les PME, les TPE, les grands groupes ? Est-ce qu'on a une idée du préjudice qui est causé à cette entreprise ?
Yann Bonnet
Je n'ai pas une vision complètement à date. Je vous parlais tout à l'heure de l'état de la menace du document publié par l'ANSI. Il y a des chiffres qui sont assez intéressants chaque année. Les chiffres que je peux avoir en tête, c'est qu'on parle d'une attaque toutes les 11 secondes au niveau mondial. Il y a déjà quelques années, on évaluait au niveau mondial à plus de 5 000 milliards le coût de la cyber. C'est considérable. quasiment tous les jours il y a des attaques un peu partout la menace c'est en train de se déplacer vers les acteurs un peu moins matures les PME, les collectivités les hôpitaux c'est vraiment l'affaire de tous il ne faut pas croire que c'est réservé qu'aux autres à part mettre des mots de passe avec une forte protection à part...
Cybiah
Faire en sorte de ne pas envoyer de données sensibles, bancaires, etc. par des moyens non sécurisés. Au final, qu'est-ce que je peux faire ? Parce que la cybersécurité, moi, ça ne me parle pas. J'utilise des outils. Je ne sais pas comment les protéger, comment me protéger au quotidien.
Yann Bonnet
Juste avant de répondre à votre question, j'ai vraiment envie de vous dire un truc. Plus j'avance, plus j'ai l'impression qu'on est dans une situation un peu comme il y a 400 ans. Il y a eu un épisode qui était assez incroyable à Londres, qui s'appelle le grand incendie de Londres. où on savait en fait, les maisons étaient en bois, très rapprochées. Alors il n'y avait que quelques grands nobles qui avaient leur maison un peu de côté, qui avaient des bons réflexes et qui avaient les moyens de bien se protéger contre les incendies. Mais la majorité était un peu consciente mais n'avait pas les bons gestes. Et un jour, l'incendie s'est lancé et une grande partie de Londres, à brûler. Voilà, moi j'ai vraiment l'impression qu'en ce moment on est un peu en train de reprendre un peu... On est un peu dans cette situation où... où malheureusement la majorité des gens n'ont pas encore pris un certain nombre de réflexes de construire des maisons un peu écartées, d'avoir dans les maisons des systèmes ou dans les immeubles, dans les entreprises des systèmes pour détecter les incendies et c'est ça qu'il faut qu'on arrive petit à petit à avoir collectivement, ces fameux réflexes. Alors on parle de différentes choses, vous avez parlé d'hygiène numérique, avant tout dans les trucs simples. effectivement c'est de ne pas être naïve donc on ne clique pas sur n'importe quoi, sur un mail qui nous promet le dernier iPhone qui n'est même pas encore sorti, il faut faire attention il faut mettre à jour effectivement ces appareils régulièrement parce qu'il y a des corrections de sécurité qui se font régulièrement il faut toujours un truc très très simple, c'est de sauvegarder les informations les plus critiques je ne sais pas si vous êtes une PME, vous avez votre fichier client etc... ce fichier-là, faites en sorte de bien le protéger et sur quelque chose qui n'est pas connecté à Internet. Donc régulièrement, et vous vérifiez régulièrement, je ne sais pas, une fois par mois, que vous avez bien accès à ce fichier. Voilà, c'est des petits réflexes, ce n'est pas blâtrément très cher, mais il y a des petits réflexes comme ça à avoir. Alors, pour aller plus loin que ces premiers réflexes, on a justement avec Paris-Ouest-La-Défense et le campus cyber, mis en place une initiative qui s'appelle Cibia, Ciberia Hub, et on a été sélectionné par la Commission européenne pour justement aider des petites PME et des collectivités. C'est une expérimentation, on va essayer de couvrir 150 PME et une cinquantaine de collectivités en trois ans. L'idée c'est vraiment de les accompagner sur les premières phases pour bien les embarquer, bien comprendre quelles sont leurs problématiques. diagnostiquer les sujets les plus importants pour les différents acteurs qu'on va protéger et les accompagner jusqu'au test de différentes solutions. On a recruté des experts cyber qui sont des tiers de confiance. C'est très compliqué pour une PME, même pour un expert cyber, de s'y retrouver. Si on se met du côté des PME, il y a énormément d'offres et de savoir quelle offre est adaptée à son contexte, ce n'est pas si simple. Et si on se met du côté des offreurs, c'est très compliqué parce que les PME, c'est un marché qui est très important. Quand on compte les TPE, c'est 3 ou 4 millions d'organisations. C'est 99% de notre tissu économique. Mais en même temps, c'est très compliqué parce qu'en termes de communication, pour adresser ce marché, c'est... C'est fragmenté. Voilà, c'est très fragmenté. Et donc du coup, nous, le campus cyber avec... Avec cette initiative Cibia, je vous invite à aller sur le site cibia.eu. Vous pouvez être accompagné sans reste à charge, donc c'est gratuit, sur les premières phases. Et on va même vous aider à, comme je le disais, trouver la bonne solution et aller chercher du financement pour la trouver. Donc c'est une super expérimentation, je pense. Donc il ne faut pas hésiter à nous contacter.
