- Speaker #0
Il suffit d'avoir une connexion Wi-Fi, d'être planqué en Russie, on peut attaquer le monde entier. C'est la base de données de marketing pour vendre des piscines ou des kilos de poireaux. Est-ce que ça, ça mérite une énorme protection technique ? Je ne crois pas. Quand on dit ça, on a l'impression d'être devenu intelligent, donc ça fait plaisir. Je branche un disque dur externe, je fais la sauce garable, je débranche le disque dur externe, je rentre chez moi avec mon Mac, j'ai un autre disque dur. Je me suis devenu complètement parano.
- Speaker #1
Bienvenue sur Parlons Data en France, le podcast de Société.com. Chaque mois, nous explorons comment nos datas ouvertes révolutionnent notre paysage institutionnel et économique. Et à chaque épisode, nous recevons un invité avec qui nous tentons de voir comment concrètement il intègre ses datas dans ses organisations stratégiques ou la manière dont il travaille. Aujourd'hui, nous recevons Marc-Antoine Ledieu, avocat spécialisé dans le droit du numérique et la cybersécurité. Salut Marc-Antoine.
- Speaker #0
Bonjour Guillaume.
- Speaker #1
Salut Marc-Antoine, du coup tu es avocat spécialisé en cybersécurité et en droit du numérique. Est-ce que tu peux nous expliquer comment on se spécialise quand on est avocat sur ces thématiques-là ?
- Speaker #0
Eh bien, il se trouve que par une... moi j'ai toujours été intéressé par la tech. J'ai une formation d'avocat extrêmement classique en droit des affaires, droit des contrats. Contra B2B, le business entre guillemets, et passionné par les techs très rapidement après cinq années où j'ai été plaidé d'états de choses inintéressantes. Dans tous les tribunaux de France, je suis rentré dans un cabinet qui était déjà très spécialisé en nouvelles technos. J'en ai fait un deuxième où on a fait tout le droit de l'internet. Et en fait, j'ai découvert le droit du logiciel pour professionnels, les licences, les sessions de logiciel, les ventes. Ça se développe, ça se commercialise. De là, j'ai basculé sur les données personnelles, les données à caractère personnel, et puis les bases de données numériques. Et puis en 2013, on a eu une loi tout à fait particulière en France qui s'appelait la loi sur les opérateurs d'importance vitale, les systèmes d'information d'importance vitale. Et donc c'était la première loi au monde, à ma connaissance, sur la sécurité des systèmes d'information. Et ça m'a beaucoup intéressé, parce que je ne comprenais pas ce qu'il y avait marqué dans ces lois. Donc, sans tant qu'il fallait évoluer avec son temps, j'ai beaucoup travaillé, notamment en écoutant beaucoup de podcasts d'ailleurs. Et je me suis formé à la partie technique du numérique pour comprendre quelles étaient les problématiques de sécurité, pourquoi on en arrivait à des lois comme la loi sur les systèmes d'information d'importance vitale. Donc déjà, un petit, ça fait peur. C'est une législation militaire au départ qui s'applique aux entreprises civiles qui travaillent pour des secteurs d'importance vitale. Donc ça fait à peu près, à l'époque, on est en 2013-2015, c'était à peu près 500 entreprises et entités. Les grands ports, les aéroports, les infrastructures des télécoms, ce qui permet de faire fonctionner l'électricité, les transports au sens large. Bref. Et puis, en 2017, le monde entier a subi une série de cyberattaques emblématiques, vraiment, qui sont restées entre guillemets célèbres, qui étaient NotPetya d'abord et WannaCry. Non, c'est dans le sens inverse. C'est WannaCry d'abord et NotPetya ensuite. Et dans les six mois qui ont suivi, donc là, on est mi-2017, et dans les six mois qui ont suivi, les banques ont commencé à proposer à leurs prestataires IT, donc ils faisaient des développements logiciels ou des services en mode cloud, software as a service, des années de sécurité, qui étaient écrites de manière tout à fait artistique, parce qu'on n'avait pas bien compris comment ça se passait. Et de là-dessus, j'ai commencé à beaucoup bosser sur ces thématiques-là. Et de là-dessus, on a pris une série de réglementations de l'Union européenne, donc obligatoires dans les 27 États membres. Et le tremblement de terre est intervenu le 14 décembre 2022, publié le 27 décembre. On avait au JO de l'Union européenne, d'abord une directive sur la sécurité des réseaux et des systèmes d'information. Des entreprises essentielles, des entreprises importantes, après c'est assez technique, dans le vocabulaire, c'est des mesures de sécurité obligatoires pour toutes les entreprises impactées. Là, on disait des entités essentielles pour des services essentiels, des entités importantes. Le même jour, on a pris un règlement européen spécial de cybersécurité pour banques, assurances, chambres de compensation, bourses, places de marché au sens bourse, qui a été un tremblement de terre. Et depuis, les législations UE, donc vraiment d'origine Europe, se multiplient. Et on a pris la dernière, alors on avait pris le RGPD, ça c'est un peu de l'éthique, donc on n'en parlera pas trop. C'est de l'éthique pure et dure. On a pris l'IA Act, donc c'est toute la réglementation IA qui est une réglementation. purement éthique. Quel cas d'usage ? Là c'est bien, là c'est pas bien, là il faut faire ça. Bon, c'est de l'éthique. Et on a pris juste la fin décembre, non c'était en octobre, pardon. Le 23 octobre 2024, une réglementation qui va se déployer à partir de 2026 et fin 2027 sur la sécurité obligatoire des produits avec logiciel connecté. Ok. Ça, ça concerne tout... Tu es ordinateur, tout, non ? Professionnel, personnel, tout le monde. Et c'est des règles, il y a 13 règles cyber, 8 règles vulnérabilité, voilà. Et nous, on s'est spécialisé là-dedans parce qu'il faut une approche extrêmement technique pour comprendre. Et c'est un tremblement de terre puisqu'il n'y a jamais eu de sécurité obligatoire avant fin 2022 dans l'Union européenne. Dans le monde, c'est une catastrophe aux Etats-Unis. On parle de cybersécurité, on ne parle pas d'action offensive, on ne parle pas de cyberespionnage, de diffusion d'informations. fausses dans le cadre des guerres hybrides. Et nous, avocats, on s'est mis au milieu en étant capables de comprendre la législation et de proposer toutes les annexes techniques et juridiques qui sont aujourd'hui obligatoires pour tous ces opérateurs.
- Speaker #1
C'est intéressant que tu parles de la partie militaire même de la chose et que le début de la règle était militaire à un moment. J'ai lu récemment que le ministère des Armées, après avoir une arme... de l'armée de terre, l'armée de l'air, etc. Il y a une arme qui est le cyber, la cybersécurité.
- Speaker #0
Alors, il y a un commandement cyber, maintenant, qui existe en France depuis 2-3 ans maximum. Et j'ai même découvert, 1er janvier ou 1er février 2025, la France a créé un régiment de cyberdéfense. C'est ça. Qui est installé en Bretagne, du côté de Rennes, je crois. Donc, c'est un premier régiment complet, dédié à la cyberdéfense.
- Speaker #1
C'est ça. Et tu parlais du monde, tu nous considères... Enfin, avec... ton prisme de vision sur la data et sur la cybersécurité, en tout cas en France, puisque ça s'appelle Parlons Data en France ici, par rapport au monde, tu disais, les États-Unis ont l'air d'être défaillants parfois sur certains trucs, tu nous positionnerais comment, on va dire en vulgarisation, éducation autour de la cybersécurité, des entreprises, des organes d'État ?
- Speaker #0
Alors la France est nulle, comme l'ensemble des pays d'Europe, comme l'ensemble des pays du monde, c'est une catastrophe mondiale. On a construit en fait toutes nos infrastructures numériques. depuis la création de l'Internet. Internet V1, IP V1. TCP IP V1, c'est 1973. Donc, ça fait 50 ans.
- Speaker #1
Et c'était en France ?