Cybiah
Et en plus, c'est extrêmement simple, puisqu'en fait, c'est un rendez-vous avec un expert, si je ne dis pas de bêtises. il y a un audit qui est fait. En gros, on va vérifier que les fondamentaux sont bien respectés. Et derrière, un peu tout le spectre et toute l'exposition numérique de la PME, c'est ça, pour ensuite couvrir et trouver les bonnes solutions sur toutes les vulnérabilités qu'on peut identifier.
Yann Bonnet
Exactement. Donc, on va vraiment accompagner depuis le début la PME ou la petite collectivité pour bien comprendre le contexte, pour voir les points de progrès possibles. Et nous, on est tiers de confiance entre les PME et les offreurs pour faire en sorte que ce soit le plus efficace et qu'on utilise vraiment les solutions qui soient adaptées.
Cybiah
Parce qu'en termes de cybersécurité, justement, est-ce qu'il n'y a pas un peu cette notion de ça fait peur à tout le monde ? Je crois qu'il y a 83% des Français, d'après une étude, qui sont concernés par ça. Est-ce qu'il n'y a pas ce côté, on en a tous peur, mais au final, on est très peu protégé à l'exposition. Et donc, rien que le fait de respecter les premiers fondamentaux de la cybersécurité, réduit la probabilité de se faire attaquer et réduit aussi l'exposition qu'on peut avoir en cas d'attaque et donc les conséquences.
Yann Bonnet
C'est clair, c'est pour ça qu'il faut avoir ces réflexes. L'image que j'aime bien prendre, c'est comme quand on rentre dans une voiture, maintenant on a tous le réflexe de mettre la ceinture de sécurité. Bien sûr, si on va trop vite et qu'on a malheureusement un accident qui est dramatique, ça peut mal se terminer, mais la plupart du temps, ça peut sauver des vies. Donc voilà, il y a des gestes simples comme mettre une ceinture qui peut se sauver des vies, et c'est exactement la même chose dans le domaine cyber. Il y a un certain nombre de réflexes à avoir, plus ou moins avancés, qui permettent de garantir que le jour où on sera attaqué, on va pouvoir retrouver ces données et ne pas être bloqué.
Cybiah
J'aime bien cette comparaison en mode de l'automobile. En fait, là, on est un peu dans les... Les années 50-60 quand la ceinture de sécurité vient d'être inventée mais qu'on a encore peu de régulations, pas forcément de limites sur les routes. Là, c'est pareil, on n'a pas forcément de limites ou du moins on n'est pas trop conscient des risques qu'on prend sur Internet. Et il y a un point qui est assez intéressant, c'est qu'il y a la directive NIS 2 qui a été publiée. On avait également la réglementation DORA qui entre en vigueur, si je ne dis pas de bêtises, en 2025. Qu'est-ce que cherche à faire l'Union européenne, puisque ça émane de l'Union européenne ? Et comment ça va se traduire concrètement dans le quotidien des utilisateurs, des entreprises ?