- Speaker #0
Non, c'était quand même une norme qui venait franchement des Etats-Unis. On avait un réseau un peu militaire qui s'appelait ARPANET, qui a servi d'essai. Là, on est dans les années 69. Je crois que la fixation d'ARPANET, c'est 69. Donc, c'est ce système de transfert de paquets qui permet d'envoyer des messages avec des biais différents, par des chemins différents. Donc, c'est... Internet Protocol. Et la finalisation de la version civile, la norme utilisable pour des communications électroniques, c'est 1973. Et ce qui est fascinant, c'est que ça marche très bien. On n'est plus à l'IPV1, on est à AV4, IPV6 dans certains endroits. Mais ça, c'est de l'infrastructure, donc personne ne le voit, à part quelques professionnels. Par contre, ce qui est certain, c'est que depuis que ça existe, et ensuite, on a le matériel. Donc, on a toute la partie serveur, les routeurs, les switches, tout ce qu'on veut, très bien. Et on a aussi les terminaux, les PC, les Mac, les téléphones aujourd'hui. Nos smartphones sont des ordinateurs d'une puissance phénoménale. Et là, ça n'a jamais été pensé pour des raisons de sécurité.
- Speaker #1
Jamais ? Jamais.
- Speaker #0
Depuis le début, jamais ? Jamais. Donc, on a déployé massivement ces outils, donc matériel, logiciel, et donc les transferts de data qui vont avec, bien sûr. n'ont jamais été pensés pour être sécurisés. Donc on se retrouve aujourd'hui, après une série de cyberattaques mondiales, avec le phénomène de l'espionnage opéré de manière électronique, enfin numérique, pardon, à l'échelle mondiale dans des proportions absolument folles. On se retrouve aussi avec un phénomène de criminalité qui rapporte des montagnes d'oseille, disons-le clairement.
- Speaker #1
Il paraît plus que la drogue.
- Speaker #0
Plus que la drogue et la prostitution réunies, disent les statistiques qu'on ne saurait citer. Mais enfin, on sait que ça représente des sommes phénoménales. On sait que la Corée du Nord finance une partie de son budget de l'État grâce aux crypto-monnaies volées suite à des phishings, à des intrusions dans les systèmes d'information. Ils en ont fait un racket d'États avec des unités constituées. C'est un mode de financement de l'État. On le sait, ils sont assez actifs, ils sont assez bons. Alors que c'est le pays au monde qui est le moins connecté à l'Internet. C'est absolument stupéfiant. Il y a ce phénomène mondial aujourd'hui qui est très problématique. On passe l'espionnage industriel, le harcèlement à titre individuel sur les réseaux sociaux avec les brouteurs. Mais on constate aujourd'hui, au bout de 50 ans de création pratiquement de tous ces outils, que rien n'a été pensé pour faire la séance.
- Speaker #1
On a un rattrapage constant.
- Speaker #0
C'est phénoménal.
- Speaker #1
Les voleurs ont eu une longueur d'avance sur la police.
- Speaker #0
Les voleurs, les espions, les malhonnêtes, la police quand même assez encadrée. La police, la gendarmerie, ils travaillent assez proprement d'après le code de procédure pénale en France. Donc là, on n'est pas très inquiets. Mais par contre, les notions de sécurité sont absentes. Ce qui a aggravé le phénomène de la collecte massive de data, puisqu'il n'y avait pas de sécurité. Donc, il suffisait de trouver une feuille pour aller télécharger. de la musique, des films, des bandes dessinées, sait-on jamais, enfin l'ensemble des contenus qu'on a pu avoir. Donc à un moment, il y a eu une phase de pillage généralisée laquelle je n'ai pas du tout participé, bien évidemment.
- Speaker #1
Il y avait eu la loi Adopi.
- Speaker #0
La loi Adopi qui était tellement bien écrite.
- Speaker #1
Elle était bien mise en œuvre.
- Speaker #0
La loi Adopi, ils n'avaient visé que le pire tout pire. Donc quand on a vu la loi sortir, tous, on s'est mis à faire du direct dans le lône. Sans rentrer dans le détail un peu technique, mais bon, ces lois ont du mal à courir après. La réalité technique est extrêmement mouvante. Mais le fond, aujourd'hui, il y a des quantités de data qui sont accessibles légalement. C'est phénoménal. On a tout le régime de l'open data, en partie juridique, mais on a tout le régime de l'open data qui a été assez bien pensé. On peut faire un peu de data mining aussi. Là, c'est un peu plus compliqué. Et tout ça, ce sont des réglementations européennes. Donc aujourd'hui, dans mon métier, j'écris des contrats avec notamment toutes ces contraintes données personnelles, parce qu'il faut le faire. D'accord. Et surtout maintenant, les contraintes techniques de sécurisation.
- Speaker #1
Parce que j'allais dire, toi, tu n'aides pas les États, tu aides des entreprises avec le cabinet d'avocats. Et aujourd'hui, concrètement, quand tu fais de la sécurisation, comme tu dis là, c'est quoi ? C'est des paragraphes en plus dans les contrats ? Oui,
- Speaker #0
ce sont des paragraphes. Conseils matériels ? C'est-à-dire qu'aujourd'hui, en fait, le raisonnement, il est assez simple à comprendre. Comme la répression pénale des attaquants, quels qu'ils soient. ne fonctionne pas. Il suffit d'avoir une connexion Wi-Fi, d'être planqué en Russie, d'avoir des logiciels qui se trouvent à peu près partout, développer ses propres logiciels, on peut attaquer le monde entier. Or, le concept du droit pénal classique, auquel on a tous l'habitude, c'est le territoire national. Donc, une infraction commise sur le territoire national, une intrusion dans un système d'information. Je vais pomper une base de données via un leak, je suis un opérateur télécom mobile, et je suis content d'avoir... 4 ou 9 millions de relevés d'identité bancaire qui sont dans la nature. C'est la réalité d'aujourd'hui. Et bien, comment s'en prendre à des gens qui sont réfugiés dans des états dits non coopératifs ? Premier rang desquels, on a la Russie, bien sûr. Il y a l'Asie du Sud-Est quand même, qui est bien aussi pour une partie de cette industrie. Donc le phénomène de la répression classique, toi voleur, moi police, moi attrapé voleur, toi jugé, toi allé en prison, qui existe dans nos sociétés occidentales depuis un bon moment. même assez largement répondu, ça ne fonctionne plus. J'allais te dire,
- Speaker #1
à quoi sert un avocat si du coup...
- Speaker #0
Nous y arrivons, le meilleur arrive. Donc on s'est rendu compte que réprimer les attaquants au sens d'un État, d'une organisation, ne fonctionne pas.
- Speaker #1
Il n'y a aucune chance d'arriver à...
- Speaker #0
Les cyberattaques, c'est un phénomène qui est massif, je suis bien placé pour vous le dire, parce qu'on m'appelle beaucoup pour... des problèmes qui seraient arrivés sur l'informatique de l'entreprise, ou de l'association, ou de la mairie, ou de qui on veut. Ils sont tous aussi mauvais, donc tout va bien. Techniquement, j'entends. Donc l'Union européenne, déjà, c'est dans sa sphère de compétence, a dit « Bon, on va changer de manière de faire. On va dire maintenant que la répression des attaquants ne fonctionne pas. En plus, c'est du monopole des États. Donc 27 lois pénales, 27 organisations policières. On met un peu de tronc commun, mais... » Ça ne marche pas très bien. Donc, on va changer de paradigme et on va dire maintenant, je vais m'en prendre aux attaqués négligents.
- Speaker #1
Celui qui a laissé la porte ouverte.
- Speaker #0
Exactement. Donc, on va imposer des règles de sécurité extrêmement détaillées. Le CRA, le Cyber Residence Act d'octobre, ma version Word avec des renvois, ça fait 149 pages, écrits petits, avec des sauts de paragraphes. Donc, on en arrive à des législations. Avec des normes techniques, de l'organisationnel, des plans, des procédures, des mesures purement techniques. Et on met tout dans les contrats pour que le jour où ça ne se passe pas bien, on va aller chercher la responsabilité de celui qui a dit qu'il avait fait ça, mais en fait il ne l'a pas fait. Tu as écrit qu'il fallait que tu faisais du double facteur d'authentification pour tes users à profil admin qui gèrent ton système d'information. Mais nous avons la preuve grâce à la cyberattaque que tu ne l'avais pas fait. Donc, c'est toi qui vas porter le chapeau. Donc, toute la structuration de la mécanique juridique, c'est j'impose... Au plus grand nombre. Alors, pour l'instant, c'est des entités essentielles, c'est des entités importantes, c'est des entités financières, c'est des fabricants de matériel avec du logiciel. Donc là, on va commencer à taper assez large quand même. Et puis tout le monde, tous les matériels. Ce n'est pas que la IOT. OK, Alexa, dis-moi si tu peux m'allumer la radio. Non, c'est matériel professionnel à tous les étages. Bref. Et c'est ce qui est en train de sortir et c'est en train d'entrer en vigueur. Et les opérateurs économiques... En clair, les entreprises sont abasourdies parce que pendant 50 ans, ils n'ont pas fait de sécurité et que là, on passe à un niveau de détail qui est absolument stupéfiant. Et je vais faire un parallèle que j'aime bien parce que c'est assez révélateur. C'est une anecdote sur la France, mais qui s'élargit à tout le monde. Dans les années 1890, on va remonter il y a 130 ans, la France avait une des meilleures et des plus fournies industries automobiles. On avait. J'ai lu un chiffre comme 400 constructeurs automobiles en France. Donc c'était vraiment les débuts de l'automobile. Et quand on commence à faire des automobiles, tout le monde ne sait pas conduire, donc il y a des accidents. Alors un accident, deux accidents, dix accidents. Jusqu'à quel stade une société structurée, un État, peut accepter qu'il y ait des accidents sans imposer un permis de conduire ? Parce qu'après tout, ce sont des outils qu'on peut très bien utiliser pour faire des livraisons, pour se déplacer, pour aller en vacances, mais on peut en faire aussi un mauvais usage. volontaires, donc c'est tous les truands qui vont prendre la voiture pour se barrer plus vite que la police qui était à cheval, ok, ou on prend le train, enfin bon, on voit bien l'idée. Et puis de l'autre côté, il y a les négligents, ceux qui ne savent pas et qui causent des accidents, donc des blessés, donc les hôpitaux, donc le mouvement social, bref. Donc dans les années 1910, commence à surgir en France l'idée d'un permis de conduire. Et... Là, il y a eu un mouvement absolument extraordinaire. Ça, c'est une source ouverte. Je me documente beaucoup sur Wikipédia, notamment. Et là, les constructeurs automobiles réunis en syndicats ou en cercles de lobbying, ce qu'on veut, on dit, si vous imposez une ceinture de sécurité, un permis de conduire, pardon, parce qu'on a eu la même chose pour la ceinture de sécurité dans les années 70. Exactement. C'est pareil. Si vous nous imposez un permis de conduire, c'est la mort de notre industrie. Ils ont freiné à mort. Bon, ils ont eu du bol, entre guillemets, à éclater la guerre de 1914. Donc, évidemment, pendant de 1914 à 1918, on s'est moins soucié des problèmes de permis de conduire. Et puis, c'est revenu, forcément, puisque l'industrie, on avait produit massivement. Et dans les années 1920-1922, la mairie de Paris, et puis ensuite, ça s'est répandu dans la France, a imposé un permis de conduire. Et on voit qu'aujourd'hui, puisque nous sommes en 2025, je crois qu'on peut se l'avouer, c'est marrant, l'industrie automobile n'a pas périclité. Eh bien, aujourd'hui, l'industrie informatique se trouve exactement dans la position... de ces constructeurs automobiles qui avaient fleuri de manière très artisanale ou franchement déjà très industrielle, donc il y a 130 ans, 140 ans, et aujourd'hui se trouvent avec des règles de sécurité de bon sens, qui sont toujours toutes les mêmes, d'accord, et ils disent mais on ne va pas y arriver, on n'a pas d'argent, pourquoi nous ? Comment faire ? Y a-t-il un délai ? Et voilà, c'est ça aujourd'hui. la sécurité des systèmes d'informatique.
- Speaker #1
Ou un permis de possession, manipulation, stockage de la data.
- Speaker #0
Quand on stocke, on va stocker sécurisé, on ne va pas l'envoyer n'importe comment, on ne va pas laisser n'importe qui y accéder, mais au sens technique. Est-ce que tu as les droits d'accès sur telle application ? Est-ce que tu as les droits d'accès sur telle base de données ? Est-ce que tu as le besoin d'en connaître ? Est-ce que tu as fait un double facteur d'authentification quand tu vas rentrer ? Est-ce que j'ai mis en place un système de traçabilité complète de toutes tes actions à toi ? professionnels du numérique qui paramètrent tous ces systèmes. Parce que si je me fais trouer, c'est le terme en cybersécurité, délicieux d'ailleurs, quand ils prennent une cyberattaque, ils se sont fait trouer, pôner, poncer, il y a toute une variante. À un moment, on va chercher par où est passé l'attaquant. Parce que on s'est fait voler son login password, on a cliqué sur un lien pourri, il y avait une faille dans le système, une vulnérabilité qui a été exploitée. À un moment, on a besoin de savoir, ne serait-ce que pour que ça s'arrête. Et puis pour éviter que ça recommence, tant qu'à faire. Eh bien, tout ça, ce sont des règles de sécurité assez connues quand même. Moi, ça fait maintenant presque dix ans que je m'intéresse. J'ai l'impression de dire la même chose depuis dix ans et ça n'intéresse personne.
- Speaker #1
Et parce que j'allais te dire, disons pas dans le cas où tu arrives après une attaque, tu arrives avant une attaque, tu fais une sorte d'audit de la société. Et les trois, quatre trucs que tu vois tout le temps et que personne ne respecte, alors qu'ils sont juste... font partie des bases de la cybersécurité pour toi ?
- Speaker #0
Alors, en fait, pour expliquer la... Sans rentrer dans les détails techniques, parce que ça, vraiment, il faut s'intéresser à la matière et c'est dur. En fait, j'ai développé avec une de mes collaboratrices la métaphore des trois petits cochons.
- Speaker #1
Ok.
- Speaker #0
Donc, je suis un grand fan de Tex Avery.
- Speaker #1
J'ai des enfants en bas âge,
- Speaker #0
donc je vois. Voilà, moi, mes gamins ont grandi aujourd'hui, mais je les ai beaucoup nourris au Tex Avery. Et il y a un dessin animé tout à fait génial de 1942, qui est encore protégé par le droit d'auteur, mais bon, bref, qui s'appelait Le Loup Hitler. Et on voyait, donc, Le Loup Hitler qui envahissait tout le monde, puisqu'on est en 42, donc c'était déjà le message à l'époque. Et il affrontait successivement les trois petits cochons. Et en fait, c'est tout. l'histoire de la cybersécurité. Donc le premier petit cochon, il a une maison en paille. Donc c'est le cas généralisé. On arrive devant le système d'information qui est en paille, on souffle un peu, tout s'effondre, c'est 90%, 95% des entreprises. Grande, petite, moyenne.
- Speaker #1
Il n'y a que des maisons en paille.
- Speaker #0
Alors, l'Union Européenne voudrait nous pousser, grâce à ses normes de sécurité, tous les textes que je ne vais pas vous reciter, vers une maison en bois. Ce qui serait déjà une sorte de miracle à un niveau un peu systémique. Parce qu'on peut protéger 500 opérateurs, d'accord ? Mais s'il reste du tissu industriel s'effondre, s'il n'y a plus de banque, s'il n'y a plus d'assurance, s'il n'y a plus d'alimentation, enfin, Rungis bloqué, ça veut dire que les camions ne partent plus de Rungis pour aller livrer les super-recs, les restaurants.
- Speaker #1
T'as strafe en quelques jours. Ok,
- Speaker #0
tout s'arrête, on le sait.
- Speaker #1
Il n'y a rien, c'est plein de petites entreprises, ça.
- Speaker #0
Alors,
- Speaker #1
vous disiez, toutes en maison en paille ? On essayerait juste de faire passer au bois déjà.
- Speaker #0
Alors, personnellement, je pense qu'on devrait commencer l'étape de la tente en toile, sans tapis de sol, parce que globalement, c'est ça, bien sûr. Donc la maison en paille, on n'en parle pas, mais c'est le niveau zéro généralisé. Ensuite, on a le niveau 2, donc la maison en bois, c'est ce vers quoi l'Union européenne voudrait qu'on arrive. C'est-à-dire des structures suffisamment solides pour résister de manière raisonnable à une attaque normale.
- Speaker #1
Que pas le premier type sorti de la chaîne.