Yann Bonnet
Globalement, on peut s'en rentrer dans les détails, mais je pense que la commission cherche à faire qu'on puisse avoir confiance dans cet univers numérique qui, encore une fois, nous apporte énormément de bonnes choses. Pour une PME, il n'a jamais été aussi simple de toucher largement plein de prospects, de clients, pour des coûts qui parfois sont quand même assez faibles par rapport à... à quelques années, mais en même temps, il y a cette dépendance au numérique qui est importante et qui, comme je disais tout à l'heure, peut entraîner de nouvelles menaces. Donc c'est extrêmement important, à travers ces réglementations, d'essayer d'embarquer le maximum de personnes et que ce ne soit pas uniquement que les très gros acteurs qui sachent se protéger parce qu'on a cet état de rechercher de cybersécurité, d'être en cybersécurité. C'est quelque chose qu'on peut souhaiter à tout le monde et qui ne doit pas être réservé que à certains acteurs.
Cybiah
Donc si je vous comprends bien, c'est qu'on ne pourra jamais, comme encore une fois, sur la route éviter l'accident, éviter le choc. Par contre, entre guillemets, notre obligation individuelle, qu'on soit particulier, salarié, chef d'entreprise, c'est de chaque jour mettre en place des sécurités pour éviter qu'on ne meure, entre guillemets. s'il y a une attaque.
Yann Bonnet
Exactement.
Cybiah
Et on a vu quand même qu'il y avait beaucoup d'attaques. On en parlait avant ce podcast, il y a eu donc France Travail, il y a eu beaucoup d'autres exemples, les hôpitaux qui ont été touchés, même la Fédération française de football avec à chaque fois des millions de données personnelles qui sont diffusées. Mais là, on arrive dans une phase où la France va être beaucoup exposée. Est-ce qu'au final, on est prêt pour les entreprises, pour l'État ? à accueillir les JO sur un plan de la cybersécurité ?
Yann Bonnet
Alors les JO, ça va être un moment qui est très important, qui a une portée planétaire où beaucoup de personnes autour du monde vont être focalisées sur la France pour ce moment de sport. Mais effectivement, on a noté déjà depuis quelques années que lors des JO, du fait... que ce soit ce focus très important sur un pays, il y a un certain nombre d'acteurs qui en profitent pour, notamment dans le domaine du numérique, essayer de porter atteinte à l'image d'un pays. Alors, face à cette situation, on a des acteurs comme l'ANSI, l'Agence de Cybersécurité de l'État, qui travaille depuis plus de deux ans sur le sujet pour préparer, anticiper les différents types d'attaques. qu'il pourrait y avoir, en tout cas sur les points les plus importants dans le cadre des JO. Donc voilà, on se prépare collectivement avec des acteurs et c'est l'ANSI qui coordonne tout ça avec tous les acteurs concernés. Ça va être un moment qui va être assez important, on va avoir des attaques un peu partout, probablement, mais on a préparé, les acteurs concernés ont préparé au maximum pour que on puisse se... faire en sorte de se focaliser sur les attaques les plus importantes et que les JO se passent bien. C'est aussi un moyen d'élever notre niveau de sécurité cyber, notre niveau de maturité cyber. Donc c'est aussi positif, in fine, parce qu'avec cette échéance, je pense qu'on aura augmenté notre niveau de sécurité.
Cybiah
C'était effectivement ma question de suite, de savoir si les événements stressants, enfin, parce qu'au final, tous ces événements n'étaient pas des stress tests. et n'étaient pas des opportunités de monter en compétences, surtout que vous parliez beaucoup de l'ANSI, mais il me semble qu'il y a beaucoup d'acteurs qui œuvrent dans le monde de la cybersécurité. Est-ce que vous pouvez nous donner un peu de visibilité sur tous ces acteurs et nous aider à comprendre comment tout ça s'articule ?