- Speaker #0
Que le premier tocard qui a 15 ans, comme j'en ai vu dans mon bureau, avec mon propre Mac, ma connexion Wi-Fi, s'amuse à modifier les panneaux d'affichage de la gare Montparnasse. Avec ma connexion Wi-Fi, moi, avocat ou barreau de Paris. Je me pose un peu un problème. Bon, voilà.
- Speaker #1
Salut la performance.
- Speaker #0
Donc on va essayer d'éviter ça. Donc ça, c'est le niveau 2. Donc c'est la maison en bois. C'est ce vers quoi il faudrait aller au minimum. Et dans ce dessin animé, donc il y a la maison en paille, l'histoire des trois petits cochons, la maison en bois. Et la troisième maison, dans ce linceau animé, c'est génial. Donc, on voit une espèce de maison en bris. Et chaque fenêtre et chaque porte, il y a un canon qui sort. Et pendant ce temps-là, on voit le petit cochon en train de creuser des tranchées. Donc là, il y a l'idée de, on se surblinde. On va même créer des tranchées autour des fois que le loup Hitler arrive. Et en termes de cybersécurité, là, on est dans le top du top. On est à un niveau de protection quasi étatique. Parce que les États subissent des attaques sur leurs infrastructures. Pour des fins d'espionnage et des fins de prépositionnement, tout ce qu'on veut. Bref. Et donc, ça, c'est le niveau ultime. Mais là, on n'y est pas.
- Speaker #1
Et une entreprise ne pourrait pas se le permettre, limite, en termes de finance. Ah oui,
- Speaker #0
si. Mais par contre, il va falloir investir beaucoup.
- Speaker #1
Voilà. Mais il y a aussi un paradigme où, moi, en étant entrepreneur depuis des années, ce n'est pas le premier poste de dépense quand on a une boîte tech de se dire qu'on va faire une paire de sécurité.
- Speaker #0
Parce que la preuve, ça marche depuis 50 ans. Donc, pourquoi aujourd'hui faire de la sécurité ?
- Speaker #1
C'est un budget que tu n'avais pas avant, c'est ça ?
- Speaker #0
Ils s'en foutaient complètement. Alors que, très curieusement... Quand on achète un appartement, une maison, là c'est marrant, on regarde tout de suite la porte d'entrée. Est-ce qu'on va faire une serrure à trois points, une fixation ? Est-ce qu'on va mettre une clé dernier modèle ? Est-ce qu'on va mettre en plus des électroniques avec des caméras ? Ça, c'est marrant pour chez soi, on y pense. Pour son entreprise, dès qu'on va avoir un peu de matériel à l'intérieur, on va s'en soucier quand même. Genre, on me vole tous mes PC, on me vole tous mes serveurs. Bon, ça craint, parce que là on ne travaille plus. Donc c'est marrant, on y pense, sauf... Pour la cybersécurité.
- Speaker #1
Sauf pour les bases de données.
- Speaker #0
La sécurité tout court.
- Speaker #1
Moi je dis toujours bases de données, mais en fait...
- Speaker #0
C'est tout le système d'information. Moi demain, je n'ai plus mon système d'information, je ne peux plus travailler. Je ne peux plus rien faire.
- Speaker #1
Oui, c'est sûr, mais nous non plus.
- Speaker #0
Les backups. Qui gère les backups de l'entreprise ? Comment fait-on des backups ? On a même de la jurisprudence en France qui est sortie tout récemment. Pardon, c'est l'occasion d'en parler.
- Speaker #1
Sur des backups.
- Speaker #0
Sauvegarde, backup, oui. Merci. Une entreprise qui fabrique des portails. Une petite boîte industrielle en Bretagne. Fabrique des portails. En 2019, décide de refondre son système d'information. Qui gère donc l'intégralité de sa production de portails. Sans ordinateur, on ne fabrique plus grand-chose aujourd'hui. Très bien. Donc, ils font un très beau cahier des charges. Ils envoient ça à un prestataire. Le prestataire répond, leur met un prix. Ils disent oui et on avance pas cher. Et puis, six mois plus tard, cyberattaque. de cette petite boîte industrielle, basique en Bretagne, le système d'information est entièrement chiffré, y compris les sauvegardes. Et à ce moment-là, quelqu'un dit, mais y avait-il des sauvegardes déconnectées ? Et personne ne répond. Il n'y avait pas de sauvegarde déconnectée. Donc, à un moment, tout le monde s'énerve. Il faut restaurer le système d'information qui permet de remettre la production en fonction et de se remettre à livrer, vendre, recevoir les approvisionnements, gérer la paie et compagnie. Donc, il y a eu une semaine d'arrêt complet de l'entreprise.
- Speaker #1
Complètement. En rançon, elle était demandée ?
- Speaker #0
Alors, ça, c'est ce que le... Pardon. La rançon, c'est ce que ne dit pas un arrêt de la cour d'appel de Rennes du mois d'octobre-novembre 2024. Donc, c'est tout récent. On ne dit rien sur la rançon. En fait, on est resté sur le problème technique. Et l'histoire en droit était la suivante. Est-ce que le professionnel qui avait refait le système d'information du fabricant de portails cyberattaqués, est-ce que lui, il aurait dû penser à faire des sauvegardes déconnectées ? Alors, il se défend en disant, ah oui, mais nous, on a pris un cahier des charges, on a... allu le cahier des charges, on n'avait pas à en faire plus. Et le tribunal, la cour d'appel même, parce que le tribunal a dit, oui, très bien, la cour d'appel a dit, alors, on va se calmer quand on est un professionnel, le prestataire, quand on se prétend professionnel de la cybersécurité, on doit anticiper ce genre de choses. Et on doit même proposer à son client des options, même payantes, qui correspondent à l'état de l'art. Vous ne l'avez pas fait. Vous êtes responsable.
- Speaker #1
Ok. Donc c'est celui qui perd ses données qui est responsable, c'est celui qui a installé les systèmes d'exploitation ou de stockage qui est responsable. En fait, on a quand même, ne pouvant pas poursuivre ceux qui étaient les vrais coupables, ceux qui ont posé le ransomware.
- Speaker #0
Incrouvable, incrouvable.
- Speaker #1
On s'est dit qu'il valait mieux aller chercher ceux qui...
- Speaker #0
C'est pas ça, c'est l'entreprise cyberattaquée qui à un moment se retrouve avec un préjudice qui est une semaine complète d'arrêt de production, je paye mes salariés pour ne rien faire, pendant ce temps-là je paye des prestataires pour essayer de sauver les meubles. C'est-à-dire pas grand-chose, il n'y avait pas de sauvegarde déconnectée, mais il fallait reconstruire au sens quasi-physique. C'est comme une maison qui a pris un coup de vent. Il n'y a plus de toit, il n'y a plus de fenêtre. Le premier étage s'est effondré. Faux. recommencer. La reconstruction d'un système d'information, en clair, c'est ça. On ne parle pas d'une boîte de 10 000 personnes, pas d'une petite société, mais il fallait tout reprendre. Et ça, ça coûte de l'argent, ça coûte du temps. Donc à un moment, comme ça leur a coûté beaucoup, ils se sont dit « Mais est-ce qu'on a été victime d'une attaque étatique ? » La réponse a été non, c'était un crypto-locker. C'était un lock-bit 3.0, tiens, pour faire très chic. Non, mais quand on dit ça, on a l'impression d'être devenu intelligent, donc ça fait plaisir. Non, mais ils se sont dit à un moment... Mais attends, on vient de refaire tout notre système. Il y a six mois, on se fait défoncer comme des ânes. C'est glorieux comme expression. On se fait trouer comme des... Voilà, on s'est fait mettre minable. Mais est-ce que ce ne serait pas aussi la faute de notre prestataire ? Peut-être qu'il aurait dû nous dire qu'il fallait mettre des sauvegardes déconnectées. Et la cour d'appel de Rennes a dit, effectivement, là, il y a une faute du prestataire dans son devoir de conseil. Et ce n'est pas complètement indégitime, parce qu'on ne peut pas dire d'un côté qu'on est un professionnel de l'informatique et de la cybersécurité, et puis derrière, on ne va pas proposer... C'était en 2020, l'histoire de la cyberattaque. En 2020, le phénomène des cyberattaques, on commençait à en avoir vu un moment, et tout le monde dit que la sauvegarde déconnectée, c'est la base, quoi. Pour le faire en mots simples, moi j'arrive au bureau le matin, mon master c'est mon Mac qui est dupliqué partout, je branche un disque dur externe, je fais la sauvegarde, je débranche le disque dur externe. Je rentre chez moi avec mon Mac, j'ai un autre disque dur. Je suis devenu complètement parano, j'en ai conscience. Mais aujourd'hui, les règles de sécurité pour la data, quelle qu'elle soit, j'arrive chez moi, hop, autre disque dur, 4 Tera, plouc. Le système d'Apple qui marche très bien, j'ai fini la sauvegarde, je déconnecte. Et j'ai une sauvegarde au bureau, j'ai une sauvegarde chez moi. Je peux me faire cyberattaquer.