Yann Bonnet
Juste avant, effectivement, l'entraînement, c'est quelque chose d'extrêmement important dans la cybersécurité. On peut mettre plein de... acheter plein de choses et compagnie, mais si on ne s'est pas entraîné au moment où il va se passer quelque chose d'une crise, c'est très compliqué. Donc il faut vraiment, on apprend énormément en pratiquant et si possible dans l'entraînement plutôt que sur une vraie crise où là c'est compliqué pour apprendre. Vis-à-vis de l'écosystème, cyber est extrêmement varié. On a... à la fois des acteurs publics, avec l'agence de cybersécurité, l'ANSI, mais aussi du côté militaire, des acteurs comme le Comcyber, le commandement cyber, des acteurs dans la sphère de renseignement, comme la DGSI, la DGSE, la DRSD. Il y a plein d'acteurs différents qui agissent, et l'ANSI est un peu... le chef d'orchestre de tous ces acteurs. On a des acteurs de la recherche qui s'intéressent heureusement, et je pense notamment à l'INRIA, au CNRS, au CEA, et qui sont très actifs au niveau du campus pour essayer là encore d'avoir un coup d'avance par rapport à ceux qui nous attaquent. On a des acteurs de la formation, on a énormément d'écoles. et des universités qui s'y mettent de plus en plus. Et ça, c'est un énorme enjeu, parce qu'encore une fois, on a une vraie pénurie de talents. On parle de plus de 15 000 postes non pourvus en France. Et donc, dans les prochaines années, ça va augmenter énormément. On a, bien sûr, des entreprises. On a un écosystème qui est très fertile en termes de startups, depuis quelques années. Donc ça, c'est aussi extrêmement important. Et puis, des grands groupes. Je pense à Orange, CyberDéfense... Thalès, à Capgemini, qui sont aussi très actifs dans le domaine de la cybersécurité. Donc un système très varié, très divers.
Cybiah
J'ai l'impression justement que sur la cybersécurité, on a un secteur où il y a beaucoup de synergies entre le civil, le militaire, le renseignement et l'étatique, et ça donne un peu l'impression vous avez fait une métaphore historique tout à l'heure en préparant cette série de podcasts, j'ai eu l'impression un peu de la situation de la marine au XVIIe, XVIIIe siècle, où au final il y avait de la piraterie qui touchait à la fois, qui était à la fois étatique, à la fois commerciale, où en fait les enjeux politiques et financiers se confondaient, et où au final les navires de commerce qu'on pourrait comparer au PME d'aujourd'hui étaient une cible facile à la fois pour ceux qui voulaient de l'argent et à la fois pour les États qui voulaient se nuire entre eux. Est-ce qu'au final on n'est pas dans cette situation aujourd'hui et est-ce que... plus que jamais et dans la cyber, la coopération civile avec le militaire et le renseignement est indispensable.
Yann Bonnet
Moi je suis assez convaincu que face à des menaces de ce type, on ne peut pas juste raisonner que d'un côté les acteurs publics ou les acteurs privés. On a des menaces extrêmement importantes là. Alors il y a des menaces encore plus importantes de mon point de vue qui sont la menace écologique, où là il y a un risque existentiel. Mais bon, on ne va pas plomber le moral de tout le monde. Mais face à des enjeux, des défis qui sont les défis de notre époque, on a besoin d'avoir cette approche écosystème, acteurs publics et privés, pour être plus forts ensemble, pour trouver... Il n'y a pas de fatalité, mais il faut qu'on gagne en maturité et qu'on se sente tous responsables et qu'on agisse pour être plus forts ensemble. Je ne sais pas le dire plus simplement que ça.
Cybiah
Comment ça va se traduire pour les PME, TPE ? Quelles sont les ambitions que vous portez pour faire en sorte de les embarquer et pour faire en sorte que facilement, tout le monde ait sa ceinture de sécurité dans la voiture ?
Yann Bonnet
Déjà, on a conscience que le chantier et le défi, il est énorme. Encore une fois, on compte les TPE et PME, on parle de 3 millions d'acteurs au niveau français. Donc il faut qu'on travaille, on a notre initiative, il y a d'autres initiatives aussi qui sont très belles et avec qui il y a d'autres acteurs avec qui on travaille et qui sont associés je pense à Cybermalveillance, à la BPI, à plein plein d'acteurs de ce type. Alors ce qu'on va faire, ce qu'on est en train de faire, c'est petit à petit essayer d'aller chercher les PME parce que voilà un patron de PME il a son business à gérer en priorité et il va pas au blatement. penser à la cyber tous les matins. Donc on a tout un ensemble d'actions d'aller organiser, alors ça va passer, notamment on va co-organiser avec les mairies de la région des petits événements pour inviter des PME qui sont sur leur territoire pour essayer de les sensibiliser à la thématique et petit à petit les embarquer dans notre process Cibia pour faire en sorte que on les accompagne avec notre expert. sur les gestes importants et adaptés à leur contexte. Donc on va essayer de faire des choses comme ça, des podcasts comme celui que vous êtes en train de faire. Essayer de faire en sorte que ce soit un sujet qui soit grand public. On travaille aussi avec du Mass Media, Radio France, France Télé. On a plein de différentes actions, que ce soit pour sensibiliser ou attirer des nouveaux talents. Et notre idée, c'est d'essayer de... de faire en sorte que ce sujet de la cyber, ça ne soit pas réservé qu'à des experts. C'est un sujet qui nous concerne tous, encore une fois, et où on doit avoir conscience qu'on a tous un rôle à jouer et que tout se passe bien.