- Speaker #1
J'allais te dire, tu dis, je suis parano, etc. Mais est-ce qu'on ne devrait pas tous l'être ? Tout à l'heure, tu parlais de passer de la tente ou de la maison en paille vers de la maison en bois. Enfin, tu vois, un entrepreneur comme moi chez Société.com, tous les entrepreneurs qui nous écoutent aujourd'hui, qu'est-ce que tu dois, si tu as deux, trois conseils comme ça, à leur donner, au-delà de celui-ci, par exemple, d'aller faire quand même de la sauvegarde non connectée au réseau ?
- Speaker #0
En fait, ce n'est pas deux, trois conseils, parce que moi, je ne suis pas prestataire de sécurité des systèmes d'information. Moi, je suis là pour accompagner des professionnels qui rentrent dans ce process de cybersécurité, avec des prestataires pros qui, eux, mettent en œuvre. Moi, je ne mets pas en œuvre. Et tout ce que je sais maintenant... donner trois conseils, je vais faire rigoler tout le monde, je suis avocat, donc déjà j'ai l'étiquette du gros menteur qui m'est collé au visage, c'est bon, ça fait 30 ans qu'on me l'a fait, donc je sais. Ce qui est sûr, c'est qu'une démarche de cybersécurité, ça s'organise. Il y a des plans, il y a des mesures, il y a des lois, il y a des règles. Donc à un moment, c'est soit on décide de rentrer dans un vrai process, et on décide de sécuriser l'ensemble, parce que si on laisse un trou dans la raquette... C'est comme si on a... On va réduire ce qu'on appelle la surface d'attaque. Aujourd'hui, on raisonne comme ça. Ah oui, mais ma surface d'attaque, elle est géante, bon, super. Je vais donc la réduire. Si on a mis en place un vrai process, il y a de l'orgas, il y a de la technique, pas trop de juridique, ça va encore. Eh bien, on est en mesure d'organiser à un niveau de risque. Moi, mon risque, c'est quoi ? C'est toutes mes présentations en BD qui me demandent un travail de malade où j'essaie d'expliquer toutes ces lois. J'ai tous mes contrats, j'ai tout le nom de mes clients. J'ai des projets qui sont plus ou moins secrets, secrets professionnels d'avocats. Je ne suis pas secret défense, ok ? Donc quel est le niveau de risque et quel est le niveau de sécurité que je dois appliquer à mon système d'information ? Quel niveau de sécurité pour des entreprises qui rendent des services classiques en matière de data, mais qui touchent de la donnée de santé ? Est-ce que la donnée de santé est plus sensible que la donnée d'avocat ? Ben non, mais c'est très sensible aussi. Si ma base de données de marketing... pour aller envoyer des emails, pour relancer, pour vendre des piscines ou des kilos de poireaux. Est-ce que ça, ça mérite une énorme protection technique ? Je ne crois pas. Et en fait, c'est la difficulté aujourd'hui pour toutes les entreprises et tous les entrepreneurs qui se lancent là-dessus. Je ne parle même pas des pure players du e-commerce, mais c'est de dire, OK, j'ai un risque, quel est mon risque ? Quelle est la mesure de ma réponse à ce risque ? technique, organisationnelle, juridique, etc. Dans quelle mesure je vais faire de la cyber ?
- Speaker #1
Donc c'est une approche globale, tu regardes un petit peu tout et tu vois en fonction de la sensibilité de chacune des bases, etc. On voit en ce moment qu'il y a de plus en plus de fuites de data. Parce que là, tout à l'heure, tu parlais, en fait, il y a l'air d'avoir plusieurs attaques qui peuvent être différentes. Là, c'était une PME pour les portails qui se faisaient attaquer, c'était plus pour une rançon. Ça peut être parfois même pour juste de la destruction et mettre à plat l'entreprise, mais il y a aussi pour aller chercher de la data de l'entreprise et de la data qui n'est... pas en open data, parce que nous, on connaît la data qui est en open data. Et est-ce que la limite est floue ? Est-ce qu'elle est très claire aujourd'hui ? Moi, j'ai toujours dans la tête l'idée de, j'arrive sur Internet, je trouve un lien qui fonctionne avec de la data dessus.
- Speaker #0
Un leak ? On parle d'un leak.
- Speaker #1
Je ne sais pas si c'est un leak, mais en tout cas, un lien qui fonctionne. Et je récupère cette data-là. En gros, il n'y avait pas de clé sur la porte. C'est une fuite de data côté... Prestataire, c'est moi qui suis un voleur ?
- Speaker #0
Alors, quand on sait, je ne crois plus qu'on tombe par hasard sur le leak d'un opérateur télécom mobile avec des millions de ribs dans la nature. Je ne crois pas qu'on tombe par hasard sur ces bases de données. C'est une base de données. On appelle ça un leak, c'est très joli. On appelle ça un leak, donc c'est très joli comme nom. C'est de la donnée volée. OK, on va le faire en mots simples, tout le monde va comprendre. Si je vais récupérer de la donnée volée, je suis recelleur ? Ah oui, non, mais c'était je suis éthique. Alors, le recelleur n'est jamais éthique. Soit c'est dans le code pénal et c'est non. Et celui qui va se faire prendre un jour, ben... Qu'il ne m'appelle pas, je ne dirais pas le défendre parce qu'il faut arrêter de plaisanter. Je veux dire, à un moment, ce n'est pas parce que c'est du numérique qu'il faut perdre son bon sens. Si des données ont été volées, mais que ce soit les fiches de paye de je ne sais pas quoi, le fichier client, le plan stratégique à cinq ans de construction, de vente, de ce qu'on veut, qu'elles soient protégées par la donnée, par la propriété intellectuelle ou pas, ce n'est même pas le problème. C'est de la data. On ne vole pas la data des autres. Il y a un droit, le droit des bases de données, qui protège ça très bien, qui n'est jamais respecté. Mais ça existe.
- Speaker #1
Ok, et du coup, ça me fait rebondir sur un truc parce qu'on en parle énormément. L'IA, parce que l'IA, elle va se servir partout aujourd'hui, en tout cas dans beaucoup de sources de données. Déjà, qu'est-ce que ça a amené en plus dans ton travail quotidien ? Est-ce que ça change quelque chose ? Est-ce qu'il y a plus de fuite possible de data, de nouveaux règlements ?
- Speaker #0
Alors, l'IA, c'est un outil. D'accord. Comme le logiciel au départ. Le logiciel, c'est un outil. Il y a un endroit, on appelle ça les systèmes d'intelligence artificielle, les SIA. Très chic aussi. C'est un outil qui va probablement changer un certain nombre de choses, mais ça reste un outil qui va permettre d'accélérer les bonnes choses. Par exemple, moi, j'ai des process de travail que je vais modifier grâce à l'IA, notamment des comparaisons de documents, des trucs qui sont extrêmement chronophages et qu'on peut demander à une machine. avec un taux de réussite de 99,9% de se faire instantanément, là où nous, ça nous prend des semaines. Donc c'est un apport extraordinaire. On peut se servir d'un système d'IA pour aller attaquer un système d'information. Mais c'est le même problème que la voiture. Une voiture, on peut s'en servir pour transporter des marchandises, pour transporter sa famille, pour aller bosser, ou pour aller servir de bélier sur une façade de bijouterie. L'IA, c'est la même chose. Donc, moi, je n'ai pas d'avis particulier. Le seul apport que je puisse faire dans mon métier, c'est que la loi sur l'IA, qui est de 2024, au mois de juin, je crois, parce qu'on en a pris tellement, j'arrive même plus à retenir les dates, c'est une loi éthique qui dit que, d'abord, l'IA, sur le territoire de l'Union européenne, il y a eu huit usages qui sont interdits. Interdits, purement et simplement. Par exemple... Il est interdit de faire ce que fait la Chine à une très grande échelle qui est le crédit social. C'est filmer en temps réel toutes zones privées, publiques, professionnelles, tout le monde, ficher tout le monde et accorder un score de sociabilité. Donc le crédit social, c'est comme ça que ça s'appelle en Chine.
- Speaker #1
C'est interdit ?
- Speaker #0
Dans l'Union Européenne, c'est interdit. Sanction 7,5% de ton chiffre d'affaires ou... 35 millions, enfin, on fait monter les scores pour être sûr que ça porte. Et il y a 8 cas d'usage, fichage massif d'une population en temps réel, sur une zone très étendue, genre la surveillance policière massive. Donc il y a des cas très posés. On vient de prendre des règles d'interprétation, on a encore 44 pages. Et toute la loi sur l'IA, c'est ça. Et après, on impose des principes, ça, les secteurs dangereux, on va réglementer ça, là c'est moyen dangereux, puis il faut des règles éthiques, bon. Là, l'Union européenne s'est lancée dans un exercice très difficile. J'ai du mal à rentrer dans ce texte tellement c'est dense, c'est compliqué, c'est des concepts, c'est un peu difficile. Mais l'IA n'est jamais qu'un outil qui va probablement changer un certain nombre de choses. C'est certain, mais ça va rester un outil.
- Speaker #1
Mais tu vois, moi, je me pose pas mal de questions de sécurité sur l'IA. Par exemple, tu disais, ça va révolutionner ma manière de travailler. Tu vas, par exemple, mettre dessus, est-ce que tu mettrais un contrat ? Est-ce que tu mettrais de la data d'un client ? C'est hyper dur. Demain, un médecin se fait assister par de l'IA. Est-ce qu'il a le droit que l'IA l'aide à lire un compte-rendu médical ? Parce que dedans, c'est du secret médical. Toi, c'est du secret de la paire.
- Speaker #0
J'espère que l'IA va l'aider à le lire. Et j'espère qu'elle va m'aider à détecter l'ensemble des tumeurs que nous, les humains, on n'est pas capable de détecter. Parce que si l'IA a vu 150 millions de cas et qu'elle est capable de lire avec une grande finesse, que là, il y a un truc, toi, tu ne l'as pas vu, toi, le professionnel, qui va prendre le rapport et qui va les regarder, qui va les vérifier. Si l'IA, c'est un outil d'attitude, c'est une actrice fulgurante. sur des grosses quantités de données. Les médecins, c'est un truc tout à fait révélateur. Moi, je trouve ça absolument génial. Maintenant, comment on le fait ? Le problème, c'est que le monde entier le fait et les Européens, nous, on se pose des règles avec de l'éthique. Parce qu'on est des vieilles démocraties qu'on estime qu'il faut quand même faire des choses un peu bien.
- Speaker #1
Si je me fais l'avocat du diable, est-ce que t'as...
- Speaker #0
Avec le Dieu, c'est dur, mais enfin bon... On peut y aller. On va garder celui-là.
- Speaker #1
Mais si demain, t'uploades, tu vois... Tu es mon avocat, tu vas uploader mes contrats commerciaux, par exemple, sur lesquels tu as un secret professionnel d'avocat. Ou que mon médecin upload ma radio pour faire une détection de tumeur. Parce que l'IA a vu 150 000 radios. Est-ce que ce n'est pas cool que cette radio-là n'y ait pas marqué Guillaume Bertheau dessus ?
- Speaker #0
Esti, mais à ce moment-là, on va faire de la sécurité. Et on va dire, l'IA fait ton travail. Mais à partir de la collecte, le transfert, le traitement et le stockage, donc on a les quatre étapes, ok. On va appliquer des règles de sécurité qui sont des règles connues, des règles de bon sens, des règles de machin. Après, il y a l'éthique. Est-ce que je laisse le nom ? La question est intéressante pour la santé parce qu'on sait que la France est le premier pays au monde producteur de données de santé numérique. La France est le premier pays producteur au monde de données de santé. C'est organisé très tôt. La carte vitale, les dossiers médicaux partagés, les transferts de data. paiements, ordonnances et compagnie, on est super bien numérisé. Donc on sait qu'on a un énorme gisement de data. Alors comment va-t-on l'utiliser ? C'est là où on peut appliquer des règles éthiques en disant soit on fait des statistiques pour faire la détection médicale et on n'a pas besoin d'avoir le nom de tout le monde. Par contre, savoir qu'il y a plus d'hommes, moins de femmes, plus de 35 ans, qui habitent plutôt en Bretagne, mais savoir que c'est monsieur truc ou madame machin, est-ce que ça c'est utile ? Ben c'est ça, c'est le RGPD.
- Speaker #1
Anonymiser avant de...
- Speaker #0
Voilà, on anonymise. On est peut-être capable de revenir, on va peut-être conserver des stocks de data parce qu'on a besoin de rembourser Madame Truc et Monsieur Machin. OK, donc on va avoir des données qui tournent. Est-ce qu'on a besoin de les conserver 50 ans ? Peut-être pas. Est-ce que ces gros lacs de données anonymisées, on pourrait tous piocher dedans ? Ben, pourquoi pas ? Que la profession médicale s'organise. Les notaires ont mis ensemble une base de données de l'ensemble des transactions immobilières. Tu as un invité dans un de tes précédents épisodes qui l'expliquait très bien. Ok, donc on peut avoir de la data, mais on ne sait pas que c'est M. Truc qui a vendu pour tel prix à Mme Machin. On va tout garder, sauf M. Truc, sa date de naissance. Si c'est ça de la data pour arriver à faire du business et la faire analyser, mais allons-y avec l'IA. On va gagner un temps de malade, on va gagner en performance. De temps en temps, il y aura des problèmes. Mais enfin, à un moment, ce que je trouve curieux avec l'IA, c'est que... On dit à l'IA, ah oui, mais là, il y a peut-être un danger. Mais quand nous, humains, on bosse sans IA et sans outils de rien, on se trompe à hauteur de combien de pourcents ? Donc on demande, oui, si on fait des machines, c'est pour qu'elles fassent mieux que nous. On est d'accord. Mais enfin, quand vous avez une IA qui identifie un truc à 99,9% de taux de réussite, OK, on fait contrôler par un humain. Mais enfin, le temps de malade, on va gagner. C'est ça. Donc dire que la data, c'est mal, ou que l'IA, c'est mal, ou que ça, c'est mal. Non, voyons la manière dont on va l'organiser intelligemment. Mais surtout, mettons un peu de sécurité. Parce qu'à un moment, il faut collecter la radio de Monsieur Truc ou de Madame Machin. Et si on collecte n'importe comment et que de toute façon, on retrouve le nom, là, ça devient un vrai problème.
- Speaker #1
Je voulais voir avec toi un autre truc aussi, c'était la blockchain et les smart contrats. Parce qu'on en a beaucoup entendu parler à un moment. Ça allait révolutionner ton métier.
- Speaker #0
Oui.
- Speaker #1
J'ai l'impression qu'on n'en parle plus trop, ça.
- Speaker #0
On en est où ? On en est où ? Alors ce qui est marrant, c'est que comme je suis vraiment dans le business, entre guillemets, de la data depuis quelques années, j'ai vu les modes successifs. Alors ça, c'était super. Et effectivement, la dernière grande mode, bon, maintenant qui est en train de passer un peu, ça a été la blockchain. Donc à un moment, moi, j'ai voulu comprendre techniquement ce que c'était que la blockchain. Et puis ensuite, il y avait les cas d'usage. Alors. techniquement c'est extraordinaire vraiment il faut s'intéresser à l'authentification au chiffrement au droit d'accès donc techniquement c'est un peu trapu moi j'ai beaucoup bossé je crois que j'ai à peu près compris très bien j'ai un client qui faisait de la blockchain as a service de traçabilité ok donc ça l'outil il est imparable il est pas infaillible rien n'est infaillible sauf moi bien sûr le dieu voilà quand même bon une fois qu'on a bien rigolé on sait qu'aucun outil n'est un faillible aucun système qui soit numérique ou qui soit physique enfin bon une blockchain très bien pensée même à base d'open source blockchain ça marche ok mais blockchain de traçabilité d'où vient tel élément alors en fait donc j'ai un client qui fait de la traçabilité de matières premières Ça a été extrait à tel endroit, ça a voyagé comme ça, c'est telle capacité. On vérifie que ce n'est pas un enfant de 5 ans qui est allé dans une mine souterraine au péril de sa vie. Oui, ça permet de faire ça aussi avec une forme de fiabilité douteuse sur la data au départ. Mais enfin, une fois que c'est dans la blockchain, c'est cool. L'approvisionnement en pièces d'avion, en pièces de bateau, tout ce qu'on veut. Blockchain de traçabilité. Le luxe, bon, je veux bien, je passe cet épisode. Puis ensuite, malheureusement, il y a eu le mouvement de la blockchain, des crypto-monnaies. Donc on a eu Bitcoin, on a essayé de comprendre, à peu près compris, c'est génial, sur le papier c'est extraordinaire. Et puis on a eu après le Bitcoin, on a eu le développement des autres crypto-monnaies, qui ont servi à toutes les arnaques de la Terre, à blanchir tout le pognon qu'on voulait. On découvre que maintenant, depuis 2016, notamment le FBI, ils arrivent quand même assez bien à tracer des très gros mouvements de crypto-monnaies, notamment de bitcoins qui ont été volés, même si c'est passé dans des mixeurs, qui est quand même ce système génial où je te mets 123 bitcoins et en fait, il y a 123 portes-monnaies qui sont créditées de sommes différentes. Mais au total, tu arrives à le même truc, mais c'est jamais le même, mais tout revient et tout repart. Enfin bon, bref. Et puis à un moment, on va vendre via un courtier. Bon, c'est super. Donc, on a eu ça. Donc là. Le mouvement est quand même un peu en train de se calmer parce qu'on voit que les limites, surtout les failles. Alors le smart contract, j'en parle même pas tellement ça me fait rigoler. Donc ça, c'est du foutage de gueule. Donc on parle pas du tout.
- Speaker #1
Tant que ça,
- Speaker #0
ouais. C'est de l'instruction automatisée. IF 23, ZAN, GOTO 19. Bon, c'est codé n'importe comment. Et en fait, tous les vols de crypto-monnaies se font au niveau des porte-monnaies, des wallets. Eh oui. Pas au niveau des protocoles blockchain qui sont assez fiables. C'est toujours au niveau des smart contracts ou des wallets. Bon. Et puis, nous avons eu quand même, ce serait dommage de ne pas le citer, le mouvement des crypto-singes. Je ne sais même plus comment ça s'appelle. Les NFT. Les fameux non-fungible tokens. Où à un moment, il fallait acheter des singes en couleur ou des Marilyn Monroe pixelisées. Alors là, on n'en entend plus parler du tout. Et c'est bien qu'on n'en entend plus parler. C'est très bien.
- Speaker #1
Et j'allais te dire, est-ce que tu vois, alors, est-ce que tu commences à voir émerger, là, on a parlé de quelques trucs de ces dernières années, est-ce que toi, tu commences à voir émerger dans ton métier, des tendances ou qu'est-ce que tu sens comme vont être peut-être les futures tendances de la cybersécurité, du droit du numérique ? Les cinq prochaines années, tu les vois comment ?
- Speaker #0
Alors, deux choses. Alors, si c'est en matière de réglementation, parce que moi, la base de mon métier, c'est quand même d'aller lire tous ces trucs, d'essayer de comprendre et puis ensuite d'expliquer aux entreprises. Les entités concernées, on dit entités maintenant, c'est chic. Voilà, les entités concernées. On a l'expert, il faut faire ça, il faut faire ça. Bon, ça, ça a été le premier grand mouvement. Et là, l'UE a... L'Union européenne, pardon. Bon, on ne parle même plus des États membres, parce que là, c'est vraiment au niveau de l'Europe, parce que sinon, on n'y arrive pas. On est quand même 450 millions. Là, les Américains sont 330 millions. Bon, ça donne aussi un ordre d'idée. Donc si on veut s'unir pour faire les choses bien, les Européens, on y arrive. Bref, revenons. à nos législations. En termes d'éthique, une fois qu'on a fait l'éthique de la data personnelle, RGPD, qu'on a fait l'éthique de l'IA, là, je pense qu'on a fait un carton plein, on ne devrait pas bouger avant un moment. Côté cybersécurité... Écoutez, on a pris la directive Nice 1, la directive Nice 2, le règlement Dora, la directive REC, j'en parle pas. On a pris le CRA. On a deux, trois bricoles qui arrivent encore. Mais bon, globalement, on a pris un tel paquet en deux ans, un tel paquet législatif que là, soit on va mourir d'overdose. Déjà, ça a du mal à rentrer en vigueur. Soit à un moment, on est gouverné par des malades mentaux et il faut qu'on s'arrête. Parce qu'il y a quand même... qui est en termes de cybersécurité qui est indispensable. Mais il y a le problème de l'innovation derrière. Oui et oui et on y arrive. Oui, c'est difficile d'innover quand on a des contraintes de sécurité, des contraintes d'éthique. C'est vrai, c'est des paramètres qui ne sont pas liés à la notion d'innovation. Qu'est-ce que ça dit l'innovation ? On va innover, on va faire un truc auquel personne n'a pensé. Si personne n'y a pensé, c'est qu'il y avait soit personne n'y a pensé, donc bravo les entrepreneurs, soit à un moment c'est qu'il y avait quand même quelques contraintes que... Ah mais je ne savais pas. Ah bon, il faut faire de la sécurité. Bon, donc il y a ce challenge que je trouve un peu bidon. Oui, nous empêchons les entreprises européennes de prospérer. Enfin, les Américains, ils font n'importe quoi. Les Chinois font n'importe quoi. Bon, les Russeux, ils bombardent. Comme ça, on va plus vite. Et puis, les cyberattaques hybrides, c'est une cyberattaque quand même très, très bien. Espionnage, tout ça. OK. Mais... En termes de réglementation, on est quand même au bout d'un cycle. On partait de nulle part. On partait de la maison en paille. Bon, là, on va vers la maison en bois. Ça va prendre 1, 2, 3, 5, 10 ans. Mais on va dans un mouvement qui est vertueux. Après ça, les tendances... C'est ça que je trouve moi fascinant dans le numérique. C'est que s'il y a dix ans, on m'aurait dit que j'étais spécialisé en cybersécurité, j'aurais ri parce que le mot n'existait pas. Et dix ans plus tard, on est en cabinet, on est quatre aujourd'hui à faire quasiment que ça. Donc moi, de persp... J'en ai pas. J'écoute ce que font mes clients. Ils viennent me voir quand ils ont des nouveaux produits, des nouveaux besoins, des nouveaux services. Je me pose des problèmes juridiques concrets pour le business. Moi, je fais des contrats business. On négocie les prix, on négocie les choses. Et les nouvelles tendances ? Les nouvelles tendances, aujourd'hui, c'est si on ne fait pas de la sécurité, vraiment, j'en reviens à cette antenne de la cybersécurité, parce qu'on peut dire qu'on va innover. D'accord. On peut dire qu'on va ... faire de l'éthique, d'accord. Mais si nos systèmes ne marchent plus du tout, qu'est-ce qui va se passer ? Rien. C'est un peu ça le constat de l'Union européenne, et puis comme cet aspect protection-défense de nos systèmes économiques. Plus de métro, plus d'électricité, plus de téléphone. Plus de téléphone portable, plus de micro. plus de caméras, plus rien. Plus d'appels aux clients, plus d'appels à sa chérie, son chéri, qui on veut. Plus de voitures électriques, plus de transport d'électricité. Nos sociétés se sont développé sur ces révolutions industrielles, quoi, à 1804, ça m'a beaucoup frappé, c'est la date du premier train à vapeur qui a circulé en Angleterre. C'est 1804. Donc ça fait 200 ans. Et aujourd'hui, en même pas 50 ans, on s'est entièrement numérisé. Pour tout. Il n'y a qu'à voir pendant le Covid. Moi, mes gamins étaient scolarisés à l'époque pendant le Covid. On s'est mis à faire bon an, mal an, qu'à un quart des cours avec leur téléphone, leurs ordinateurs. Enfin, il y a 10 ans, c'était impensable. Et là, aujourd'hui, on a presque oublié le Covid. d'ailleurs tellement c'est rentré dans les mœurs. Donc moi, je n'ai pas de vision. Je ne suis pas industriel, je suis entrepreneur dans mon modeste domaine, mais la vision, je n'en sais rien. Par contre, ce qui est sûr, c'est que l'IA, ça va servir. Apparemment, j'ai vu une statistique, les jeunes de 14 à 25 ans sont à 90% avec leur téléphone, en train d'essayer de trouver des solutions à tout avec leur IA. Bon, ça va leur enlever quelques neurones. Puis ils finiront par s'adapter comme nous, on s'est adapté à l'électricité. Et nous, la révolution a... internet. La révolution internet. Moi, je l'ai vécu en entreprise. J'ai vu arriver les premiers modems externes qu'on branchait. Il y a un gars qui passait une demi-journée sur un PC qui était gros comme une armoire, peu de choses près, qu'on ne déplaçait pas. Et au bout d'un moment, ping, ping, ping, moi, j'ai vécu ça. J'ai vu l'arrivée de l'internet. Donc, aujourd'hui, à l'arrivée de l'IA, ça va être une révolution de plus. Enfin, ça va être une révolution de plus. Et ça s'accélère.
- Speaker #1
Mais donc, il faut suivre, en fait, il faut suivre l'actu, l'actu de des technos, du numérique pour pouvoir développer le truc. J'allais te dire, si demain, enfin, on est souvent perdu en tant qu'entrepreneur, moi, je l'ai été souvent, sur de la sécurité, des règles, etc. Où est-ce qu'on peut te suivre ? Où est-ce qu'on peut suivre tes conseils ? Je sais que tu as un blog BD, tu as plein de choses.
- Speaker #0
Alors, comme... Bon, d'abord, moi, je suis un gros fan de BD. Parce qu'un jour, j'ai un copain qui m'a offert un disque dur avec 500 gigas de bande dessinée, d'origine parfaitement licite. T'as déjà, j'en avais beaucoup. C'était du... Ah non, c'était pas du... Ce n'était pas du Hadopi, là, non, c'était du direct download. Bref, on continue d'en rigoler. J'en ai 3 terras aujourd'hui, quand même. Donc, sur des disques durs que je duplique pour être sûr de ne jamais rien perdre. Aujourd'hui, entre la partie technique et la partie juridique, les techs, ils ne savent pas trouver de l'info. Les juristes, c'est quand même mon métier à la base, les juristes, ils n'y comprennent rien. Enfin, je veux dire, la technique du numérique, sans parler de la cyber. Technique du numérique, oh là là, c'est immatériel, donc on n'y comprend rien. Très bien, puis c'est ça, la technique, c'est ça. Donc, on ne parle pas de technique. Alors, moi, je me suis positionné un peu au milieu. J'ai réussi à convertir mes collaboratrices, d'ailleurs, pareil. En fait, on explique tout ça avec des supports bande dessinée qu'on met en ligne. On en est à la présentation 612, je crois, entièrement bande dessinée, avec l'accord d'un éditeur. J'ai un accord avec le numéro 2 français. Les éditions d'El Cours Soleil, qui, après des négociations qui ont été assez longues, ont accepté que, quand je publie quelque chose, avec leur autorisation préalable, bien sûr, quand je publie sur mon blog... Je prends une de leurs bandes dessinées, je la découpe librement et je raconte une autre histoire en fait. Et je raconte le droit du numérique, le droit des contrats, le droit des contrats du numérique, la cybersécurité, la cybersécurité des contrats du numérique. Voilà, je ne fais que ça et on est assez actif parce que... Donc c'est technique-et-droit-du-numérique.fr. Ok. Il paraît qu'il fallait trouver un terme simple, j'y suis pas arrivé. En faisant le dû avocat au singulier, au pluriel, on me trouve assez bien. Le blog est entièrement en bandes dessinées. Notre site web est entièrement en BD. Et il y a le blog en BD, où on poste. Et en fait, au départ, moi, je le faisais presque pour arriver à retenir. Parce que la procédure numéro 4, qui se divise en deux sous-procédures, avec quatre catégories de produits, c'est le cyber-resilient sac sur les matériels avec du logiciel connecté. C'est un cauchemar à lire. Donc, il y a des schémas, des flèches. Et moi, je l'ai fait dans un premier temps. J'illustrais, entre guillemets, pour retenir le détail de ces machins. Et puis ensuite, j'ai vu que ça passait assez bien. J'ai entraîné sur mes étudiants d'abord, parce que j'ai enseigné pas mal. Donc, je faisais mes cours en BD. Ensuite, j'ai commencé à présenter ça à des comex. Et puis aujourd'hui, j'en ai fait un outil de communication et de formation pur et dur. Et pratiquement toujours, je mets en ligne toutes mes slides qu'elles m'étaient commandées, entre guillemets. En général, je les prépare même à l'avance. D'abord, parce que tout le monde peut y revenir. Je veux dire, quand on a assisté à une conférence. sur un sujet un peu technique, c'est pas mal de pouvoir revoir les slides. Quand elles sont illustrées en BD, si on a l'autorisation de l'éditeur, ça le fait assez bien. Et puis moi, j'ai un univers de BD par matière. Donc le RGPD, c'était tel BD, le Cyber Residence Act, c'était tel BD. Il suffit que je vois la slide, je vois le personnage, je détecte la matière et je sais tout de suite ce que j'ai à dire, parce que c'est assez long à faire. Bref, donc je mets ça en ligne. Maintenant, on fait des formations comex, des sensibilisations professionnelles. On ne fait que des professionnels. Parce que le support BD, c'est tellement surprenant. C'est plus un truc de... C'est pas mainstream, la BD. Les gens qui rigolent en lisant The Asterix, je crois qu'on est de moins en moins nombreux. Le phénomène du manga, ça explose, mais la BD franco-belge, pas trop. Par contre, ça permet de mettre des illustrations un peu décalées sur des matières qui sont ardues. Parce que la réglementation, cybersécurité, numérique, Data Governance Act, l'Open Data, tous ces trucs... Les slides d'avocats avec des bullet points, à un moment, ouvrez la fenêtre, tout le monde va sauter. Donc c'est un vrai problème. Donc un mois, ça me permet d'abord de faire un truc original, parce que on pourrait le faire en BD. Ensuite, c'est vraiment libre d'accès, ça ne veut pas dire qu'on a le droit de tout pomper. Mais c'est libre d'accès en ligne, ce qui est quand même...
- Speaker #1
L'accès sur la porte.
- Speaker #0
L'éditeur, oui. La porte est fermée, mais la fenêtre est ouverte. Puis il y en a tellement, de toute façon, avant d'aller me pomper ma base de données d'images, c'est du slide par slide. C'est un cauchemar à pomper, mais objectivement, c'est venez consulter. Ouais, donc technique-du-numérique.fr, il faudra que je trouve plus court un jour. Et on essaie de tenir la cadence sur les textes qui sortent d'aujourd'hui. Là, on est juste un peu en retard sur l'IA parce que c'est un texte qui est très, très difficile à lire et on ne peut plus faire l'économie de ça. Et donc, on en met partout et on communique après par LinkedIn. Beaucoup ont fait la clause moisie du mois, le dialogue imaginaire de la semaine. On essaie de montrer une approche du droit pratique, pour les praticiens, pas pour les purs esprits du droit, les profs agrégés qui se posent des questions. Il n'y a qu'eux qui se posent la question et il n'y a qu'eux qui écoutent la réponse. Nous, on a une approche qui est business. À un moment, il faut rendre les choses... ludique, ce serait peut-être un peu exagéré, mais en tout cas attrayante. Parce que qui va parler d'une clause de responsabilité et appliquer tel machin dans un contrat B2B ? Ça ne passionne pas les foules, il faut être clair. Mais par contre, moi, après, je m'en resserre pour mes cours, pour mes conférences, pour mes formations. Et quand on le met dans les slides, ça veut dire qu'on a les contrats qui sont prêts derrière. C'est aussi notre teaser pour notre savoir-faire assez pointu en matière de cybersécurité.
- Speaker #1
Super. Que vous soyez entrepreneur, comme nous, chez Société.com. Si vous avez posé des questions à un moment... Allez voir, le Dieu avocat.
- Speaker #0
Je réponds à mes mails.
- Speaker #1
Merci beaucoup, Marc-Antoine Ledieu.
- Speaker #0
Merci Guillaume.