Cybiah
On est donc tous responsables de notre hygiène numérique, si j'ai pu le dire. Et vous parliez justement de Cibia. Cibia, l'avantage de ce programme, effectivement, c'est que c'est sain, reste à charge pour les entreprises qui rentrent dans ce programme. Mais est-ce que c'est cher, la cyber ? Est-ce que c'est coûteux ? de mettre en place, j'ai envie de dire, le niveau 1 de la cybersécurité ?
Yann Bonnet
C'est difficile de répondre à cette question, ça dépend vraiment des contextes de chaque entreprise, de chaque organisation. Encore une fois, il y a des gestes simples qui ne sont pas complètement coûteux. Il y a des choses qui sont en fonction des contextes, puis il y a des choses qui peuvent être un peu plus coûteuses que d'autres. En tout cas, c'est important de choisir les bonnes solutions. Et là encore, c'est toute la valeur que... Nos experts vont apporter, on a vraiment cette chance d'être financé, on est co-financé en fait par la Commission européenne à 50% et aussi par la région Île-de-France. Et c'est ces subventions qui nous permettent d'aider, d'expérimenter et de jouer notre rôle de guide vis-à-vis des PME et de faire en sorte que petit à petit, les offreurs arrivent à mieux comprendre les problématiques des PME et adaptent leurs offres pour que... ce coût de la cyber soit le moindre possible et le plus acceptable pour les PME.
Cybiah
Et puis au final, est-ce que pour une PME, ce n'est pas une opportunité d'avoir des mesures cyber en place et de s'être emparé de manière précoce de ces sujets ?
Yann Bonnet
C'est clair que c'est préférable d'anticiper, de voir ça plutôt comme une opportunité, même un argument commercial. Le fait d'être mature d'un point de vue... C'est quelque chose qui va de plus en plus parler et qui parle déjà énormément aux clients.
Cybiah
Et puis, est-ce que ce n'est pas aussi une manière de s'insérer dans la chaîne de valeur de grands groupes ? Parce que justement, vous parliez de ces grands groupes qui sont très en avance sur les questions cyber. La chaîne de valeur des grands groupes, elle est composée d'une multitude de sous-traitants de rang 1, de rang 2, de rang 3 qui sont des TPE-PME. Est-ce que le fait d'être engagé sur une question cyber, ça permet de rentrer plus facilement ? dans ces grands groupes de s'insérer plus facilement dans la chaîne de valeur ? Et est-ce que demain, ce ne sera pas même un prérequis dans les appels d'offres des grands groupes ?
Yann Bonnet
Vous avez raison, je pense qu'on est complètement dans cette philosophie. D'ailleurs, Nice 2, il me semble, va dans ce sens de plus en plus. Pour gagner tel ou tel marché, il va y avoir des demandes, des vérifications, des audits de niveau de conformité ou de niveau de maturité cyber. Et donc... Donc clairement, il y aura les PME qui sont matures, de confiance, que certains grands groupes vont pouvoir faire appel. Et puis les autres qui ont un peu plus de difficultés, probablement à donner confiance à certains grands groupes.
Cybiah
Et le fait de se préparer, ça n'exclut pas le fait d'avoir un jour un problème. On parle de plus en plus d'assurance Uber. Est-ce que c'est la solution ? Et est-ce qu'au final, tout le monde peut y prétendre de manière très simple ? Est-ce que c'est aussi simple que de prendre un contrat automobile ?
Yann Bonnet
C'est un secteur qui est en train d'énormément bouger. L'assurance Uber, la partie positive que je vois, c'est qu'en fait, les assurances vont avoir besoin de faire de la prévention. et faire en sorte que les PME, il ne s'agit pas juste de se dire bon, je prends un contrat d'assurance, c'est bon, je suis assuré Ça, ça ne marchera pas, parce que le jour où vous serez rançonné, vous aurez beau être remboursé sur certaines parties, mais si vous avez perdu tous vos fichiers clients, c'est juste, ça peut être complètement dramatique. Donc les assurances ont intérêt, et les PME aussi, du coup, à faire en sorte d'aller au-delà de juste ce contrat d'assurance. Et souvent dans les contrats, il y a des clauses qui obligent les PME à avoir fait un certain nombre de gestes en amont pour s'assurer que les bons réflexes sont déjà là et les bonnes solutions sont déjà là. Donc c'est quelque chose qui va être... C'est important. Il faut avoir... Ça va être de plus en plus important de... Il va y avoir un marché de plus en plus important sur les assurances cyber. Mais en même temps... il faut avoir ces gestes de prévention en amont pour que tout se passe bien.
Cybiah
Ok c'est comme une assurance qui il y a toujours des prérequis les clés, voilà exactement d'avoir une porte sécurisée pour son assurance habitation c'est exactement pareil. C'est pareil. Sauf qu'aujourd'hui j'ai l'impression que on est tous un peu avec la porte ouverte, les clés dessus et tout le monde peut rentrer dans la maison Est-ce qu'on n'est pas un peu dans ce cadre-là pour beaucoup de PME, TPE ?
Yann Bonnet
Heureusement, c'est en train de bouger. Mais probablement, effectivement, et le pire, c'est que beaucoup n'ont même pas conscience de ça. Mais vous avez raison, je pense que c'est pour ça que c'est important qu'on sensibilise, qu'on sorte de cette naïveté sans être rentré dans une paranoïa énorme. Mais qu'on soit conscient des risques, des menaces et qu'en fonction de notre situation, on prenne les bonnes décisions et qu'on se fasse aider par des gens compétents, de confiance, pour faire en sorte qu'effectivement les clés soient bien fermées quand il faut qu'elles soient fermées.
Cybiah
Et on arrive, je pense, au bout de ce podcast. En sortant, qu'est-ce que vous me conseillez de faire en rentrant au bureau ?
Yann Bonnet
Déjà, retenir que la cybersécurité, ça concerne tout le monde. Ensuite, Allez passer un petit tour du côté du site cybermalveillance.gouv.fr où vous trouverez plein de bons conseils, notamment de gestes simples pour se protéger. Et puis enfin, si vous voulez aller un peu plus loin, allez sur le site Cibia, C-Y-B-I-A-H, une initiative qui est cofinancée par la Commission européenne et par la région, qu'on copilote côté campus. Et avec nos experts, on est là pour... vous accompagner et trouver les bonnes solutions adaptées. C'est sans reste à charge en plus, donc il faut en profiter.
Cybiah
Merci beaucoup Yann d'avoir partagé votre expertise avec nos auditeurs, de nous avoir adressé les bons conseils et de nous avoir sensibilisé sans nous effrayer au final.
Yann Bonnet
Merci à toi.
Cybiah
Vous l'aurez compris tout au long de cette interview avec Yann Bonnet, mettre en place les premiers gestes d'hygiène numérique, ce n'est pas si compliqué. Il vaut mieux privilégier un mot de passe complexe à Maman 2024 ou Chaton ou encore Password, éviter d'envoyer ses mots de passe par SMS ou par mail, ou encore activer une double authentification sur ses applications favorites. Plein de petits gestes qui ne coûtent pas grand-chose, mais qui vous éviteront de longues heures d'angoisse le jour où vos comptes seront compromis. Et dans les prochains épisodes, nous irons encore plus loin. en rencontrant le commissaire de police qui dirige la BL2C, la brigade de lutte contre la cybercriminalité, ou encore le RSSI, c'est-à-dire le grand chef de la sécurité informatique de Paris-Ouest-La Défense. Bref, plein d'experts, de spécialistes, confrontés chaque jour à la cybersécurité qui vous emmèneront de nouveaux éléments pour comprendre cet environnement passionnant. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée, à commenter, noter ce podcast, vos retours nous sont précieux, et également à nous suivre. sur linkedin at sybia, C-Y-B-I-A-H. A très vite.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed