Cybersécurité : protéger vos données dans le futur numérique incertain | Simon Reiniche & Cocadmin | « Tendances INNO » le podcast Innovation de Docaposte

Description

#Podcast 🎧 | Imaginez un champ de bataille où chaque clic peut être une arme et chaque donnée personnelle un territoire à conquérir.

Dans le monde numérique d'aujourd'hui, la cybersécurité ne se limite pas seulement à protéger des informations, elle est une lutte invisible pour la sécurité et la souveraineté.

Aujourd’hui, Marine Adatto et Olivier Senot, Directeur de l'Innovation de Docaposte, vous proposent de plonger dans les profondeurs de ce champ de bataille moderne.

Nos invités ?

➡️ Simon Reiniche, cofondateur d’Innixus, un réseau social privé pour les professionnels de la cybersécurité.

➡️ Thomas Bomboh, alias Cocadmin, Youtuber passionné par la cybersécurité, qui programme des bots et mine des bitcoins sur une calculette.

🎧 Au programme :

- Qu'est-ce que la cybersécurité et pourquoi est-elle plus importante que jamais ?

- Une exploration des coulisses de la cyber-guerre mondiale.

- Des conseils pratiques pour protéger vos données personnelles et professionnelles.

💡 Ce que vous propose cet épisode ?

Un voyage éclairant à travers les tactiques, les technologies et les stratégies de pointe qui façonnent le futur de notre sécurité numérique.

Et vous, comment percevez-vous les enjeux de la cybersécurité dans votre quotidien ?

Partagez vos réflexions et rejoignez la discussion !

Cliquez sur ▶️. Votre prochaine découverte sur comment sécuriser votre futur numérique est à portée de clic.

Retrouvez cet épisode de “Tendances Inno” sur votre plateforme de podcast préférée : https://smartlink.ausha.co/tendances-inno-le-podcast-innovation-de-docaposte

#TendancesInno #Innovation #Docaposte #WagmiTrends #Innovation #cybersécurité

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue dans Tendances Inno, votre rendez-vous pour explorer les technologies émergentes présentées par Docaposte, le référent français de la confiance numérique. Je suis Marine Adatto, cofondatrice de Wagmi Trends, et j'ai le plaisir d'être accompagnée par Olivier Senot, directeur de l'innovation chez Docaposte. Dans ce podcast, nous vous emmenons à la rencontre des innovateurs et des créateurs qui redéfinissent notre monde numérique. Que votre curiosité vous porte vers le Web3, l'IA ou toute autre technologie émergente, Vous êtes au bon endroit. Préparez-vous à une dose d'inspiration et d'informations. Au programme, des découvertes, des défis et des solutions innovantes. Alors branchez vos écouteurs, ouvrez votre esprit et plongez avec nous dans l'univers de Tendances Inno. Imaginez un champ de bataille où chaque clic peut être une arme et chaque donnée personnelle un territoire à conquérir. Dans le monde numérique d'aujourd'hui, la cybersécurité ne se limite pas seulement à protéger des informations. Elle est une lutte invisible pour la sécurité et la souveraineté. Aujourd'hui, nous vous proposons de plonger dans les profondeurs de ce champ de bataille moderne avec un expert du domaine, Simon Reiniche, expert en cybersécurité et cofondateur d'Inixus, un réseau social privé pour les professionnels de la cybersécurité. Bonjour Simon. Il mine des bitcoins sur une calculette et code des bots pour traquer les McFlurry. youtubeur passionné d'informatique et de cybersécurité, Thomas Bombo, aussi connu sous le nom de Cocadmin, est avec nous aujourd'hui. Bonjour Thomas. Salut, comment ça va ? Ça va et toi ? À mes côtés, car je suis toujours très bien accompagnée, Olivier Seuneau, directeur de l'innovation chez Docaposte, nous partagera sa vision et ses conseils sur ce sujet brûlant, qu'est-ce que la cybersécurité ? Pourquoi parle-t-on de cyberguerre mondiale ? Quelles sont les motivations derrière les attaques numériques ? Olivier, c'est à toi.
Speaker #1
Merci Marine. Simon sait tout. Expert en cybersécurité, en intelligence, en risque cyber et on me dit dans l'oreillette qu'il est aussi spécialiste du dark web. Titulaire d'un bachelor de la Inholland Academy et diplômé d'une prestigieuse mais peu connue en France université de Séoul, la Yonsei University, qui a la particularité de former les enseignants. Mais si l'enseignement est une vocation, c'est le business et la lutte contre la cybermenace qui guidera ta carrière. Après 15 ans d'exec développement pour des entreprises de cybersécurité aux quatre coins du monde, mêlée d'intrapreneuriat notamment en Afrique, tu es fondateur et directeur général d'Inixus, le réseau social ouvert sur invitation et réservé au monde de la cybersécurité. Rapporter Inixus au simple réseau social serait occulter l'ambition éducative de cette plateforme pour que tous les responsables cyber restent en permanence informés des menaces et autres broutilles qui empoisonnent nos vies numériques. Impliqué dans l'éducation face aux menaces du XXIe siècle, tu as récemment prodigué Ta vision du rôle des parents dans l'éducation des jeunes, mais comment faire quand les parents ne sont pas « aware » sur les risques qui les concernent ? Simon, nous t'écoutons.
Speaker #0
Salut Simon.
Speaker #2
Salut, merci de me recevoir.
Speaker #0
Simon Thomas, pour rentrer dans le vif du sujet, et Olivier bien sûr, je vous propose un petit quiz. L'idée, c'est d'avoir une vue globale de ce qui nous attend. Est-ce que vous êtes prêts ?
Speaker #2
Oui.
Speaker #0
Première question, quel sera le coût annuel mondial des cyberattaques d'ici 2025 ? Alors, première réponse, 6 000 milliards de dollars. Deuxième réponse, 8 000 milliards de dollars. 10 000 milliards de dollars ou 12 000 milliards de dollars ?
Speaker #2
Beaucoup. Beaucoup.
Speaker #0
Beaucoup de milliards.
Speaker #1
Beaucoup trop.
Speaker #0
Beaucoup trop de milliards.
Speaker #2
Je vais dire 10 000 milliards.
Speaker #0
10 000 milliards, ouais. Thomas, tu dis ?
Speaker #3
Ouais, ça me paraît, même 10 000 milliards, ça me paraît beaucoup, mais tous les chiffres que tu as donnés sont super gros, donc je vais dire 10 aussi.
Speaker #0
Ouais, ouais, c'est ça. Olivier ?
Speaker #1
Déjà, 6 000 milliards, juste pour comparer, c'est l'équivalent de l'épargne totale des Français.
Speaker #0
Ah oui, c'est beaucoup.
Speaker #1
L'épargne totale de la France, c'est 6 000 milliards.
Speaker #0
Donc, il faut faire attention aux cyberattaques quand même. Alors, c'est 10 000 milliards, c'est plus que l'épargne des Français. Et c'est selon l'étude 2022 Cybercrime Report de Cybersecurity Ventures. Donc, ce coût annuel des cyberattaques devrait atteindre 10 000 milliards de dollars d'ici 2025. Et le pire, c'est que c'est une augmentation de 15 %. par rapport à 2021. Protégeons-nous. Deuxième question. Quel est le pourcentage des entreprises qui ont subi une fuite de données en 2022 ? 30%, 40%, 50% ou 60% ?
Speaker #3
Je dirais 50% parce que ça peut être ce qu'on entend parler des grosses fuites, mais il y a des petites fuites qui arrivent tous les jours qu'on n'entend jamais parler. Une entreprise vit des années en général. Probablement 50%. Oui.
Speaker #2
Je dirais aussi sûrement plus de la moitié. Il y a les fuites cyber, mais il y a aussi les fuites liées au départ d'un employé qui a, par exemple, pris un fichier qu'il n'aurait pas dû prendre. Donc, je dirais plus de la moitié.
Speaker #0
Olivier, tu dis quoi ?
Speaker #1
60 %,
Speaker #2
ça me paraît faisable.
Speaker #0
60 % ?
Speaker #1
Toutes les petites fuites.
Speaker #0
Oui. Écoutez, pour l'instant, on n'est qu'à 40 %.
Speaker #3
Ah, ça va.
Speaker #1
C'est moins pire que ce qu'il y a.
Speaker #2
C'est bon, on n'a rien à faire.
Speaker #0
Ça va, on est pas mal. C'est une étude d'IBM de 2022. 40% des entreprises qui ont subi une fuite des données et un coût moyen de 4,35 millions de dollars par incident. Ce n'est quand même pas neutre. Troisième question. Combien de milliards de dollars le marché mondial de la cybersécurité devrait-il atteindre d'ici 2027, selon Mordor Intelligence ? On est toujours en milliards, je vous le dis. On est sur un gros marché. 150 milliards, 200 milliards, 250 milliards ou 300 milliards ?
Speaker #2
Tu devrais le savoir.
Speaker #0
Je devrais le savoir aussi. Oui, tu devrais le savoir.
Speaker #2
Oui, je pense que... Plus le chiffre est gros, plus il est réaliste dans ce cas-là. Donc, je prendrais la plus haute estimation.
Speaker #0
300 milliards ? Oui. Thomas, tu dis quoi ?
Speaker #3
Si tu as dit tout à l'heure, on était à 10 000 milliards de coûts. Donc, ça veut dire qu'il faut que ce soit une portion de ça que tu veuilles sécuriser. Si tu veux sauver 10 000 milliards, il faut que tu dépenses une petite portion de ça. Le plus gros chiffre que tu avais dit, c'était quoi ?
Speaker #0
300 milliards.
Speaker #3
300 milliards, ça fait 3 %. Ça paraît un bon deal.
Speaker #0
Oui. On est sur un bon raisonnement là Thomas. Olivier, tu dis quoi ?
Speaker #1
C'est un peu élevé 3%, mais oui.
Speaker #0
Tu suis Thomas ?
Speaker #1
Oui, 250.
Speaker #0
250 ? C'est Thomas qui a raison. 300 milliards. 300 milliards de dollars en 2027. Et donc c'est avec une croissance de 12,5% chaque année de 2022 à 2027. Et alors j'ai une question super banco, si vous voulez. Le tout pour le tout. Le tout pour le tout. Selon Gartner, quel est le pourcentage des organisations qui adopteront une approche zéro trust d'ici 2025 ? 35%, 45%, 55% ou
Speaker #2
65% ? Je vais dire l'estimation la plus haute, c'est un concept qui est très ambitieux.
Speaker #0
Très ambitieux ?
Speaker #3
Je pense que tout le monde veut le faire, mais en général l'implémentation de nouvelles technologies dans les entreprises, surtout les grosses entreprises, ça prend beaucoup de temps. Si la question c'est l'intention, peut-être 40-50%, mais l'implémentation, peut-être 10%.
Speaker #0
Ah oui, on est plutôt sur l'intention.
Speaker #1
Sur l'intention, maximum. Maximum. Les Zero Trust,
Speaker #0
c'est... Ils ont raison en même temps.
Speaker #1
Sur l'intention, oui. Ensuite, je suis d'accord sur la réalisation, on ne sera pas au niveau de l'intention.
Speaker #0
Oui, c'est ça. C'est donc 65%. Contre seulement 35% en 2021, quand même. Voilà, et donc Gartner, c'est un cabinet de recherche et de conseils reconnus pour ses analyses des tendances technologiques, notamment dans le domaine de la cybersécurité. Je vous propose de poursuivre avec un micro-trottoir. On est allé écouter ce que pensent les gens de la cybersécurité et de l'impact qu'ils imaginent sur leur quotidien. Te sens-tu en sécurité quand tu partages tes informations personnelles en ligne ?
Speaker #4
Je suis assez mitigée.
Speaker #0
Pourquoi ou pourquoi pas ?
Speaker #4
Parce que d'un côté, partager les informations, c'est nécessaire, notamment pour se connecter à certains sites ou certaines applis. Mais d'un autre côté, justement, c'est là où les cookies jouent un rôle, où on a un peu peur que nos informations soient divulguées à on ne sait qui. Et donc, si je devais me positionner, je serais assez inquiète quand même de partager mes données, car on ne sait pas à qui est-ce que ça peut... être envoyé, surtout avec les cookies, on ne sait pas trop ce qu'il y a dedans, surtout qu'on ne les lit pas. Donc oui, je serais assez inquiète.
Speaker #0
Quelle est ta plus grande peur concernant la sécurité de tes données en ligne ?
Speaker #2
Je n'en ai pas vraiment parce que toutes les données sont déjà publiques. Du coup,
Speaker #3
tu as compris, ça fait longtemps que Google,
Speaker #2
Facebook, que tout le monde a toutes les données.
Speaker #3
Aujourd'hui, ou bien tu vis avec ton époque ou bien tu ne vis pas.
Speaker #0
Quelle mesure simple penses-tu que tout le monde devrait prendre pour mieux protéger ses données en ligne ?
Speaker #4
Ne pas poster sur les réseaux comme TikTok, Instagram, Facebook, parce qu'on ne sait jamais où vont nos données. Parce que de base, on les donne à Facebook ou ces grosses entreprises, mais on ne sait pas qui va être l'entreprise finale qui va traiter ces données.
Speaker #0
Alors quelles sont vos réactions ? Thomas ?
Speaker #3
Je pense que c'est un peu les deux extrêmes où il y en a qui sont... qui se disent « Ah, faut faire vraiment attention, tout maîtriser, etc. » Et puis de l'autre côté, t'as ceux qui disent « Bon bah de toute façon, on est foutus, donc autant faire ce qu'on veut et pas s'en soucier, parce que de toute manière, on n'a pas le choix, quoi. » Mais moi, je sais pas, j'imagine qu'il y a un milieu quand même entre les deux. Je pense qu'on peut... On a quand même une maîtrise un petit peu de ce qu'on partage. C'est plus, à mon avis, important de... Faire attention à ce qu'on partage plutôt que de se dire non, il ne faut absolument rien partager. Sans non plus se dire, c'est ça, un peu entre les milieux. Plutôt se dire, essaye de faire attention à ce qu'on va partager plutôt que soit ne rien partager, soit tout partager.
Speaker #0
Ou se dire qu'on est foutus. On est foutus, Simon, ou pas ?
Speaker #2
Non, on n'est pas foutus, mais c'est vrai qu'il y a soit une paranoïa complète, soit un défaitisme. Je dirais que le juste milieu, c'est déjà d'essayer de comprendre ce qu'on partage et quelle valeur ça peut avoir et pour qui. Donc, essayer un petit peu de comprendre la valeur de son empreinte en ligne et réfléchir avec du bon sens.
Speaker #0
Olivier, qu'est-ce que tu en penses ?
Speaker #1
Je ne sais pas si les données sont publiques, mais avec les quelques dernières fuites qu'on a eues à la CEPAM, à France Travail, etc., en France, c'est sûr qu'il y a un certain nombre de données personnelles qui sont sur le dark web. Donc, chaque individu doit faire attention, mais il y a aussi le côté entreprise. La CEPAM, c'est 40 millions de piratages. 2-3 millions qui sont effectivement sur le dark web. Quand il y a le nir sur le dark web, ça commence à être compliqué.
Speaker #0
Alors, Simon, là, on traite de la cybersécurité. Mais quand on dit cybersécurité, de quoi est-ce qu'on parle exactement ?
Speaker #2
On parle de beaucoup de choses. On parle d'un domaine qui regroupe beaucoup de gens, qui regroupe des technologies, des compétences, des concepts. Donc la cybersécurité, en fait, c'est tout ce qui aide à la protection. Des données, des moyens de partage de ces données, de communication. En fait, c'est tout ce qui protège aujourd'hui l'économie et la confiance digitale. Donc c'est très important aujourd'hui.
Speaker #0
Thomas, tu veux ajouter quelque chose ?
Speaker #3
Non, je pense que c'est super large. Parce que tu as différents métiers. Tu vas avoir ceux qui vont faire de la sécurité offensive, donc ils vont essayer de trouver des failles. Tu vas avoir ceux qui font... au contraire qui vont essayer de défendre, de corriger ces failles-là. Tu as ceux qui vont intervenir après qu'il y ait eu une attaque pour essayer de comprendre ce qui s'est passé, comment le régler, d'où l'attaque peut venir, etc. Il y a vraiment de la sécurité logicielle, de la sécurité hardware avec le matériel, etc. Donc c'est vraiment super, super vaste.
Speaker #2
Et tout ce qui est humain aussi, qui est lié à la fraude, à l'ingénierie sociale. Donc c'est très dur en fait. Il y a beaucoup de responsabilités dans ce domaine. qui touche à d'autres domaines de compétences. Donc,
Speaker #0
on peut en parler. Justement, on en parlait tout à l'heure. On disait qu'il y a beaucoup, beaucoup de milliards. Et toi, tu répondissais pendant MicroTourneur, tu me disais qu'il y a surtout beaucoup d'humains derrière.
Speaker #2
Oui, et toujours pas assez. De toute façon, le problème principal de la cybersécurité, c'est le manque de gens, le manque de personnel. Et si je pouvais déjà encourager des gens qui écoutent à rejoindre la lutte, ça fait peur à beaucoup de monde. La cybersécurité, c'est quoi ? Mais ce n'est pas quelque chose d'aussi difficile, aussi effrayant que les gens le pensent. Et j'encouragerais tout le monde à se renseigner. Ne pas avoir peur du vocabulaire qui peut laisser croire que c'est inatteignable.
Speaker #0
Alors, pourquoi est-ce qu'on parle de champ de bataille invisible quand on parle de cybersécurité, Simon ?
Speaker #2
Je pense qu'on parle de ça pour plusieurs raisons. Une des raisons, c'est qu'on peut être victime d'une cyberattaque, on peut être compromis sans le savoir. D'ailleurs, la majorité des cas, c'est ça. On s'en rend compte trop tard. Et puis, c'est quelque chose que les gens ont du mal à comprendre. Ils ne peuvent pas toucher. C'est-à-dire qu'on voit quand on s'est fait casser un carreau, quand on s'est fait voler son portefeuille. Mais quand potentiellement ces données sont dans des endroits, elles sont monétisées par des gens à l'autre bout du monde, c'est très abstrait. Donc, ce sont certaines raisons sur le plan individuel. Et puis après, sur le plan global, géostratégique, il y a une guerre mondiale numérique. qui se joue tous les jours, dont les gens n'ont pas conscience, je pense.
Speaker #0
Oui, c'est ça. En fait, on est en pleine guerre mondiale cyber. Et donc, quand on avait préparé ce podcast, vous m'avez dit que tout pays se doit de monter une armée cyber pour se défendre.
Speaker #2
Ça veut dire quoi ? Déjà pour se défendre, pour se défendre bien sûr ses institutions et aussi tous les organismes d'importance vitale, quel qu'il soit, quel que soit le pays. C'est-à-dire ? C'est-à-dire tout ce qui touche à l'énergie, à l'alimentation, à la santé, à la confiance. On parlait de confiance aujourd'hui. Ce qui est très dangereux avec les cyberattaques, c'est non seulement le fait qu'un individu peut être victime, peut être défraudé, ses données peuvent être volées, mais surtout, petit à petit, ce qui est très grave, c'est que les gens perdent confiance en certaines institutions. Et si on commence à croire que quand on met de l'argent dans sa banque, il peut disparaître, quand on vote, ça peut être manipulé, quand on entend un message officiel de l'État, c'est peut-être pas vraiment le président qui nous parle. Ça crée des problèmes bien plus importants que de se faire des prodès de 200 euros sur le Deep and Dark Web. Donc oui, il faut se protéger. Les pays se protègent. La France est très compétente dans ce domaine-là. Il y a plusieurs institutions dont c'est le rôle, comme tu l'expliquais d'ailleurs Thomas, de s'inquiéter des attaques avant qu'elles arrivent, après qu'elles arrivent, pendant. On ne va pas détailler tous les acronymes, mais il y a beaucoup d'institutions qui s'en occupent.
Speaker #0
Et alors justement, quand on parle d'attaque... Qui est aux manettes des attaques ? Est-ce que c'est des groupuscules ? Est-ce que c'est des divisions secrètes ? Qu'est-ce qui les motive ?
Speaker #2
Alors, il y a de tout. Selon qu'on soit un individu, un étudiant ou un PDG du CAC 40 ou une branche de l'État, on a des ennemis différents. Donc oui, il y a des groupuscules. Il y a des États, certains États qui se permettent de voler. De faire de l'espionnage industriel, d'autres de faire du sabotage, d'autres d'attaquer dans le cas de conflit. Alors eux le font directement, ils le font par proxy, par procuration aussi, en utilisant des groupuscules, des mercenaires, ou alors en laissant faire. Certains pays sont très bons à ne pas commanditer les choses, mais à laisser faire. J'ai eu une vague d'attaques en France sur les hôpitaux. c'est quand un Et NETA décide de laisser faire pour nuire à des ennemis temporairement ou dans la durée. Et puis après, il y a toute une soucouche de cybercriminels qui, là, le font pour des raisons très différentes, à des niveaux très différents. Il y a beaucoup de petites mains dans la cybersécurité. C'est une industrie. Il y a des gens qui font des cyberattaques sans comprendre vraiment les tenants et les aboutissants. C'est-à-dire qu'ils ont un petit outil qu'ils ont récupéré qui leur permet de gagner 5 euros, 10 euros tous les jours et ça leur suffit. Un vaste spectre d'attaquants.
Speaker #0
C'est très très large. Il y a aussi des campagnes d'influence qui sont un sujet assez méconnu dans les cyberattaques. Comment est-ce qu'on détecte ces campagnes d'influence et comment est-ce qu'on s'en protège ?
Speaker #2
C'est dur de les détecter, c'est dur de s'en protéger. C'est quelque chose qui a toujours existé, la propagande, c'est ça. En temps de guerre, en temps de paix. Ce qui a beaucoup changé, c'est le coût. C'est-à-dire qu'aujourd'hui, c'est très abordable de faire une campagne d'influence. Avant, ça coûtait très cher. Il fallait avoir accès à des canaux de distribution, il fallait connaître des gens influents dans les radios, dans les télés, dans les journaux. Aujourd'hui, avec les réseaux sociaux, avec les applications de partage, les applications de communication, on peut faire changer l'opinion publique, faire changer un vote avec quelques milliers d'euros. D'ailleurs, il y a des campagnes d'influence au niveau municipal, aux États-Unis en particulier. Il y a des choses qui sont ressorties, vraiment des votes qui paraissent sans intérêt, mais où il y a des campagnes d'influence sur Facebook, etc. Donc campagne d'influence, ça peut prendre plein de formes. On ne va pas tous les détailler ici, mais comment les détecter ? Déjà, toujours se poser des questions simples. Qui me parle ? Qu'est-ce qu'il me dit ? Pourquoi il me le dit ? Pourquoi maintenant ? Est-ce qu'on me dit une chose en essayant de me faire ressentir une émotion particulière ou est-ce qu'on me donne des faits de manière… Voilà, simple. C'est des bonnes questions à se poser, mais c'est très compliqué à détecter, oui.
Speaker #0
Thomas, pour les particuliers, quelles sont les principales menaces ?
Speaker #3
Je pense qu'il y a un petit peu de tout. Je fais une petite liste du plus bénin au plus grave. Par exemple, moi, ce qui m'est arrivé, et pas plus tard. que la semaine dernière, je me suis fait voler mon compte Spotify. Donc, il y avait... Un jour, je me connecte sur mon compte et puis il y a quelqu'un qui est en train d'écouter de la musique pakistanaise ou quelque chose comme ça. Donc, je me dis que c'est bizarre. Puis après, je reçois une alerte qui me dit que mon compte a été accédé depuis la Turquie ou le Pakistan, c'est-à-dire depuis trois ou quatre pays en une demi-journée. Donc ça, bon, c'est pas très, très grave. C'est juste mon compte de musique, quoi. Le truc le plus courant, le plus bénin qui peut arriver, ce serait de se faire voler son mot de passe sur un compte qui n'est pas si important que ça. Après, dans les choses qui sont peut-être un petit peu plus embêtantes, le phishing par exemple, on a probablement tous déjà reçu un SMS qui nous dit qu'on a un colis et qu'il faut qu'on paye 10 euros pour pouvoir le récupérer, des choses comme ça. Donc ça pareil, c'est un petit peu plus chiant que ce que... se faire hacker son compte de musique, mais là, on commence à perdre un petit peu d'argent. Pour monter un peu dans la gravité, après, tu as le vol d'identité où là, si on arrive à avoir assez d'informations sur toi, on peut devenir toi et on peut prendre des prêts à ton nom, prendre des crédits à ton nom, et là, ça peut commencer à rendre la vie très, très difficile.
Speaker #0
Et alors, la question, c'est comment est-ce que justement on peut se prévenir de ces cyberattaques ? Déjà, d'un point de vue entreprise et État, on redescendra sur la partie aussi individu, mais au niveau des entreprises et des États, Simon, comment est-ce qu'on peut se prévenir de ça ?
Speaker #2
Je dirais que les conseils seraient à peu près les mêmes, que ce soit pour des individus ou pour des États. Les enjeux sont peut-être différents, mais le processus est le même. Toujours commencer par un état des lieux, un inventaire de ce qu'on a, de ce qu'on a potentiellement d'accessible, accessible c'est-à-dire d'accessible extérieurement. Comprendre un petit peu qui ça peut intéresser et sur cette base, comprendre comment ces personnes peuvent nous nuire. Donc il y a plein de terminologies dans les affaires vecteurs de menaces, etc. Mais au final, les questions sont très simples. Qu'est-ce que j'ai ? Qui ça intéresse ? Et comment ces gens-là ont l'habitude de procéder, de travailler pour atteindre, pour soit changer l'information, la voler, parce qu'il y a ça, il y a le fait de voler de l'information pour la monétiser, pour en faire quelque chose, ou aussi de manipuler l'information pour lui faire dire quelque chose qu'elle ne dit pas. Et donc mettre en place tout un tas de procédures. Les entreprises, en fait, essayent de répondre en continu à ces questions. Donc ils mettent en place des systèmes qui leur permettent de détecter des attaques. Ensuite de les gérer et puis de tirer des enseignements. Et en fait, perpétuellement comme ça, c'est un cycle en continu d'apprendre de certaines attaques et de modifier son système de défense. Et son système de défense, c'est des technologies bien sûr, c'est ce dont on parle, c'est ce que les gens aiment voir. Mais au final, c'est surtout des gens, des gens qui se forment en permanence parce que le champ de menace, comme on dit, change en permanence. et une organisation. C'est toute une entreprise dans l'entreprise.
Speaker #0
Parmi les champs de menaces, il y a le plan individuel. À quel moment est-ce qu'on peut devenir une cible, privilégiée ? Qu'est-ce qu'il y a de la valeur dans ces attaques ? Qu'est-ce qui peut nous compromettre ?
Speaker #2
On peut tous devenir une cible à n'importe quel moment, dès lors qu'on comprend. Je veux vous rassurer. J'ai un ami qui avait l'habitude de dire, si on croise un tigre dans la jungle, il ne faut pas courir plus vite que le tigre, il faut courir plus vite que le type à côté de soi. C'est un peu le même principe dans la cybersécurité. Il y a des règles de base d'hygiène numérique qu'on appelle. Donc, il faut un peu comprendre, en dehors de certains individus, des leaders politiques ou des leaders... étatiques, d'entreprises, on ne fait pas face à des menaces qui sont forcément préméditées. Donc l'attaquant en face de nous, ça va être un cybercriminel opportuniste, sans vouloir dire du mal en général, un peu feignant, qui veut gagner de l'argent rapidement. Donc si on n'utilise pas tout le temps les mêmes mots de passe, si on n'utilise pas l'adresse email pour la sécurité sociale et pour une application qu'on a téléchargée vraiment à l'arrache sur Internet, Voilà, si on a un minimum de bon sens là-dessus, au final, même si on se fait hacker, il y a peu de conséquences. Parce qu'encore une fois, ces gens-là sont opportunistes. Après, on peut se faire hacker indirectement, donc si un organisme étatique a nos données, voilà. Mais là-dessus, on ne peut pas faire grand-chose.
Speaker #0
Et alors, si on se place du point de vue des TPE, Thomas, les TPE, ils n'ont finalement pas trop de solutions qui sont adaptées à leur taille ?
Speaker #3
De ce que moi, j'ai compris... C'est qu'il y a beaucoup de solutions de sécurité pour les grosses entreprises, mais pour les plus petites entreprises, c'est plus difficile parce qu'une grosse entreprise, par exemple, elle va faire un audit de sécurité. Donc, elle peut aller demander à des entreprises qui, eux, savent quelles sont les possibles vulnérabilités, etc. Sauf que ce genre d'audit-là, la plupart du temps, il va coûter trop cher pour une petite entreprise. Donc, ça fait que ces TPE, elles ne sont même pas au courant des menaces. Et donc, elles ne connaissent pas les menaces, elles ne connaissent pas les remèdes. Et donc, du coup, c'est possiblement celles qui vont être les plus grosses victimes de toutes ces cyberattaques. Donc, il n'y a pas trop de solutions à leur taille pour l'instant, de ce que moi, je comprends.
Speaker #2
Je peux peut-être juste revenir parce que je travaille avec beaucoup de startups, justement. C'est vraiment un facteur économique, comme tu le disais. Les gros cabinets de consultants, ils préfèrent viser des contrats avec le CAC 40. mais c'est aussi la réalité. des startups qui sont plutôt dans l'innovation. Ils travaillent sur un nombre d'années très très court. Et donc en général, ces entreprises créent des produits qui sont réellement dédiés. Au haut du panier, où on peut signer des contrats en plusieurs centaines de milliers d'euros. Donc ça intéresse peu de gens au final, peu d'acteurs économiques d'aider les TPE.
Speaker #0
Il y a un marché alors ?
Speaker #2
Il y a un marché, mais aussi le fait que les TPE, en essayant d'être très compétitifs, ils ne prennent pas forcément en compte, beaucoup dans leurs calculs de profitabilité, ils ne prennent pas en compte tout ce qui est lié aux risques. Risques cyber, risques de faillite, les risques en général, ils ne peuvent pas se le permettre, donc ils n'ont pas les moyens.
Speaker #0
Je reviens sur ce que disait Thomas tout à l'heure, tout ce qui est phishing, colis, etc. Ça, c'est ce qu'on appelle, Simon, de l'ingénierie sociale,
Speaker #2
entre autres. Oui, alors entre autres, oui. Alors le phishing, techniquement, c'est un email avec un lien, mais en général, on fait appel à l'ingénierie sociale.
Speaker #0
C'est quoi, de nous,
Speaker #2
la définition de l'ingénierie sociale ? L'ingénierie sociale, c'est un peu profiter des vulnérabilités du cerveau humain, d'une certaine manière. les gens qui font trop facilement confiance dans un certain contexte, ou alors les induire en erreur. On a tous des biais cognitifs. Donc l'ingénierie sociale, en principe, c'est ça. Essayer de manipuler les gens en leur faisant croire qu'ils sont dans un contexte familier. Il y a plein d'exemples, très récemment, qui mélangent aussi l'IA avec des gens qui se retrouvent dans des réunions en ligne en pensant qu'ils ont un conseil d'administration. En fait, c'est que du deepfake. Mais l'ingénierie sociale... Dans le phishing, elle est utilisée de deux manières différentes. Elle est utilisée pour, parfois, dans des cas où il y a beaucoup d'enjeux, convaincre des gens importants et on espère suffisamment intelligent de faire une chose qu'ils ne devraient pas faire, mais aussi parfois pour filtrer les gens qui font preuve de bon raisonnement. Il y a beaucoup de campagnes de phishing avec des e-mails qui clairement ont des fautes d'orthographe. On a tous reçu des e-mails qui sont, on va dire, dégueulasses. On se dit, mais comment les gens peuvent cliquer ? Et le but, c'est ça. Le but, c'est d'envoyer 10 millions. Et c'est d'avoir les gens les plus naïfs au final. C'est une sorte de filtre, de grand filet. Il y a des grandes campagnes de filtre où c'est fait exprès. On rend la chose tellement évidente qu'au final, ceux qui cliquent, ce sont les gens qui sont plus à même d'être victimes.
Speaker #0
Oui, il y a ce côté très évident. Et puis, il y a aussi l'impact de l'IA qui est redoutable dans l'ingénierie sociale. Tu parlais tout à l'heure d'une personne qui s'est retrouvée dans un conseil d'administration en full deepfake. Comment on se projette avec ça ?
Speaker #2
Alors ça va être compliqué, je ne sais pas, je pense qu'on saura peut-être un peu plus, mais il va falloir authentifier la source des images, etc. Il y a beaucoup, là on parle vraiment, c'est du Ocean's Eleven, c'est des grandes arnaques à plusieurs millions, mais je pense que tous les jours, là où les gens vont surtout se faire avoir avec le deepfake, ça va être sur les campagnes d'influence, bien sûr. On va manipuler l'image pour créer de l'émotion, etc. Et puis tout ce qui est, on appelle ça les arnaques à la romance. Ça, c'est déjà très bien utilisé. On pense parler à quelqu'un, une femme ou un homme, à une certaine partie du monde qui nous dit des choses. Puis au final, c'est une personne totalement différente qui est derrière. Donc là-dessus, oui, c'est déjà un gros problème. Ouais,
Speaker #3
mais peut-être comme concept. plus pratique, je dirais, en général, d'essayer de voir d'où vient l'information. Parce que ça fait très longtemps qu'on peut générer des fausses images, des fausses vidéos, des fausses voix, des choses comme ça. Mais je pense que tout retombe sur d'où ça vient. Donc si, par exemple, je vois une vidéo du président de la République qui dit quelque chose, qui a posté cette vidéo ? Est-ce que... c'est un compte que j'ai jamais vu avant ou est-ce que c'est un compte officiel de de l'état ou du président, des choses comme ça et ou si c'est un journal par exemple, est-ce que ce journal a une bonne crédibilité ? Est-ce que dans le passé ce journal a un passé ou à avoir dit pas mal de choses qui étaient fausses ou alors est-ce que ce journal a une bonne crédibilité en général qui est assez sérieux et donc je pense que comme tu disais tout à l'heure l'accès à générer ces mensonges est beaucoup plus facile, mais on revient toujours à la même chose que... On en revient toujours au fait que la personne qui poste ça, c'est sa créabilité qui est en jeu. Et donc à partir du moment où tu postes, c'est assez dur de gagner de la créabilité, et c'est très facile de la perdre, parce qu'il suffit de poster une ou deux fois quelque chose de faux, et puis tu perds toute ta créabilité, même si tu dis la vérité depuis dix ans. Donc si tu te fies à ça, euh bah Je pense que tu réduis pas mal les chances de prendre quelque chose qui est faux pour vrai.
Speaker #2
Juste un exemple de deepfake auquel je pense maintenant et qui, à mon avis, va arriver en France dans pas longtemps. C'est vraiment prévalant aux États-Unis en ce moment. C'est plutôt les deepfakes audio, en général, les arnaques où on fait croire aux parents que leurs enfants ont des ennuis.
Speaker #0
Mais des ennuis des fois tout bêtes, un problème de voiture ou perdu pendant un voyage scolaire. Alors là, en fait, les attaquants, quels qu'ils soient, mais en général, c'est des opportunistes qui veulent de l'argent, ils utilisent plusieurs choses. Ils utilisent l'intelligence artificielle pour répliquer la voix d'adolescents, en général. Ils utilisent les réseaux sociaux pour comprendre un petit peu où ces adolescents peuvent être. Est-ce qu'ils sont partis ? Est-ce qu'il y a une déconnexion temporaire avec les parents ? Et donc, les parents reçoivent des appels où ils entendent leur ado en panique. dans une situation plus ou moins grave, leur demandant de l'argent ou leur demandant de faire quelque chose. Et ça, c'est très facile, c'est très peu coûteux, encore une fois, pour les criminels de le faire. Donc je pense que ça viendra en France. Et s'il y a un conseil très simple, en tout cas que j'ai entendu, qui pour moi a du sens, c'est d'avoir une petite phrase secrète avec ses enfants, de se dire, voilà, si jamais un jour tu as des ennuis, si jamais un jour je me fais contacter comme ça, je te poserai une question et je m'attendrai à ce que tu aies une réponse. Et c'est quelque chose de très old school, ce n'est pas très technologique, mais apparemment ça marche dans ce type de scénario. Oui,
Speaker #1
parce que finalement, les réseaux sociaux jouent un rôle là-dedans, encore plus dans un contexte où les nouvelles générations, mais finalement tout le monde, tout le monde est sur les réseaux sociaux. Qu'est-ce qu'on doit faire justement par rapport à toutes ces informations que l'on va mettre sur les réseaux sociaux ? Alors, au-delà du fait de se filmer, de se prendre en photo, mais il y a aussi toutes les informations que l'on met quand on s'ouvre un compte.
Speaker #0
Qu'est-ce qu'on doit faire ? Déjà, faire attention à ce que l'on donne. C'est toujours du troc, en fait. Moi, je vois comme ça. Dès qu'on travaille avec une application, on se dit qu'est-ce que je donne et qu'est-ce qu'on me donne en retour. La plupart de ces applications, leur modèle économique, c'est de vendre nos données. On le sait, je pense que quand c'est gratuit, c'est toi le produit. Je pense que tout le monde l'a entendu maintenant, on n'a plus besoin de le répéter. Mais toujours se dire, bon, est-ce que pour jouer à Candy Crush ou équivalent, je ne veux pas sauter de marque, j'ai besoin de donner mon passeport ? Est-ce que j'ai besoin de donner des informations bancaires ? Ça vous paraît évident quand je vous dis ça, mais il y a plein de scénarios où les gens, sous prétexte de se dire, c'est quelque chose d'important, partagent des informations qu'ils ne devraient pas partager. Après, comprendre un petit peu si ces informations sont publiques, sont privées. Donc déjà, c'est là, faire comprendre la valeur de ces données et ne pas les donner aussi facilement. Et puis après, toutes les règles d'hygiène dont on a parlé, protection des mots de passe, gestionnaire de mots de passe si possible, multiplication des facteurs d'authentification, c'est-à-dire j'ai un mot de passe, il peut se faire voler, d'accord, mais est-ce que je peux recevoir un code par téléphone ou une autre application ? Est-ce que plus je rajoute de complexité, moins il est facile de se faire hacker ?
Speaker #2
Thomas ? Je pense que c'est pareil. Quand on nous demande des informations, c'est rare que ça nous oblige à donner des vraies informations. Donc si, comme tu disais, il y a une application pour jouer à un jeu ou qui n'est pas très importante, même si c'est important mais qu'ils n'ont pas besoin de savoir quel est mon nom, mon prénom, ma date de naissance, etc., il n'y a rien qui m'oblige à mettre des vraies informations. Même si je suis obligé de rentrer les informations pour créer le compte, je peux mettre... des fausses informations et du coup éviter que j'ai des données qui traînent partout quand il n'y en a pas besoin.
Speaker #1
Et les informations qu'on nous demande pour certifier des comptes de réseaux sociaux par exemple ? Une petite pastille. Ces fameuses petites pastilles que tout le monde veut. Est-ce qu'on est prêt à donner des informations pour ça ? Est-ce que c'est une bonne idée ?
Speaker #2
C'est comme tu disais aussi, qu'est-ce qu'on va donner, qu'est-ce qu'on va avoir en échange ? Donc si on veut une petite pastille parce que c'est important pour nous, parce que pour notre travail ou quoi, là ça peut faire du sens de donner ces vraies informations. Mais s'il n'y a pas vraiment de retour, dans le sens où un réseau social me demande mes vraies informations, j'ai rien à gagner à y mettre. J'ai rien à gagner à mettre mon vrai nom, mon vrai nom de famille, mes vraies informations dans ce réseau social-là. Donc ça sert à rien.
Speaker #0
Risques, risques, bénéfices.
Speaker #3
Un peu old school aussi. donner des informations Non, par exemple, quand on télécharge une calculatrice sur un terminal mobile, il n'y a aucune raison que cette calculatrice demande l'accès à mon répertoire, mon appareil photo, mon micro, ma caméra. Donc juste aussi lire un petit peu, s'informer, s'éduquer et voir qu'il y a une décorrélation entre le bénéfice que j'attends d'une calculatrice et les accès que l'on me demande. Donc c'est juste... Voilà, l'esprit critique, on en a parlé souvent. Avoir une capacité juste d'analyser que là, en téléchargeant cette calculatrice, je me fais avoir parce qu'il va accéder à tout mon contenu, alors que ce n'est pas du tout... en corrélation avec le bénéfice attendu.
Speaker #1
Et c'est souvent d'ailleurs.
Speaker #3
Et c'est très souvent que pour n'importe quelle application, ils demandent à accéder à absolument tout. Ça fait partie aussi des protections.
Speaker #0
Avec ces caméras, microphones sur les applications mobiles, ça a beaucoup de jeux, des petits jeux qui demandent ça, faire très attention. Est-ce qu'on a réellement besoin de jouer à ce jeu tout de suite ? Parce qu'après, c'est un calcul personnel. Si on a besoin de LinkedIn pour travailler, on va peut-être accepter le risque. C'est ça, se demander, comme une entreprise se demande, est-ce que je suis prêt ? près accepter cette part de risque est ce que donner mon passeport à linkedin c'est la même chose que donner mon passeport à tik tok à qui ces sociétés appartiennent qu'elles sont des enfants qui est à l'origine ce que dit mais si thomas linkedin ok c'est microsoft peut
Speaker #3
espérer qu'une certaine sécurité même s'il vend nos données qui est une certaine sécurité quand quand on télécharge un jeu dont l'origine est difficile à déterminer, mais... que dans la notice du jeu, tout est écrit en chinois. S'il demande le passeport, il faut peut-être réfléchir deux secondes avant.
Speaker #1
Peut-être pas. Non, finalement, non.
Speaker #2
C'est peut-être un super bon jeu.
Speaker #3
C'est peut-être un super bon jeu, mais bon, est-ce que je prends le risque de diffuser mon passeport, même si le jeu est super bon ?
Speaker #0
De plus en plus de ces problèmes, ça devient de plus en plus difficile, surtout avec l'intelligence artificielle maintenant. tout. Toutes les applications, tous les produits qu'on utilise maintenant vont être infusés à l'IA, vont avoir des nouvelles compétences. On va demander en fait de connecter une application à d'autres applications pour que l'IA puisse tirer des enseignements, comprendre notre utilisation, nous faire des recommandations. Et je pense que ça va être de plus en plus compliqué de dire non.
Speaker #3
Et ça va mener à l'agrégation générale. C'est ça en fait le réel danger.
Speaker #1
L'agrégation générale ?
Speaker #3
L'agrégation des données. Mon prénom Marine, ça n'a aucun intérêt tout seul. Par contre, si je le rapproche de ton famille, ton adresse, tes habitudes de consommation, ton compte LinkedIn, là, du coup, j'ai un package très, très intéressant et qui vaut de l'argent. Les IA vont être un vecteur d'agrégation de données qu'on n'avait pas imaginé. Parce que, et ça existe déjà, il y a déjà des IA découvertes en Osint sur... qui est Marine Hadato. Il va aller chercher partout, à partir de ta photo, de ta voix, de tes traces numériques, et il va fabriquer un package complet. Une entreprise aux US qui a été un peu retoquée, mais qui continue son activité, qui s'appelle Clearview, et qui fabrique ça en fait. Il capte des milliards de photos, puis il y a des IA qui font des classifications, des rapprochements et des packages. Alors c'est utilisé par toutes les agences de renseignement américains. Mais du coup, là, ils l'ont fermé au public. On ne peut plus payer pour avoir, à partir d'une photo, toute la vie de la personne.
Speaker #0
C'est déjà ce que les publicitaires font. C'est la grande valeur des données de Google. Ce n'est pas de connaître votre nom, votre date de naissance. C'est de savoir que vous êtes anxieux à 2h du matin par rapport à une chose qui vous arrive dans votre vie. C'est des données sur le subconscient qui sont extrêmement puissantes. Pour les campagnes marketing, bien sûr, mais aussi pour les campagnes d'influence. Donc ça, je pense que... À long terme, c'est bien plus dangereux que de se faire voler son prénom et sa date de naissance.
Speaker #1
Alors, c'est bien, la transition est toute trouvée. Ce podcast, la provocation est d'acculturer, mais aussi de donner des conseils pratiques aux auditeurs. On en a déjà donné quelques-uns, mais globalement, quels conseils est-ce que vous donneriez à des dirigeants d'entreprises, déjà pour se protéger des cyberattaques ? On remonte de deux crans.
Speaker #0
Alors, ça va dépendre un peu de leur taille, de leur chemin, de leur maturité sur le plan de la cybersécurité. Je pense que si on parle de la poste, ça va être des enjeux très, très différents d'une petite entreprise. Déjà, admettre qu'on peut être vulnérable, qu'on peut se faire hacker, comprendre un petit peu l'ampleur du domaine, c'est-à-dire que... On peut se faire voler des données, oui, en ayant des données sur le cloud, mais aussi en les ayant sur un serveur local, mais aussi par le biais d'employés. Il y a plein de vecteurs d'attaque. Donc, s'entourer de professionnels, leur donner des raisons de bien nous conseiller. C'est-à-dire, des fois, on travaille avec des gens et on leur donne des motivations, pas forcément de bien nous conseiller, mais de... de créer une addiction, je ne vais pas dire du mal des cabinets de conseil, mais il y a beaucoup de situations comme ça, où des grandes entreprises n'encouragent pas les gens à résoudre un problème, mais surtout à en trouver des nouveaux à chaque fois. continuer comme ça cette dépendance. Mais on l'a déjà dit un peu tout à l'heure, commencer par un inventaire de tout ce qu'on a, de tout ce qui est à risque. Et puis après, on ne peut pas tout protéger. Donc sur la base du champ des menaces, comme on dit dans le milieu, comprendre quoi protéger, jusqu'où faire ce calcul coûts, bénéfices, risques en permanence. Il n'y a pas une réponse à... à cette question, mais il y en a des multiples selon qui on est et à quel moment de son développement.
Speaker #1
Ok, Olivier, qu'est-ce que tu ajoutes à tout ça ?
Speaker #3
Tout ça, ce sont des règles ou des bonnes pratiques qu'on connaît. Il y a peut-être passé deux minutes à lire les recommandations de cybermalveillance.gov, qui sont basiques, alors pour vous deux, ça va paraître quand même très très léger, mais c'est une découverte pour la moitié de la population. C'est deux minutes à lire et ça évite 70-80% des problèmes, simplement parce qu'il répète l'authentification forte, les mots de passe complexes, etc. Identifier aussi peut-être, on l'a dit un peu en creux, les éléments clés. L'adresse e-mail qu'on a donnée à la banque, c'est un élément clé. Parce que si on se fait pirater le compte, c'est par ce vecteur qu'ils vont d'abord essayer de fermer ou de réhabiliter le compte. Peut-être que cette adresse e-mail... Là, elle est clé et qu'il faut la sécuriser avec du 2FA, avec des mots de passe complexes. Si vous utilisez la marque à la pomme, il y a les outils intégrés dans la marque à la pomme pour créer des mots de passe récurrents, complexes, en 2FA, etc. Sinon, utilisez des applications tierces pour le faire. Mais bien identifier quels sont les comptes. Parce que si je perds mon compte TikTok, c'est aussi grave que si je me fais pirater mon adresse mail qui me... sert à communiquer avec ma bande. C'est ça, réfléchir à la hiérarchie pour sécuriser au maximum et donc courir plus vite que son voisin face au tigre sur ce type d'attaque.
Speaker #1
Thomas, tu parlais d'applications tout à l'heure, tu peux peut-être en citer quelques-unes.
Speaker #2
Oui, moi j'utilise Bitwarden, qui est un gestionnaire de mots de passe. Donc en gros, l'avantage, c'est que c'est multipatforme, donc tu peux l'avoir sur mon PC Windows, sur mon Mac, sur mon téléphone. Et ça fait que je récupère tous mes mots de passe sur toutes mes plateformes. Et donc j'ai un mot de passe très fort qui permet de débloquer cette application. Et cette application, ensuite, elle, elle contient tous les mots de passe qui sont tous différents pour tous les sites, toutes les applications, etc. Donc ça permet de facilement avoir des mots de passe différents, compliqués, longs, pour tous les services qu'on utilise. Et ça, ça nous protège dans le cas où... Parce que même si on a un mot de passe très très fort, le service qu'on utilise, il peut... Comme on a dit tout à l'heure, comme je pense que tu as dit, il y a 40% des entreprises qui sont victimes de fuite. Donc ça veut dire qu'on utilise des dizaines, peut-être des centaines de comptes sur différents services. Donc même si mon mot de passe est super fort, il est probablement dans la nature. Donc le fait d'en avoir plein de différents, ça évite que si ce mot de passe-là est compromis... Ça ne compromet pas tous mes autres services d'un coup.
Speaker #1
Alors, j'ai une question qui me vient là. Les identifications Google, bonne idée ou mauvaise idée, du coup ?
Speaker #0
C'est-à-dire le single sign-on ?
Speaker #1
Exactement.
Speaker #0
Oui, moi, je pense que c'est… Sauf si c'est l'adresse mail de ta banque. Ah oui, alors après, très bon conseil que vous avez donné tout à l'heure par rapport à d'avoir plusieurs adresses e-mail selon les finalités. comprendre son empreinte digitale en règle générale, peut-être faire un petit nettoyage de printemps, regarder son téléphone, est-ce qu'on a besoin de 150 applications, qu'est-ce qu'on peut effacer, est-ce qu'on a besoin d'avoir un compte utilisateur sur tous les sites de shopping, quelles que soient leurs origines, de temps en temps faire ce nettoyage. Et oui, ce qu'on appelle le single sign-on, c'est bien si on a un très bon mot de passe, si on a un multiple facteur d'authentification, c'est comme un gestionnaire de mot de passe, si on a un mot de passe. passe très très simple à craquer, ça ne sert à rien. Je rajouterais juste un petit conseil pour les entreprises. Les entreprises ont accès à beaucoup de très bonnes ressources aussi, surtout en France. L'ANSSI fait un travail incroyable, l'Agence Nationale de la Sécurité des Systèmes d'Information. Sur leur site, il y a énormément de ressources appropriées aussi pour les TPE et ils sont facilement joignables aussi. C'est des gens qui d'ailleurs aiment aider les entreprises de toutes... de taille, donc n'hésitez pas à vous renseigner sur leur site.
Speaker #1
Allez contacter si besoin. Merci beaucoup. À présent, je vous propose d'ouvrir vos chakras de la réflexion avec la vision prospective d'Olivier. Quel pourrait être notre futur de la cyber ? Olivier. C'est à toi.
Speaker #3
Le futur de la cyber, vaste question à laquelle je ne vais pas répondre, mais on l'a dit tout à l'heure, l'avenir du monde numérique est incertain, il est semé d'embûches, les menaces cyber, qu'elles soient le fait de hackers malveillants, d'organisations criminelles ou d'états hostiles, sont en constante évolution, se renouvellent sans cesse, et on peut gager que l'échelle sera toujours plus haute que le mur. Elles visent à perturber, endommager ou voler les données sensibles, des infrastructures critiques ou des secrets industriels, on l'a dit tout à l'heure. Tout à l'heure, ça concerne les entreprises et les individus. L'intelligence économique qui consiste à collecter, analyser et diffuser des informations stratégiques pour un avantage concurrentiel devient un enjeu majeur dans la guerre de l'information, dans l'influence qui se joue sur la toile, mais devient aussi une arme redoutable. Le danger pour les plus jeunes est réel, exposé à des contenus toujours plus addictifs et souvent inappropriés, à des tentatives de manipulation ou à des cyberharcèlements. sans avoir forcément les outils pour se protéger ou se défendre. Mais quels sont ces outils ? Face à ces défis, le rôle de l'esprit critique, on y revient, et de l'éducation à tous les âges est primordial. Il s'agit de développer chez les citoyens et chez les patrons d'entreprises, notamment TPE, PME, des compétences et des attitudes qui leur permettent de comprendre, d'évaluer et de contrôler leur environnement digital. Il s'agit aussi de les sensibiliser aux risques et aux opportunités du monde numérique, de leur apprendre à protéger leur identité, leur vie privée, leurs données, de leur transmettre les règles d'éthique et de civilité en ligne, de leur faire acquérir les bases de la cybersécurité, mais aussi d'identifier les schémas de manipulation et d'ingénierie sociale. L'éducation aux médias et à l'information devrait être une priorité nationale et internationale, encore une fois à tous les âges. puisqu'il implique tous les acteurs de la société, les pouvoirs publics, les entreprises, les associations, les médias, les établissements scolaires, les familles et les individus. Il ne suffit pas de fournir des équipements et des connexions à tous. Il faut aussi accompagner les usagers dans leur appropriation critique et responsable du numérique. Plusieurs fois au cours de ce podcast, nous avons évoqué l'esprit critique. Je pense que c'est le moment où il faut vraiment s'en servir, car c'est la seule arme de protection massive universelle. contre les plateformes abrutissantes qui n'ont de social que le nom. Et pour y parvenir, permis de surfer façon permis de conduire à point ou éducation des masses, vous avez 4 heures.
Speaker #1
Des réactions ?
Speaker #2
Moi, je trouve que c'est intéressant le fait que tu dises que l'esprit critique soit intéressant parce qu'on a beau donner tous les conseils qu'on veut, Ils sont valables aujourd'hui, peut-être que dans six mois ils sont plus valables parce qu'on a une nouvelle technique d'attaque avec de l'IA super compliquée qui fait que même si tu fais tout ça, ça ne sert quand même à rien. Donc effectivement, après c'est un peu difficile de donner ça comme conseil, de dire il faut juste faire attention. Mais ouais, c'est en fait probablement que le conseil ultime c'est d'essayer de comprendre ce qu'on utilise pour pouvoir... pour pouvoir avoir cet esprit critique-là qui va nous dire si ce qu'on fait, c'est sécurisé ou pas.
Speaker #3
Sachant qu'une des plus vieilles attaques, qui est la clé Louis Vuitton, continue de fonctionner. Il y en a encore eu une il y a deux semaines. Donc l'attaque par clé, ça continue de très bien fonctionner, alors que ça a peut-être 15 ou 20 ans, ce type d'attaque. Et que tout le monde la connaît. Tout le monde sait très bien... Si on trouve une clé Louis Vuitton dans un ascenseur, il ne faut pas la brancher sur son PC.
Speaker #0
Votre conclusion est parfaite. Le vecteur d'espionnage encore aujourd'hui le plus utilisé par toutes les agences dans le monde, c'est d'écouter par-dessus l'épaule. Ça n'a pas changé. Et encore une fois, pour se protéger de tout type d'attaque, le meilleur des conseils que vous avez donnés, c'est améliorer son esprit critique et se former comme les agences de renseignement forment leurs analystes. Ils essayent d'avoir des gens les plus objectifs possibles, avec un esprit critique pour être capable d'analyser une situation de manière froide. Et ces gens-là apprennent à réfléchir hors émotion. D'ailleurs, il y a un bouquin que j'ai trouvé par hasard il y a des années, je pense qu'il est encore édité, qui s'appelle « Petit cours d'autodéfense intellectuelle » . Je pense que peut-être d'autres personnes l'ont lu. En tout cas, c'est un... Une agrégation de plein de sources qui expliquent les biais cognitifs, les erreurs de raisonnement, et j'encouragerais beaucoup de gens à le lire ou à rejoindre des associations qui vous enseignent la pensée critique.
Speaker #3
Et sur le segment de l'influence, toujours se méfier d'une information qui va dans le sens, dans notre sens de penser. Parce que c'est celle-là qui est utilisée pour ensuite introduire des biais.
Speaker #0
C'est de plus en plus dur. Tous les réseaux sociaux sont construits, les algorithmes sont construits pour renforcer un petit peu ce qu'on aime. Plus on regarde un type de contenu, plus on va nous en suggérer. Donc on s'enferme dans ces chambres d'écho, comme on dit.
Speaker #1
Ok, l'esprit critique donc comme mot de fin. Je pense que c'est bien. Merci à tous les trois d'avoir partagé vos connaissances et votre vision. Nous vous mettons toutes les ressources citées dans la description de l'épisode. A très vite pour un prochain épisode.
Speaker #3
Merci Marine.
Speaker #2
Merci. Salut.
Speaker #1
Salut. Et voilà, chers auditeurs, c'est tout pour cet épisode de Tendances Inno. Un grand merci pour votre écoute. Nous espérons que vous avez trouvé cette discussion aussi enrichissante et inspirante que nous. N'oubliez pas de vous abonner pour ne manquer aucun de nos futurs épisodes. Vous pouvez retrouver Tendancino sur toutes les plateformes de podcast, YouTube et Dailymotion. Si vous aimez ce podcast, faites-le nous savoir et aidez-nous à le faire connaître grâce à vos commentaires et à vos partages. Pour plus de contenu sur les technologies émergentes, suivez-nous sur les réseaux sociaux de Docaposte et de Wagmi Trends. A bientôt pour un nouvel épisode, placé sous le signe de la tech, du Web3 et de l'innovation. D'ici là, continuez à explorer, à innover et à créer.

About « Tendances INNO » le podcast Innovation de Docaposte

💥 Bienvenue dans « Tendances INNO », le podcast de Docaposte pour tout savoir sur les technologies émergentes, sous le signe de la tech et de l'innovation !

Nous vous proposons de partir à la rencontre de celles et ceux qui innovent et qui créent, qui s’intéressent, se questionnent et souhaitent comprendre et transmettre à leur tour la connaissance et la compréhension de ces changements numériques de premier plan.

Ce podcast est animé par Marine Adatto, co-fondatrice de La Légende, Olivier Senot, Directeur de l'Innovation chez Docaposte et orchestré par Benjamin Kaminski, Responsable Digital, Social Media & Innovation chez Docaposte.

Si vous aimez ce podcast, n’hésitez pas à vous y abonner, à nous le dire en commentaire, et à mettre un 👍 ou ❤️ selon la plateforme que vous utilisez pour nous écouter !

Prise de son / mixage : Marine Benabou

Montage vidéo : Richard Bourderionnet

Direction artistique : Alexandre Warisse

#TendancesInno #Innovation #ConfianceNumérique #Podcast

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About « Tendances INNO » le podcast Innovation de Docaposte

💥 Bienvenue dans « Tendances INNO », le podcast de Docaposte pour tout savoir sur les technologies émergentes, sous le signe de la tech et de l'innovation !

Si vous aimez ce podcast, n’hésitez pas à vous y abonner, à nous le dire en commentaire, et à mettre un 👍 ou ❤️ selon la plateforme que vous utilisez pour nous écouter !

Prise de son / mixage : Marine Benabou

Montage vidéo : Richard Bourderionnet

Direction artistique : Alexandre Warisse

#TendancesInno #Innovation #ConfianceNumérique #Podcast

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

#Podcast 🎧 | Imaginez un champ de bataille où chaque clic peut être une arme et chaque donnée personnelle un territoire à conquérir.

Dans le monde numérique d'aujourd'hui, la cybersécurité ne se limite pas seulement à protéger des informations, elle est une lutte invisible pour la sécurité et la souveraineté.

Aujourd’hui, Marine Adatto et Olivier Senot, Directeur de l'Innovation de Docaposte, vous proposent de plonger dans les profondeurs de ce champ de bataille moderne.

Nos invités ?

➡️ Simon Reiniche, cofondateur d’Innixus, un réseau social privé pour les professionnels de la cybersécurité.

➡️ Thomas Bomboh, alias Cocadmin, Youtuber passionné par la cybersécurité, qui programme des bots et mine des bitcoins sur une calculette.

🎧 Au programme :

- Qu'est-ce que la cybersécurité et pourquoi est-elle plus importante que jamais ?

- Une exploration des coulisses de la cyber-guerre mondiale.

- Des conseils pratiques pour protéger vos données personnelles et professionnelles.

💡 Ce que vous propose cet épisode ?

Un voyage éclairant à travers les tactiques, les technologies et les stratégies de pointe qui façonnent le futur de notre sécurité numérique.

Et vous, comment percevez-vous les enjeux de la cybersécurité dans votre quotidien ?

Partagez vos réflexions et rejoignez la discussion !

Cliquez sur ▶️. Votre prochaine découverte sur comment sécuriser votre futur numérique est à portée de clic.

Retrouvez cet épisode de “Tendances Inno” sur votre plateforme de podcast préférée : https://smartlink.ausha.co/tendances-inno-le-podcast-innovation-de-docaposte

#TendancesInno #Innovation #Docaposte #WagmiTrends #Innovation #cybersécurité

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue dans Tendances Inno, votre rendez-vous pour explorer les technologies émergentes présentées par Docaposte, le référent français de la confiance numérique. Je suis Marine Adatto, cofondatrice de Wagmi Trends, et j'ai le plaisir d'être accompagnée par Olivier Senot, directeur de l'innovation chez Docaposte. Dans ce podcast, nous vous emmenons à la rencontre des innovateurs et des créateurs qui redéfinissent notre monde numérique. Que votre curiosité vous porte vers le Web3, l'IA ou toute autre technologie émergente, Vous êtes au bon endroit. Préparez-vous à une dose d'inspiration et d'informations. Au programme, des découvertes, des défis et des solutions innovantes. Alors branchez vos écouteurs, ouvrez votre esprit et plongez avec nous dans l'univers de Tendances Inno. Imaginez un champ de bataille où chaque clic peut être une arme et chaque donnée personnelle un territoire à conquérir. Dans le monde numérique d'aujourd'hui, la cybersécurité ne se limite pas seulement à protéger des informations. Elle est une lutte invisible pour la sécurité et la souveraineté. Aujourd'hui, nous vous proposons de plonger dans les profondeurs de ce champ de bataille moderne avec un expert du domaine, Simon Reiniche, expert en cybersécurité et cofondateur d'Inixus, un réseau social privé pour les professionnels de la cybersécurité. Bonjour Simon. Il mine des bitcoins sur une calculette et code des bots pour traquer les McFlurry. youtubeur passionné d'informatique et de cybersécurité, Thomas Bombo, aussi connu sous le nom de Cocadmin, est avec nous aujourd'hui. Bonjour Thomas. Salut, comment ça va ? Ça va et toi ? À mes côtés, car je suis toujours très bien accompagnée, Olivier Seuneau, directeur de l'innovation chez Docaposte, nous partagera sa vision et ses conseils sur ce sujet brûlant, qu'est-ce que la cybersécurité ? Pourquoi parle-t-on de cyberguerre mondiale ? Quelles sont les motivations derrière les attaques numériques ? Olivier, c'est à toi.
Speaker #1
Merci Marine. Simon sait tout. Expert en cybersécurité, en intelligence, en risque cyber et on me dit dans l'oreillette qu'il est aussi spécialiste du dark web. Titulaire d'un bachelor de la Inholland Academy et diplômé d'une prestigieuse mais peu connue en France université de Séoul, la Yonsei University, qui a la particularité de former les enseignants. Mais si l'enseignement est une vocation, c'est le business et la lutte contre la cybermenace qui guidera ta carrière. Après 15 ans d'exec développement pour des entreprises de cybersécurité aux quatre coins du monde, mêlée d'intrapreneuriat notamment en Afrique, tu es fondateur et directeur général d'Inixus, le réseau social ouvert sur invitation et réservé au monde de la cybersécurité. Rapporter Inixus au simple réseau social serait occulter l'ambition éducative de cette plateforme pour que tous les responsables cyber restent en permanence informés des menaces et autres broutilles qui empoisonnent nos vies numériques. Impliqué dans l'éducation face aux menaces du XXIe siècle, tu as récemment prodigué Ta vision du rôle des parents dans l'éducation des jeunes, mais comment faire quand les parents ne sont pas « aware » sur les risques qui les concernent ? Simon, nous t'écoutons.
Speaker #0
Salut Simon.
Speaker #2
Salut, merci de me recevoir.
Speaker #0
Simon Thomas, pour rentrer dans le vif du sujet, et Olivier bien sûr, je vous propose un petit quiz. L'idée, c'est d'avoir une vue globale de ce qui nous attend. Est-ce que vous êtes prêts ?
Speaker #2
Oui.
Speaker #0
Première question, quel sera le coût annuel mondial des cyberattaques d'ici 2025 ? Alors, première réponse, 6 000 milliards de dollars. Deuxième réponse, 8 000 milliards de dollars. 10 000 milliards de dollars ou 12 000 milliards de dollars ?
Speaker #2
Beaucoup. Beaucoup.
Speaker #0
Beaucoup de milliards.
Speaker #1
Beaucoup trop.
Speaker #0
Beaucoup trop de milliards.
Speaker #2
Je vais dire 10 000 milliards.
Speaker #0
10 000 milliards, ouais. Thomas, tu dis ?
Speaker #3
Ouais, ça me paraît, même 10 000 milliards, ça me paraît beaucoup, mais tous les chiffres que tu as donnés sont super gros, donc je vais dire 10 aussi.
Speaker #0
Ouais, ouais, c'est ça. Olivier ?
Speaker #1
Déjà, 6 000 milliards, juste pour comparer, c'est l'équivalent de l'épargne totale des Français.
Speaker #0
Ah oui, c'est beaucoup.
Speaker #1
L'épargne totale de la France, c'est 6 000 milliards.
Speaker #0
Donc, il faut faire attention aux cyberattaques quand même. Alors, c'est 10 000 milliards, c'est plus que l'épargne des Français. Et c'est selon l'étude 2022 Cybercrime Report de Cybersecurity Ventures. Donc, ce coût annuel des cyberattaques devrait atteindre 10 000 milliards de dollars d'ici 2025. Et le pire, c'est que c'est une augmentation de 15 %. par rapport à 2021. Protégeons-nous. Deuxième question. Quel est le pourcentage des entreprises qui ont subi une fuite de données en 2022 ? 30%, 40%, 50% ou 60% ?
Speaker #3
Je dirais 50% parce que ça peut être ce qu'on entend parler des grosses fuites, mais il y a des petites fuites qui arrivent tous les jours qu'on n'entend jamais parler. Une entreprise vit des années en général. Probablement 50%. Oui.
Speaker #2
Je dirais aussi sûrement plus de la moitié. Il y a les fuites cyber, mais il y a aussi les fuites liées au départ d'un employé qui a, par exemple, pris un fichier qu'il n'aurait pas dû prendre. Donc, je dirais plus de la moitié.
Speaker #0
Olivier, tu dis quoi ?
Speaker #1
60 %,
Speaker #2
ça me paraît faisable.
Speaker #0
60 % ?
Speaker #1
Toutes les petites fuites.
Speaker #0
Oui. Écoutez, pour l'instant, on n'est qu'à 40 %.
Speaker #3
Ah, ça va.
Speaker #1
C'est moins pire que ce qu'il y a.
Speaker #2
C'est bon, on n'a rien à faire.
Speaker #0
Ça va, on est pas mal. C'est une étude d'IBM de 2022. 40% des entreprises qui ont subi une fuite des données et un coût moyen de 4,35 millions de dollars par incident. Ce n'est quand même pas neutre. Troisième question. Combien de milliards de dollars le marché mondial de la cybersécurité devrait-il atteindre d'ici 2027, selon Mordor Intelligence ? On est toujours en milliards, je vous le dis. On est sur un gros marché. 150 milliards, 200 milliards, 250 milliards ou 300 milliards ?
Speaker #2
Tu devrais le savoir.
Speaker #0
Je devrais le savoir aussi. Oui, tu devrais le savoir.
Speaker #2
Oui, je pense que... Plus le chiffre est gros, plus il est réaliste dans ce cas-là. Donc, je prendrais la plus haute estimation.
Speaker #0
300 milliards ? Oui. Thomas, tu dis quoi ?
Speaker #3
Si tu as dit tout à l'heure, on était à 10 000 milliards de coûts. Donc, ça veut dire qu'il faut que ce soit une portion de ça que tu veuilles sécuriser. Si tu veux sauver 10 000 milliards, il faut que tu dépenses une petite portion de ça. Le plus gros chiffre que tu avais dit, c'était quoi ?
Speaker #0
300 milliards.
Speaker #3
300 milliards, ça fait 3 %. Ça paraît un bon deal.
Speaker #0
Oui. On est sur un bon raisonnement là Thomas. Olivier, tu dis quoi ?
Speaker #1
C'est un peu élevé 3%, mais oui.
Speaker #0
Tu suis Thomas ?
Speaker #1
Oui, 250.
Speaker #0
250 ? C'est Thomas qui a raison. 300 milliards. 300 milliards de dollars en 2027. Et donc c'est avec une croissance de 12,5% chaque année de 2022 à 2027. Et alors j'ai une question super banco, si vous voulez. Le tout pour le tout. Le tout pour le tout. Selon Gartner, quel est le pourcentage des organisations qui adopteront une approche zéro trust d'ici 2025 ? 35%, 45%, 55% ou
Speaker #2
65% ? Je vais dire l'estimation la plus haute, c'est un concept qui est très ambitieux.
Speaker #0
Très ambitieux ?
Speaker #3
Je pense que tout le monde veut le faire, mais en général l'implémentation de nouvelles technologies dans les entreprises, surtout les grosses entreprises, ça prend beaucoup de temps. Si la question c'est l'intention, peut-être 40-50%, mais l'implémentation, peut-être 10%.
Speaker #0
Ah oui, on est plutôt sur l'intention.
Speaker #1
Sur l'intention, maximum. Maximum. Les Zero Trust,
Speaker #0
c'est... Ils ont raison en même temps.
Speaker #1
Sur l'intention, oui. Ensuite, je suis d'accord sur la réalisation, on ne sera pas au niveau de l'intention.
Speaker #0
Oui, c'est ça. C'est donc 65%. Contre seulement 35% en 2021, quand même. Voilà, et donc Gartner, c'est un cabinet de recherche et de conseils reconnus pour ses analyses des tendances technologiques, notamment dans le domaine de la cybersécurité. Je vous propose de poursuivre avec un micro-trottoir. On est allé écouter ce que pensent les gens de la cybersécurité et de l'impact qu'ils imaginent sur leur quotidien. Te sens-tu en sécurité quand tu partages tes informations personnelles en ligne ?
Speaker #4
Je suis assez mitigée.
Speaker #0
Pourquoi ou pourquoi pas ?
Speaker #4
Parce que d'un côté, partager les informations, c'est nécessaire, notamment pour se connecter à certains sites ou certaines applis. Mais d'un autre côté, justement, c'est là où les cookies jouent un rôle, où on a un peu peur que nos informations soient divulguées à on ne sait qui. Et donc, si je devais me positionner, je serais assez inquiète quand même de partager mes données, car on ne sait pas à qui est-ce que ça peut... être envoyé, surtout avec les cookies, on ne sait pas trop ce qu'il y a dedans, surtout qu'on ne les lit pas. Donc oui, je serais assez inquiète.
Speaker #0
Quelle est ta plus grande peur concernant la sécurité de tes données en ligne ?
Speaker #2
Je n'en ai pas vraiment parce que toutes les données sont déjà publiques. Du coup,
Speaker #3
tu as compris, ça fait longtemps que Google,
Speaker #2
Facebook, que tout le monde a toutes les données.
Speaker #3
Aujourd'hui, ou bien tu vis avec ton époque ou bien tu ne vis pas.
Speaker #0
Quelle mesure simple penses-tu que tout le monde devrait prendre pour mieux protéger ses données en ligne ?
Speaker #4
Ne pas poster sur les réseaux comme TikTok, Instagram, Facebook, parce qu'on ne sait jamais où vont nos données. Parce que de base, on les donne à Facebook ou ces grosses entreprises, mais on ne sait pas qui va être l'entreprise finale qui va traiter ces données.
Speaker #0
Alors quelles sont vos réactions ? Thomas ?
Speaker #3
Je pense que c'est un peu les deux extrêmes où il y en a qui sont... qui se disent « Ah, faut faire vraiment attention, tout maîtriser, etc. » Et puis de l'autre côté, t'as ceux qui disent « Bon bah de toute façon, on est foutus, donc autant faire ce qu'on veut et pas s'en soucier, parce que de toute manière, on n'a pas le choix, quoi. » Mais moi, je sais pas, j'imagine qu'il y a un milieu quand même entre les deux. Je pense qu'on peut... On a quand même une maîtrise un petit peu de ce qu'on partage. C'est plus, à mon avis, important de... Faire attention à ce qu'on partage plutôt que de se dire non, il ne faut absolument rien partager. Sans non plus se dire, c'est ça, un peu entre les milieux. Plutôt se dire, essaye de faire attention à ce qu'on va partager plutôt que soit ne rien partager, soit tout partager.
Speaker #0
Ou se dire qu'on est foutus. On est foutus, Simon, ou pas ?
Speaker #2
Non, on n'est pas foutus, mais c'est vrai qu'il y a soit une paranoïa complète, soit un défaitisme. Je dirais que le juste milieu, c'est déjà d'essayer de comprendre ce qu'on partage et quelle valeur ça peut avoir et pour qui. Donc, essayer un petit peu de comprendre la valeur de son empreinte en ligne et réfléchir avec du bon sens.
Speaker #0
Olivier, qu'est-ce que tu en penses ?
Speaker #1
Je ne sais pas si les données sont publiques, mais avec les quelques dernières fuites qu'on a eues à la CEPAM, à France Travail, etc., en France, c'est sûr qu'il y a un certain nombre de données personnelles qui sont sur le dark web. Donc, chaque individu doit faire attention, mais il y a aussi le côté entreprise. La CEPAM, c'est 40 millions de piratages. 2-3 millions qui sont effectivement sur le dark web. Quand il y a le nir sur le dark web, ça commence à être compliqué.
Speaker #0
Alors, Simon, là, on traite de la cybersécurité. Mais quand on dit cybersécurité, de quoi est-ce qu'on parle exactement ?
Speaker #2
On parle de beaucoup de choses. On parle d'un domaine qui regroupe beaucoup de gens, qui regroupe des technologies, des compétences, des concepts. Donc la cybersécurité, en fait, c'est tout ce qui aide à la protection. Des données, des moyens de partage de ces données, de communication. En fait, c'est tout ce qui protège aujourd'hui l'économie et la confiance digitale. Donc c'est très important aujourd'hui.
Speaker #0
Thomas, tu veux ajouter quelque chose ?
Speaker #3
Non, je pense que c'est super large. Parce que tu as différents métiers. Tu vas avoir ceux qui vont faire de la sécurité offensive, donc ils vont essayer de trouver des failles. Tu vas avoir ceux qui font... au contraire qui vont essayer de défendre, de corriger ces failles-là. Tu as ceux qui vont intervenir après qu'il y ait eu une attaque pour essayer de comprendre ce qui s'est passé, comment le régler, d'où l'attaque peut venir, etc. Il y a vraiment de la sécurité logicielle, de la sécurité hardware avec le matériel, etc. Donc c'est vraiment super, super vaste.
Speaker #2
Et tout ce qui est humain aussi, qui est lié à la fraude, à l'ingénierie sociale. Donc c'est très dur en fait. Il y a beaucoup de responsabilités dans ce domaine. qui touche à d'autres domaines de compétences. Donc,
Speaker #0
on peut en parler. Justement, on en parlait tout à l'heure. On disait qu'il y a beaucoup, beaucoup de milliards. Et toi, tu répondissais pendant MicroTourneur, tu me disais qu'il y a surtout beaucoup d'humains derrière.
Speaker #2
Oui, et toujours pas assez. De toute façon, le problème principal de la cybersécurité, c'est le manque de gens, le manque de personnel. Et si je pouvais déjà encourager des gens qui écoutent à rejoindre la lutte, ça fait peur à beaucoup de monde. La cybersécurité, c'est quoi ? Mais ce n'est pas quelque chose d'aussi difficile, aussi effrayant que les gens le pensent. Et j'encouragerais tout le monde à se renseigner. Ne pas avoir peur du vocabulaire qui peut laisser croire que c'est inatteignable.
Speaker #0
Alors, pourquoi est-ce qu'on parle de champ de bataille invisible quand on parle de cybersécurité, Simon ?
Speaker #2
Je pense qu'on parle de ça pour plusieurs raisons. Une des raisons, c'est qu'on peut être victime d'une cyberattaque, on peut être compromis sans le savoir. D'ailleurs, la majorité des cas, c'est ça. On s'en rend compte trop tard. Et puis, c'est quelque chose que les gens ont du mal à comprendre. Ils ne peuvent pas toucher. C'est-à-dire qu'on voit quand on s'est fait casser un carreau, quand on s'est fait voler son portefeuille. Mais quand potentiellement ces données sont dans des endroits, elles sont monétisées par des gens à l'autre bout du monde, c'est très abstrait. Donc, ce sont certaines raisons sur le plan individuel. Et puis après, sur le plan global, géostratégique, il y a une guerre mondiale numérique. qui se joue tous les jours, dont les gens n'ont pas conscience, je pense.
Speaker #0
Oui, c'est ça. En fait, on est en pleine guerre mondiale cyber. Et donc, quand on avait préparé ce podcast, vous m'avez dit que tout pays se doit de monter une armée cyber pour se défendre.
Speaker #2
Ça veut dire quoi ? Déjà pour se défendre, pour se défendre bien sûr ses institutions et aussi tous les organismes d'importance vitale, quel qu'il soit, quel que soit le pays. C'est-à-dire ? C'est-à-dire tout ce qui touche à l'énergie, à l'alimentation, à la santé, à la confiance. On parlait de confiance aujourd'hui. Ce qui est très dangereux avec les cyberattaques, c'est non seulement le fait qu'un individu peut être victime, peut être défraudé, ses données peuvent être volées, mais surtout, petit à petit, ce qui est très grave, c'est que les gens perdent confiance en certaines institutions. Et si on commence à croire que quand on met de l'argent dans sa banque, il peut disparaître, quand on vote, ça peut être manipulé, quand on entend un message officiel de l'État, c'est peut-être pas vraiment le président qui nous parle. Ça crée des problèmes bien plus importants que de se faire des prodès de 200 euros sur le Deep and Dark Web. Donc oui, il faut se protéger. Les pays se protègent. La France est très compétente dans ce domaine-là. Il y a plusieurs institutions dont c'est le rôle, comme tu l'expliquais d'ailleurs Thomas, de s'inquiéter des attaques avant qu'elles arrivent, après qu'elles arrivent, pendant. On ne va pas détailler tous les acronymes, mais il y a beaucoup d'institutions qui s'en occupent.
Speaker #0
Et alors justement, quand on parle d'attaque... Qui est aux manettes des attaques ? Est-ce que c'est des groupuscules ? Est-ce que c'est des divisions secrètes ? Qu'est-ce qui les motive ?
Speaker #2
Alors, il y a de tout. Selon qu'on soit un individu, un étudiant ou un PDG du CAC 40 ou une branche de l'État, on a des ennemis différents. Donc oui, il y a des groupuscules. Il y a des États, certains États qui se permettent de voler. De faire de l'espionnage industriel, d'autres de faire du sabotage, d'autres d'attaquer dans le cas de conflit. Alors eux le font directement, ils le font par proxy, par procuration aussi, en utilisant des groupuscules, des mercenaires, ou alors en laissant faire. Certains pays sont très bons à ne pas commanditer les choses, mais à laisser faire. J'ai eu une vague d'attaques en France sur les hôpitaux. c'est quand un Et NETA décide de laisser faire pour nuire à des ennemis temporairement ou dans la durée. Et puis après, il y a toute une soucouche de cybercriminels qui, là, le font pour des raisons très différentes, à des niveaux très différents. Il y a beaucoup de petites mains dans la cybersécurité. C'est une industrie. Il y a des gens qui font des cyberattaques sans comprendre vraiment les tenants et les aboutissants. C'est-à-dire qu'ils ont un petit outil qu'ils ont récupéré qui leur permet de gagner 5 euros, 10 euros tous les jours et ça leur suffit. Un vaste spectre d'attaquants.
Speaker #0
C'est très très large. Il y a aussi des campagnes d'influence qui sont un sujet assez méconnu dans les cyberattaques. Comment est-ce qu'on détecte ces campagnes d'influence et comment est-ce qu'on s'en protège ?
Speaker #2
C'est dur de les détecter, c'est dur de s'en protéger. C'est quelque chose qui a toujours existé, la propagande, c'est ça. En temps de guerre, en temps de paix. Ce qui a beaucoup changé, c'est le coût. C'est-à-dire qu'aujourd'hui, c'est très abordable de faire une campagne d'influence. Avant, ça coûtait très cher. Il fallait avoir accès à des canaux de distribution, il fallait connaître des gens influents dans les radios, dans les télés, dans les journaux. Aujourd'hui, avec les réseaux sociaux, avec les applications de partage, les applications de communication, on peut faire changer l'opinion publique, faire changer un vote avec quelques milliers d'euros. D'ailleurs, il y a des campagnes d'influence au niveau municipal, aux États-Unis en particulier. Il y a des choses qui sont ressorties, vraiment des votes qui paraissent sans intérêt, mais où il y a des campagnes d'influence sur Facebook, etc. Donc campagne d'influence, ça peut prendre plein de formes. On ne va pas tous les détailler ici, mais comment les détecter ? Déjà, toujours se poser des questions simples. Qui me parle ? Qu'est-ce qu'il me dit ? Pourquoi il me le dit ? Pourquoi maintenant ? Est-ce qu'on me dit une chose en essayant de me faire ressentir une émotion particulière ou est-ce qu'on me donne des faits de manière… Voilà, simple. C'est des bonnes questions à se poser, mais c'est très compliqué à détecter, oui.
Speaker #0
Thomas, pour les particuliers, quelles sont les principales menaces ?
Speaker #3
Je pense qu'il y a un petit peu de tout. Je fais une petite liste du plus bénin au plus grave. Par exemple, moi, ce qui m'est arrivé, et pas plus tard. que la semaine dernière, je me suis fait voler mon compte Spotify. Donc, il y avait... Un jour, je me connecte sur mon compte et puis il y a quelqu'un qui est en train d'écouter de la musique pakistanaise ou quelque chose comme ça. Donc, je me dis que c'est bizarre. Puis après, je reçois une alerte qui me dit que mon compte a été accédé depuis la Turquie ou le Pakistan, c'est-à-dire depuis trois ou quatre pays en une demi-journée. Donc ça, bon, c'est pas très, très grave. C'est juste mon compte de musique, quoi. Le truc le plus courant, le plus bénin qui peut arriver, ce serait de se faire voler son mot de passe sur un compte qui n'est pas si important que ça. Après, dans les choses qui sont peut-être un petit peu plus embêtantes, le phishing par exemple, on a probablement tous déjà reçu un SMS qui nous dit qu'on a un colis et qu'il faut qu'on paye 10 euros pour pouvoir le récupérer, des choses comme ça. Donc ça pareil, c'est un petit peu plus chiant que ce que... se faire hacker son compte de musique, mais là, on commence à perdre un petit peu d'argent. Pour monter un peu dans la gravité, après, tu as le vol d'identité où là, si on arrive à avoir assez d'informations sur toi, on peut devenir toi et on peut prendre des prêts à ton nom, prendre des crédits à ton nom, et là, ça peut commencer à rendre la vie très, très difficile.
Speaker #0
Et alors, la question, c'est comment est-ce que justement on peut se prévenir de ces cyberattaques ? Déjà, d'un point de vue entreprise et État, on redescendra sur la partie aussi individu, mais au niveau des entreprises et des États, Simon, comment est-ce qu'on peut se prévenir de ça ?
Speaker #2
Je dirais que les conseils seraient à peu près les mêmes, que ce soit pour des individus ou pour des États. Les enjeux sont peut-être différents, mais le processus est le même. Toujours commencer par un état des lieux, un inventaire de ce qu'on a, de ce qu'on a potentiellement d'accessible, accessible c'est-à-dire d'accessible extérieurement. Comprendre un petit peu qui ça peut intéresser et sur cette base, comprendre comment ces personnes peuvent nous nuire. Donc il y a plein de terminologies dans les affaires vecteurs de menaces, etc. Mais au final, les questions sont très simples. Qu'est-ce que j'ai ? Qui ça intéresse ? Et comment ces gens-là ont l'habitude de procéder, de travailler pour atteindre, pour soit changer l'information, la voler, parce qu'il y a ça, il y a le fait de voler de l'information pour la monétiser, pour en faire quelque chose, ou aussi de manipuler l'information pour lui faire dire quelque chose qu'elle ne dit pas. Et donc mettre en place tout un tas de procédures. Les entreprises, en fait, essayent de répondre en continu à ces questions. Donc ils mettent en place des systèmes qui leur permettent de détecter des attaques. Ensuite de les gérer et puis de tirer des enseignements. Et en fait, perpétuellement comme ça, c'est un cycle en continu d'apprendre de certaines attaques et de modifier son système de défense. Et son système de défense, c'est des technologies bien sûr, c'est ce dont on parle, c'est ce que les gens aiment voir. Mais au final, c'est surtout des gens, des gens qui se forment en permanence parce que le champ de menace, comme on dit, change en permanence. et une organisation. C'est toute une entreprise dans l'entreprise.
Speaker #0
Parmi les champs de menaces, il y a le plan individuel. À quel moment est-ce qu'on peut devenir une cible, privilégiée ? Qu'est-ce qu'il y a de la valeur dans ces attaques ? Qu'est-ce qui peut nous compromettre ?
Speaker #2
On peut tous devenir une cible à n'importe quel moment, dès lors qu'on comprend. Je veux vous rassurer. J'ai un ami qui avait l'habitude de dire, si on croise un tigre dans la jungle, il ne faut pas courir plus vite que le tigre, il faut courir plus vite que le type à côté de soi. C'est un peu le même principe dans la cybersécurité. Il y a des règles de base d'hygiène numérique qu'on appelle. Donc, il faut un peu comprendre, en dehors de certains individus, des leaders politiques ou des leaders... étatiques, d'entreprises, on ne fait pas face à des menaces qui sont forcément préméditées. Donc l'attaquant en face de nous, ça va être un cybercriminel opportuniste, sans vouloir dire du mal en général, un peu feignant, qui veut gagner de l'argent rapidement. Donc si on n'utilise pas tout le temps les mêmes mots de passe, si on n'utilise pas l'adresse email pour la sécurité sociale et pour une application qu'on a téléchargée vraiment à l'arrache sur Internet, Voilà, si on a un minimum de bon sens là-dessus, au final, même si on se fait hacker, il y a peu de conséquences. Parce qu'encore une fois, ces gens-là sont opportunistes. Après, on peut se faire hacker indirectement, donc si un organisme étatique a nos données, voilà. Mais là-dessus, on ne peut pas faire grand-chose.
Speaker #0
Et alors, si on se place du point de vue des TPE, Thomas, les TPE, ils n'ont finalement pas trop de solutions qui sont adaptées à leur taille ?
Speaker #3
De ce que moi, j'ai compris... C'est qu'il y a beaucoup de solutions de sécurité pour les grosses entreprises, mais pour les plus petites entreprises, c'est plus difficile parce qu'une grosse entreprise, par exemple, elle va faire un audit de sécurité. Donc, elle peut aller demander à des entreprises qui, eux, savent quelles sont les possibles vulnérabilités, etc. Sauf que ce genre d'audit-là, la plupart du temps, il va coûter trop cher pour une petite entreprise. Donc, ça fait que ces TPE, elles ne sont même pas au courant des menaces. Et donc, elles ne connaissent pas les menaces, elles ne connaissent pas les remèdes. Et donc, du coup, c'est possiblement celles qui vont être les plus grosses victimes de toutes ces cyberattaques. Donc, il n'y a pas trop de solutions à leur taille pour l'instant, de ce que moi, je comprends.
Speaker #2
Je peux peut-être juste revenir parce que je travaille avec beaucoup de startups, justement. C'est vraiment un facteur économique, comme tu le disais. Les gros cabinets de consultants, ils préfèrent viser des contrats avec le CAC 40. mais c'est aussi la réalité. des startups qui sont plutôt dans l'innovation. Ils travaillent sur un nombre d'années très très court. Et donc en général, ces entreprises créent des produits qui sont réellement dédiés. Au haut du panier, où on peut signer des contrats en plusieurs centaines de milliers d'euros. Donc ça intéresse peu de gens au final, peu d'acteurs économiques d'aider les TPE.
Speaker #0
Il y a un marché alors ?
Speaker #2
Il y a un marché, mais aussi le fait que les TPE, en essayant d'être très compétitifs, ils ne prennent pas forcément en compte, beaucoup dans leurs calculs de profitabilité, ils ne prennent pas en compte tout ce qui est lié aux risques. Risques cyber, risques de faillite, les risques en général, ils ne peuvent pas se le permettre, donc ils n'ont pas les moyens.
Speaker #0
Je reviens sur ce que disait Thomas tout à l'heure, tout ce qui est phishing, colis, etc. Ça, c'est ce qu'on appelle, Simon, de l'ingénierie sociale,
Speaker #2
entre autres. Oui, alors entre autres, oui. Alors le phishing, techniquement, c'est un email avec un lien, mais en général, on fait appel à l'ingénierie sociale.
Speaker #0
C'est quoi, de nous,
Speaker #2
la définition de l'ingénierie sociale ? L'ingénierie sociale, c'est un peu profiter des vulnérabilités du cerveau humain, d'une certaine manière. les gens qui font trop facilement confiance dans un certain contexte, ou alors les induire en erreur. On a tous des biais cognitifs. Donc l'ingénierie sociale, en principe, c'est ça. Essayer de manipuler les gens en leur faisant croire qu'ils sont dans un contexte familier. Il y a plein d'exemples, très récemment, qui mélangent aussi l'IA avec des gens qui se retrouvent dans des réunions en ligne en pensant qu'ils ont un conseil d'administration. En fait, c'est que du deepfake. Mais l'ingénierie sociale... Dans le phishing, elle est utilisée de deux manières différentes. Elle est utilisée pour, parfois, dans des cas où il y a beaucoup d'enjeux, convaincre des gens importants et on espère suffisamment intelligent de faire une chose qu'ils ne devraient pas faire, mais aussi parfois pour filtrer les gens qui font preuve de bon raisonnement. Il y a beaucoup de campagnes de phishing avec des e-mails qui clairement ont des fautes d'orthographe. On a tous reçu des e-mails qui sont, on va dire, dégueulasses. On se dit, mais comment les gens peuvent cliquer ? Et le but, c'est ça. Le but, c'est d'envoyer 10 millions. Et c'est d'avoir les gens les plus naïfs au final. C'est une sorte de filtre, de grand filet. Il y a des grandes campagnes de filtre où c'est fait exprès. On rend la chose tellement évidente qu'au final, ceux qui cliquent, ce sont les gens qui sont plus à même d'être victimes.
Speaker #0
Oui, il y a ce côté très évident. Et puis, il y a aussi l'impact de l'IA qui est redoutable dans l'ingénierie sociale. Tu parlais tout à l'heure d'une personne qui s'est retrouvée dans un conseil d'administration en full deepfake. Comment on se projette avec ça ?
Speaker #2
Alors ça va être compliqué, je ne sais pas, je pense qu'on saura peut-être un peu plus, mais il va falloir authentifier la source des images, etc. Il y a beaucoup, là on parle vraiment, c'est du Ocean's Eleven, c'est des grandes arnaques à plusieurs millions, mais je pense que tous les jours, là où les gens vont surtout se faire avoir avec le deepfake, ça va être sur les campagnes d'influence, bien sûr. On va manipuler l'image pour créer de l'émotion, etc. Et puis tout ce qui est, on appelle ça les arnaques à la romance. Ça, c'est déjà très bien utilisé. On pense parler à quelqu'un, une femme ou un homme, à une certaine partie du monde qui nous dit des choses. Puis au final, c'est une personne totalement différente qui est derrière. Donc là-dessus, oui, c'est déjà un gros problème. Ouais,
Speaker #3
mais peut-être comme concept. plus pratique, je dirais, en général, d'essayer de voir d'où vient l'information. Parce que ça fait très longtemps qu'on peut générer des fausses images, des fausses vidéos, des fausses voix, des choses comme ça. Mais je pense que tout retombe sur d'où ça vient. Donc si, par exemple, je vois une vidéo du président de la République qui dit quelque chose, qui a posté cette vidéo ? Est-ce que... c'est un compte que j'ai jamais vu avant ou est-ce que c'est un compte officiel de de l'état ou du président, des choses comme ça et ou si c'est un journal par exemple, est-ce que ce journal a une bonne crédibilité ? Est-ce que dans le passé ce journal a un passé ou à avoir dit pas mal de choses qui étaient fausses ou alors est-ce que ce journal a une bonne crédibilité en général qui est assez sérieux et donc je pense que comme tu disais tout à l'heure l'accès à générer ces mensonges est beaucoup plus facile, mais on revient toujours à la même chose que... On en revient toujours au fait que la personne qui poste ça, c'est sa créabilité qui est en jeu. Et donc à partir du moment où tu postes, c'est assez dur de gagner de la créabilité, et c'est très facile de la perdre, parce qu'il suffit de poster une ou deux fois quelque chose de faux, et puis tu perds toute ta créabilité, même si tu dis la vérité depuis dix ans. Donc si tu te fies à ça, euh bah Je pense que tu réduis pas mal les chances de prendre quelque chose qui est faux pour vrai.
Speaker #2
Juste un exemple de deepfake auquel je pense maintenant et qui, à mon avis, va arriver en France dans pas longtemps. C'est vraiment prévalant aux États-Unis en ce moment. C'est plutôt les deepfakes audio, en général, les arnaques où on fait croire aux parents que leurs enfants ont des ennuis.
Speaker #0
Mais des ennuis des fois tout bêtes, un problème de voiture ou perdu pendant un voyage scolaire. Alors là, en fait, les attaquants, quels qu'ils soient, mais en général, c'est des opportunistes qui veulent de l'argent, ils utilisent plusieurs choses. Ils utilisent l'intelligence artificielle pour répliquer la voix d'adolescents, en général. Ils utilisent les réseaux sociaux pour comprendre un petit peu où ces adolescents peuvent être. Est-ce qu'ils sont partis ? Est-ce qu'il y a une déconnexion temporaire avec les parents ? Et donc, les parents reçoivent des appels où ils entendent leur ado en panique. dans une situation plus ou moins grave, leur demandant de l'argent ou leur demandant de faire quelque chose. Et ça, c'est très facile, c'est très peu coûteux, encore une fois, pour les criminels de le faire. Donc je pense que ça viendra en France. Et s'il y a un conseil très simple, en tout cas que j'ai entendu, qui pour moi a du sens, c'est d'avoir une petite phrase secrète avec ses enfants, de se dire, voilà, si jamais un jour tu as des ennuis, si jamais un jour je me fais contacter comme ça, je te poserai une question et je m'attendrai à ce que tu aies une réponse. Et c'est quelque chose de très old school, ce n'est pas très technologique, mais apparemment ça marche dans ce type de scénario. Oui,
Speaker #1
parce que finalement, les réseaux sociaux jouent un rôle là-dedans, encore plus dans un contexte où les nouvelles générations, mais finalement tout le monde, tout le monde est sur les réseaux sociaux. Qu'est-ce qu'on doit faire justement par rapport à toutes ces informations que l'on va mettre sur les réseaux sociaux ? Alors, au-delà du fait de se filmer, de se prendre en photo, mais il y a aussi toutes les informations que l'on met quand on s'ouvre un compte.
Speaker #0
Qu'est-ce qu'on doit faire ? Déjà, faire attention à ce que l'on donne. C'est toujours du troc, en fait. Moi, je vois comme ça. Dès qu'on travaille avec une application, on se dit qu'est-ce que je donne et qu'est-ce qu'on me donne en retour. La plupart de ces applications, leur modèle économique, c'est de vendre nos données. On le sait, je pense que quand c'est gratuit, c'est toi le produit. Je pense que tout le monde l'a entendu maintenant, on n'a plus besoin de le répéter. Mais toujours se dire, bon, est-ce que pour jouer à Candy Crush ou équivalent, je ne veux pas sauter de marque, j'ai besoin de donner mon passeport ? Est-ce que j'ai besoin de donner des informations bancaires ? Ça vous paraît évident quand je vous dis ça, mais il y a plein de scénarios où les gens, sous prétexte de se dire, c'est quelque chose d'important, partagent des informations qu'ils ne devraient pas partager. Après, comprendre un petit peu si ces informations sont publiques, sont privées. Donc déjà, c'est là, faire comprendre la valeur de ces données et ne pas les donner aussi facilement. Et puis après, toutes les règles d'hygiène dont on a parlé, protection des mots de passe, gestionnaire de mots de passe si possible, multiplication des facteurs d'authentification, c'est-à-dire j'ai un mot de passe, il peut se faire voler, d'accord, mais est-ce que je peux recevoir un code par téléphone ou une autre application ? Est-ce que plus je rajoute de complexité, moins il est facile de se faire hacker ?
Speaker #2
Thomas ? Je pense que c'est pareil. Quand on nous demande des informations, c'est rare que ça nous oblige à donner des vraies informations. Donc si, comme tu disais, il y a une application pour jouer à un jeu ou qui n'est pas très importante, même si c'est important mais qu'ils n'ont pas besoin de savoir quel est mon nom, mon prénom, ma date de naissance, etc., il n'y a rien qui m'oblige à mettre des vraies informations. Même si je suis obligé de rentrer les informations pour créer le compte, je peux mettre... des fausses informations et du coup éviter que j'ai des données qui traînent partout quand il n'y en a pas besoin.
Speaker #1
Et les informations qu'on nous demande pour certifier des comptes de réseaux sociaux par exemple ? Une petite pastille. Ces fameuses petites pastilles que tout le monde veut. Est-ce qu'on est prêt à donner des informations pour ça ? Est-ce que c'est une bonne idée ?
Speaker #2
C'est comme tu disais aussi, qu'est-ce qu'on va donner, qu'est-ce qu'on va avoir en échange ? Donc si on veut une petite pastille parce que c'est important pour nous, parce que pour notre travail ou quoi, là ça peut faire du sens de donner ces vraies informations. Mais s'il n'y a pas vraiment de retour, dans le sens où un réseau social me demande mes vraies informations, j'ai rien à gagner à y mettre. J'ai rien à gagner à mettre mon vrai nom, mon vrai nom de famille, mes vraies informations dans ce réseau social-là. Donc ça sert à rien.
Speaker #0
Risques, risques, bénéfices.
Speaker #3
Un peu old school aussi. donner des informations Non, par exemple, quand on télécharge une calculatrice sur un terminal mobile, il n'y a aucune raison que cette calculatrice demande l'accès à mon répertoire, mon appareil photo, mon micro, ma caméra. Donc juste aussi lire un petit peu, s'informer, s'éduquer et voir qu'il y a une décorrélation entre le bénéfice que j'attends d'une calculatrice et les accès que l'on me demande. Donc c'est juste... Voilà, l'esprit critique, on en a parlé souvent. Avoir une capacité juste d'analyser que là, en téléchargeant cette calculatrice, je me fais avoir parce qu'il va accéder à tout mon contenu, alors que ce n'est pas du tout... en corrélation avec le bénéfice attendu.
Speaker #1
Et c'est souvent d'ailleurs.
Speaker #3
Et c'est très souvent que pour n'importe quelle application, ils demandent à accéder à absolument tout. Ça fait partie aussi des protections.
Speaker #0
Avec ces caméras, microphones sur les applications mobiles, ça a beaucoup de jeux, des petits jeux qui demandent ça, faire très attention. Est-ce qu'on a réellement besoin de jouer à ce jeu tout de suite ? Parce qu'après, c'est un calcul personnel. Si on a besoin de LinkedIn pour travailler, on va peut-être accepter le risque. C'est ça, se demander, comme une entreprise se demande, est-ce que je suis prêt ? près accepter cette part de risque est ce que donner mon passeport à linkedin c'est la même chose que donner mon passeport à tik tok à qui ces sociétés appartiennent qu'elles sont des enfants qui est à l'origine ce que dit mais si thomas linkedin ok c'est microsoft peut
Speaker #3
espérer qu'une certaine sécurité même s'il vend nos données qui est une certaine sécurité quand quand on télécharge un jeu dont l'origine est difficile à déterminer, mais... que dans la notice du jeu, tout est écrit en chinois. S'il demande le passeport, il faut peut-être réfléchir deux secondes avant.
Speaker #1
Peut-être pas. Non, finalement, non.
Speaker #2
C'est peut-être un super bon jeu.
Speaker #3
C'est peut-être un super bon jeu, mais bon, est-ce que je prends le risque de diffuser mon passeport, même si le jeu est super bon ?
Speaker #0
De plus en plus de ces problèmes, ça devient de plus en plus difficile, surtout avec l'intelligence artificielle maintenant. tout. Toutes les applications, tous les produits qu'on utilise maintenant vont être infusés à l'IA, vont avoir des nouvelles compétences. On va demander en fait de connecter une application à d'autres applications pour que l'IA puisse tirer des enseignements, comprendre notre utilisation, nous faire des recommandations. Et je pense que ça va être de plus en plus compliqué de dire non.
Speaker #3
Et ça va mener à l'agrégation générale. C'est ça en fait le réel danger.
Speaker #1
L'agrégation générale ?
Speaker #3
L'agrégation des données. Mon prénom Marine, ça n'a aucun intérêt tout seul. Par contre, si je le rapproche de ton famille, ton adresse, tes habitudes de consommation, ton compte LinkedIn, là, du coup, j'ai un package très, très intéressant et qui vaut de l'argent. Les IA vont être un vecteur d'agrégation de données qu'on n'avait pas imaginé. Parce que, et ça existe déjà, il y a déjà des IA découvertes en Osint sur... qui est Marine Hadato. Il va aller chercher partout, à partir de ta photo, de ta voix, de tes traces numériques, et il va fabriquer un package complet. Une entreprise aux US qui a été un peu retoquée, mais qui continue son activité, qui s'appelle Clearview, et qui fabrique ça en fait. Il capte des milliards de photos, puis il y a des IA qui font des classifications, des rapprochements et des packages. Alors c'est utilisé par toutes les agences de renseignement américains. Mais du coup, là, ils l'ont fermé au public. On ne peut plus payer pour avoir, à partir d'une photo, toute la vie de la personne.
Speaker #0
C'est déjà ce que les publicitaires font. C'est la grande valeur des données de Google. Ce n'est pas de connaître votre nom, votre date de naissance. C'est de savoir que vous êtes anxieux à 2h du matin par rapport à une chose qui vous arrive dans votre vie. C'est des données sur le subconscient qui sont extrêmement puissantes. Pour les campagnes marketing, bien sûr, mais aussi pour les campagnes d'influence. Donc ça, je pense que... À long terme, c'est bien plus dangereux que de se faire voler son prénom et sa date de naissance.
Speaker #1
Alors, c'est bien, la transition est toute trouvée. Ce podcast, la provocation est d'acculturer, mais aussi de donner des conseils pratiques aux auditeurs. On en a déjà donné quelques-uns, mais globalement, quels conseils est-ce que vous donneriez à des dirigeants d'entreprises, déjà pour se protéger des cyberattaques ? On remonte de deux crans.
Speaker #0
Alors, ça va dépendre un peu de leur taille, de leur chemin, de leur maturité sur le plan de la cybersécurité. Je pense que si on parle de la poste, ça va être des enjeux très, très différents d'une petite entreprise. Déjà, admettre qu'on peut être vulnérable, qu'on peut se faire hacker, comprendre un petit peu l'ampleur du domaine, c'est-à-dire que... On peut se faire voler des données, oui, en ayant des données sur le cloud, mais aussi en les ayant sur un serveur local, mais aussi par le biais d'employés. Il y a plein de vecteurs d'attaque. Donc, s'entourer de professionnels, leur donner des raisons de bien nous conseiller. C'est-à-dire, des fois, on travaille avec des gens et on leur donne des motivations, pas forcément de bien nous conseiller, mais de... de créer une addiction, je ne vais pas dire du mal des cabinets de conseil, mais il y a beaucoup de situations comme ça, où des grandes entreprises n'encouragent pas les gens à résoudre un problème, mais surtout à en trouver des nouveaux à chaque fois. continuer comme ça cette dépendance. Mais on l'a déjà dit un peu tout à l'heure, commencer par un inventaire de tout ce qu'on a, de tout ce qui est à risque. Et puis après, on ne peut pas tout protéger. Donc sur la base du champ des menaces, comme on dit dans le milieu, comprendre quoi protéger, jusqu'où faire ce calcul coûts, bénéfices, risques en permanence. Il n'y a pas une réponse à... à cette question, mais il y en a des multiples selon qui on est et à quel moment de son développement.
Speaker #1
Ok, Olivier, qu'est-ce que tu ajoutes à tout ça ?
Speaker #3
Tout ça, ce sont des règles ou des bonnes pratiques qu'on connaît. Il y a peut-être passé deux minutes à lire les recommandations de cybermalveillance.gov, qui sont basiques, alors pour vous deux, ça va paraître quand même très très léger, mais c'est une découverte pour la moitié de la population. C'est deux minutes à lire et ça évite 70-80% des problèmes, simplement parce qu'il répète l'authentification forte, les mots de passe complexes, etc. Identifier aussi peut-être, on l'a dit un peu en creux, les éléments clés. L'adresse e-mail qu'on a donnée à la banque, c'est un élément clé. Parce que si on se fait pirater le compte, c'est par ce vecteur qu'ils vont d'abord essayer de fermer ou de réhabiliter le compte. Peut-être que cette adresse e-mail... Là, elle est clé et qu'il faut la sécuriser avec du 2FA, avec des mots de passe complexes. Si vous utilisez la marque à la pomme, il y a les outils intégrés dans la marque à la pomme pour créer des mots de passe récurrents, complexes, en 2FA, etc. Sinon, utilisez des applications tierces pour le faire. Mais bien identifier quels sont les comptes. Parce que si je perds mon compte TikTok, c'est aussi grave que si je me fais pirater mon adresse mail qui me... sert à communiquer avec ma bande. C'est ça, réfléchir à la hiérarchie pour sécuriser au maximum et donc courir plus vite que son voisin face au tigre sur ce type d'attaque.
Speaker #1
Thomas, tu parlais d'applications tout à l'heure, tu peux peut-être en citer quelques-unes.
Speaker #2
Oui, moi j'utilise Bitwarden, qui est un gestionnaire de mots de passe. Donc en gros, l'avantage, c'est que c'est multipatforme, donc tu peux l'avoir sur mon PC Windows, sur mon Mac, sur mon téléphone. Et ça fait que je récupère tous mes mots de passe sur toutes mes plateformes. Et donc j'ai un mot de passe très fort qui permet de débloquer cette application. Et cette application, ensuite, elle, elle contient tous les mots de passe qui sont tous différents pour tous les sites, toutes les applications, etc. Donc ça permet de facilement avoir des mots de passe différents, compliqués, longs, pour tous les services qu'on utilise. Et ça, ça nous protège dans le cas où... Parce que même si on a un mot de passe très très fort, le service qu'on utilise, il peut... Comme on a dit tout à l'heure, comme je pense que tu as dit, il y a 40% des entreprises qui sont victimes de fuite. Donc ça veut dire qu'on utilise des dizaines, peut-être des centaines de comptes sur différents services. Donc même si mon mot de passe est super fort, il est probablement dans la nature. Donc le fait d'en avoir plein de différents, ça évite que si ce mot de passe-là est compromis... Ça ne compromet pas tous mes autres services d'un coup.
Speaker #1
Alors, j'ai une question qui me vient là. Les identifications Google, bonne idée ou mauvaise idée, du coup ?
Speaker #0
C'est-à-dire le single sign-on ?
Speaker #1
Exactement.
Speaker #0
Oui, moi, je pense que c'est… Sauf si c'est l'adresse mail de ta banque. Ah oui, alors après, très bon conseil que vous avez donné tout à l'heure par rapport à d'avoir plusieurs adresses e-mail selon les finalités. comprendre son empreinte digitale en règle générale, peut-être faire un petit nettoyage de printemps, regarder son téléphone, est-ce qu'on a besoin de 150 applications, qu'est-ce qu'on peut effacer, est-ce qu'on a besoin d'avoir un compte utilisateur sur tous les sites de shopping, quelles que soient leurs origines, de temps en temps faire ce nettoyage. Et oui, ce qu'on appelle le single sign-on, c'est bien si on a un très bon mot de passe, si on a un multiple facteur d'authentification, c'est comme un gestionnaire de mot de passe, si on a un mot de passe. passe très très simple à craquer, ça ne sert à rien. Je rajouterais juste un petit conseil pour les entreprises. Les entreprises ont accès à beaucoup de très bonnes ressources aussi, surtout en France. L'ANSSI fait un travail incroyable, l'Agence Nationale de la Sécurité des Systèmes d'Information. Sur leur site, il y a énormément de ressources appropriées aussi pour les TPE et ils sont facilement joignables aussi. C'est des gens qui d'ailleurs aiment aider les entreprises de toutes... de taille, donc n'hésitez pas à vous renseigner sur leur site.
Speaker #1
Allez contacter si besoin. Merci beaucoup. À présent, je vous propose d'ouvrir vos chakras de la réflexion avec la vision prospective d'Olivier. Quel pourrait être notre futur de la cyber ? Olivier. C'est à toi.
Speaker #3
Le futur de la cyber, vaste question à laquelle je ne vais pas répondre, mais on l'a dit tout à l'heure, l'avenir du monde numérique est incertain, il est semé d'embûches, les menaces cyber, qu'elles soient le fait de hackers malveillants, d'organisations criminelles ou d'états hostiles, sont en constante évolution, se renouvellent sans cesse, et on peut gager que l'échelle sera toujours plus haute que le mur. Elles visent à perturber, endommager ou voler les données sensibles, des infrastructures critiques ou des secrets industriels, on l'a dit tout à l'heure. Tout à l'heure, ça concerne les entreprises et les individus. L'intelligence économique qui consiste à collecter, analyser et diffuser des informations stratégiques pour un avantage concurrentiel devient un enjeu majeur dans la guerre de l'information, dans l'influence qui se joue sur la toile, mais devient aussi une arme redoutable. Le danger pour les plus jeunes est réel, exposé à des contenus toujours plus addictifs et souvent inappropriés, à des tentatives de manipulation ou à des cyberharcèlements. sans avoir forcément les outils pour se protéger ou se défendre. Mais quels sont ces outils ? Face à ces défis, le rôle de l'esprit critique, on y revient, et de l'éducation à tous les âges est primordial. Il s'agit de développer chez les citoyens et chez les patrons d'entreprises, notamment TPE, PME, des compétences et des attitudes qui leur permettent de comprendre, d'évaluer et de contrôler leur environnement digital. Il s'agit aussi de les sensibiliser aux risques et aux opportunités du monde numérique, de leur apprendre à protéger leur identité, leur vie privée, leurs données, de leur transmettre les règles d'éthique et de civilité en ligne, de leur faire acquérir les bases de la cybersécurité, mais aussi d'identifier les schémas de manipulation et d'ingénierie sociale. L'éducation aux médias et à l'information devrait être une priorité nationale et internationale, encore une fois à tous les âges. puisqu'il implique tous les acteurs de la société, les pouvoirs publics, les entreprises, les associations, les médias, les établissements scolaires, les familles et les individus. Il ne suffit pas de fournir des équipements et des connexions à tous. Il faut aussi accompagner les usagers dans leur appropriation critique et responsable du numérique. Plusieurs fois au cours de ce podcast, nous avons évoqué l'esprit critique. Je pense que c'est le moment où il faut vraiment s'en servir, car c'est la seule arme de protection massive universelle. contre les plateformes abrutissantes qui n'ont de social que le nom. Et pour y parvenir, permis de surfer façon permis de conduire à point ou éducation des masses, vous avez 4 heures.
Speaker #1
Des réactions ?
Speaker #2
Moi, je trouve que c'est intéressant le fait que tu dises que l'esprit critique soit intéressant parce qu'on a beau donner tous les conseils qu'on veut, Ils sont valables aujourd'hui, peut-être que dans six mois ils sont plus valables parce qu'on a une nouvelle technique d'attaque avec de l'IA super compliquée qui fait que même si tu fais tout ça, ça ne sert quand même à rien. Donc effectivement, après c'est un peu difficile de donner ça comme conseil, de dire il faut juste faire attention. Mais ouais, c'est en fait probablement que le conseil ultime c'est d'essayer de comprendre ce qu'on utilise pour pouvoir... pour pouvoir avoir cet esprit critique-là qui va nous dire si ce qu'on fait, c'est sécurisé ou pas.
Speaker #3
Sachant qu'une des plus vieilles attaques, qui est la clé Louis Vuitton, continue de fonctionner. Il y en a encore eu une il y a deux semaines. Donc l'attaque par clé, ça continue de très bien fonctionner, alors que ça a peut-être 15 ou 20 ans, ce type d'attaque. Et que tout le monde la connaît. Tout le monde sait très bien... Si on trouve une clé Louis Vuitton dans un ascenseur, il ne faut pas la brancher sur son PC.
Speaker #0
Votre conclusion est parfaite. Le vecteur d'espionnage encore aujourd'hui le plus utilisé par toutes les agences dans le monde, c'est d'écouter par-dessus l'épaule. Ça n'a pas changé. Et encore une fois, pour se protéger de tout type d'attaque, le meilleur des conseils que vous avez donnés, c'est améliorer son esprit critique et se former comme les agences de renseignement forment leurs analystes. Ils essayent d'avoir des gens les plus objectifs possibles, avec un esprit critique pour être capable d'analyser une situation de manière froide. Et ces gens-là apprennent à réfléchir hors émotion. D'ailleurs, il y a un bouquin que j'ai trouvé par hasard il y a des années, je pense qu'il est encore édité, qui s'appelle « Petit cours d'autodéfense intellectuelle » . Je pense que peut-être d'autres personnes l'ont lu. En tout cas, c'est un... Une agrégation de plein de sources qui expliquent les biais cognitifs, les erreurs de raisonnement, et j'encouragerais beaucoup de gens à le lire ou à rejoindre des associations qui vous enseignent la pensée critique.
Speaker #3
Et sur le segment de l'influence, toujours se méfier d'une information qui va dans le sens, dans notre sens de penser. Parce que c'est celle-là qui est utilisée pour ensuite introduire des biais.
Speaker #0
C'est de plus en plus dur. Tous les réseaux sociaux sont construits, les algorithmes sont construits pour renforcer un petit peu ce qu'on aime. Plus on regarde un type de contenu, plus on va nous en suggérer. Donc on s'enferme dans ces chambres d'écho, comme on dit.
Speaker #1
Ok, l'esprit critique donc comme mot de fin. Je pense que c'est bien. Merci à tous les trois d'avoir partagé vos connaissances et votre vision. Nous vous mettons toutes les ressources citées dans la description de l'épisode. A très vite pour un prochain épisode.
Speaker #3
Merci Marine.
Speaker #2
Merci. Salut.
Speaker #1
Salut. Et voilà, chers auditeurs, c'est tout pour cet épisode de Tendances Inno. Un grand merci pour votre écoute. Nous espérons que vous avez trouvé cette discussion aussi enrichissante et inspirante que nous. N'oubliez pas de vous abonner pour ne manquer aucun de nos futurs épisodes. Vous pouvez retrouver Tendancino sur toutes les plateformes de podcast, YouTube et Dailymotion. Si vous aimez ce podcast, faites-le nous savoir et aidez-nous à le faire connaître grâce à vos commentaires et à vos partages. Pour plus de contenu sur les technologies émergentes, suivez-nous sur les réseaux sociaux de Docaposte et de Wagmi Trends. A bientôt pour un nouvel épisode, placé sous le signe de la tech, du Web3 et de l'innovation. D'ici là, continuez à explorer, à innover et à créer.

About « Tendances INNO » le podcast Innovation de Docaposte

💥 Bienvenue dans « Tendances INNO », le podcast de Docaposte pour tout savoir sur les technologies émergentes, sous le signe de la tech et de l'innovation !

Si vous aimez ce podcast, n’hésitez pas à vous y abonner, à nous le dire en commentaire, et à mettre un 👍 ou ❤️ selon la plateforme que vous utilisez pour nous écouter !

Prise de son / mixage : Marine Benabou

Montage vidéo : Richard Bourderionnet

Direction artistique : Alexandre Warisse

#TendancesInno #Innovation #ConfianceNumérique #Podcast

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About « Tendances INNO » le podcast Innovation de Docaposte

💥 Bienvenue dans « Tendances INNO », le podcast de Docaposte pour tout savoir sur les technologies émergentes, sous le signe de la tech et de l'innovation !

Si vous aimez ce podcast, n’hésitez pas à vous y abonner, à nous le dire en commentaire, et à mettre un 👍 ou ❤️ selon la plateforme que vous utilisez pour nous écouter !

Prise de son / mixage : Marine Benabou

Montage vidéo : Richard Bourderionnet

Direction artistique : Alexandre Warisse

#TendancesInno #Innovation #ConfianceNumérique #Podcast

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

#Podcast 🎧 | Imaginez un champ de bataille où chaque clic peut être une arme et chaque donnée personnelle un territoire à conquérir.

Dans le monde numérique d'aujourd'hui, la cybersécurité ne se limite pas seulement à protéger des informations, elle est une lutte invisible pour la sécurité et la souveraineté.

Aujourd’hui, Marine Adatto et Olivier Senot, Directeur de l'Innovation de Docaposte, vous proposent de plonger dans les profondeurs de ce champ de bataille moderne.

Nos invités ?

➡️ Simon Reiniche, cofondateur d’Innixus, un réseau social privé pour les professionnels de la cybersécurité.

➡️ Thomas Bomboh, alias Cocadmin, Youtuber passionné par la cybersécurité, qui programme des bots et mine des bitcoins sur une calculette.

🎧 Au programme :

- Qu'est-ce que la cybersécurité et pourquoi est-elle plus importante que jamais ?

- Une exploration des coulisses de la cyber-guerre mondiale.

- Des conseils pratiques pour protéger vos données personnelles et professionnelles.

💡 Ce que vous propose cet épisode ?

Un voyage éclairant à travers les tactiques, les technologies et les stratégies de pointe qui façonnent le futur de notre sécurité numérique.

Et vous, comment percevez-vous les enjeux de la cybersécurité dans votre quotidien ?

Partagez vos réflexions et rejoignez la discussion !

Cliquez sur ▶️. Votre prochaine découverte sur comment sécuriser votre futur numérique est à portée de clic.

Retrouvez cet épisode de “Tendances Inno” sur votre plateforme de podcast préférée : https://smartlink.ausha.co/tendances-inno-le-podcast-innovation-de-docaposte

#TendancesInno #Innovation #Docaposte #WagmiTrends #Innovation #cybersécurité

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue dans Tendances Inno, votre rendez-vous pour explorer les technologies émergentes présentées par Docaposte, le référent français de la confiance numérique. Je suis Marine Adatto, cofondatrice de Wagmi Trends, et j'ai le plaisir d'être accompagnée par Olivier Senot, directeur de l'innovation chez Docaposte. Dans ce podcast, nous vous emmenons à la rencontre des innovateurs et des créateurs qui redéfinissent notre monde numérique. Que votre curiosité vous porte vers le Web3, l'IA ou toute autre technologie émergente, Vous êtes au bon endroit. Préparez-vous à une dose d'inspiration et d'informations. Au programme, des découvertes, des défis et des solutions innovantes. Alors branchez vos écouteurs, ouvrez votre esprit et plongez avec nous dans l'univers de Tendances Inno. Imaginez un champ de bataille où chaque clic peut être une arme et chaque donnée personnelle un territoire à conquérir. Dans le monde numérique d'aujourd'hui, la cybersécurité ne se limite pas seulement à protéger des informations. Elle est une lutte invisible pour la sécurité et la souveraineté. Aujourd'hui, nous vous proposons de plonger dans les profondeurs de ce champ de bataille moderne avec un expert du domaine, Simon Reiniche, expert en cybersécurité et cofondateur d'Inixus, un réseau social privé pour les professionnels de la cybersécurité. Bonjour Simon. Il mine des bitcoins sur une calculette et code des bots pour traquer les McFlurry. youtubeur passionné d'informatique et de cybersécurité, Thomas Bombo, aussi connu sous le nom de Cocadmin, est avec nous aujourd'hui. Bonjour Thomas. Salut, comment ça va ? Ça va et toi ? À mes côtés, car je suis toujours très bien accompagnée, Olivier Seuneau, directeur de l'innovation chez Docaposte, nous partagera sa vision et ses conseils sur ce sujet brûlant, qu'est-ce que la cybersécurité ? Pourquoi parle-t-on de cyberguerre mondiale ? Quelles sont les motivations derrière les attaques numériques ? Olivier, c'est à toi.
Speaker #1
Merci Marine. Simon sait tout. Expert en cybersécurité, en intelligence, en risque cyber et on me dit dans l'oreillette qu'il est aussi spécialiste du dark web. Titulaire d'un bachelor de la Inholland Academy et diplômé d'une prestigieuse mais peu connue en France université de Séoul, la Yonsei University, qui a la particularité de former les enseignants. Mais si l'enseignement est une vocation, c'est le business et la lutte contre la cybermenace qui guidera ta carrière. Après 15 ans d'exec développement pour des entreprises de cybersécurité aux quatre coins du monde, mêlée d'intrapreneuriat notamment en Afrique, tu es fondateur et directeur général d'Inixus, le réseau social ouvert sur invitation et réservé au monde de la cybersécurité. Rapporter Inixus au simple réseau social serait occulter l'ambition éducative de cette plateforme pour que tous les responsables cyber restent en permanence informés des menaces et autres broutilles qui empoisonnent nos vies numériques. Impliqué dans l'éducation face aux menaces du XXIe siècle, tu as récemment prodigué Ta vision du rôle des parents dans l'éducation des jeunes, mais comment faire quand les parents ne sont pas « aware » sur les risques qui les concernent ? Simon, nous t'écoutons.
Speaker #0
Salut Simon.
Speaker #2
Salut, merci de me recevoir.
Speaker #0
Simon Thomas, pour rentrer dans le vif du sujet, et Olivier bien sûr, je vous propose un petit quiz. L'idée, c'est d'avoir une vue globale de ce qui nous attend. Est-ce que vous êtes prêts ?
Speaker #2
Oui.
Speaker #0
Première question, quel sera le coût annuel mondial des cyberattaques d'ici 2025 ? Alors, première réponse, 6 000 milliards de dollars. Deuxième réponse, 8 000 milliards de dollars. 10 000 milliards de dollars ou 12 000 milliards de dollars ?
Speaker #2
Beaucoup. Beaucoup.
Speaker #0
Beaucoup de milliards.
Speaker #1
Beaucoup trop.
Speaker #0
Beaucoup trop de milliards.
Speaker #2
Je vais dire 10 000 milliards.
Speaker #0
10 000 milliards, ouais. Thomas, tu dis ?
Speaker #3
Ouais, ça me paraît, même 10 000 milliards, ça me paraît beaucoup, mais tous les chiffres que tu as donnés sont super gros, donc je vais dire 10 aussi.
Speaker #0
Ouais, ouais, c'est ça. Olivier ?
Speaker #1
Déjà, 6 000 milliards, juste pour comparer, c'est l'équivalent de l'épargne totale des Français.
Speaker #0
Ah oui, c'est beaucoup.
Speaker #1
L'épargne totale de la France, c'est 6 000 milliards.
Speaker #0
Donc, il faut faire attention aux cyberattaques quand même. Alors, c'est 10 000 milliards, c'est plus que l'épargne des Français. Et c'est selon l'étude 2022 Cybercrime Report de Cybersecurity Ventures. Donc, ce coût annuel des cyberattaques devrait atteindre 10 000 milliards de dollars d'ici 2025. Et le pire, c'est que c'est une augmentation de 15 %. par rapport à 2021. Protégeons-nous. Deuxième question. Quel est le pourcentage des entreprises qui ont subi une fuite de données en 2022 ? 30%, 40%, 50% ou 60% ?
Speaker #3
Je dirais 50% parce que ça peut être ce qu'on entend parler des grosses fuites, mais il y a des petites fuites qui arrivent tous les jours qu'on n'entend jamais parler. Une entreprise vit des années en général. Probablement 50%. Oui.
Speaker #2
Je dirais aussi sûrement plus de la moitié. Il y a les fuites cyber, mais il y a aussi les fuites liées au départ d'un employé qui a, par exemple, pris un fichier qu'il n'aurait pas dû prendre. Donc, je dirais plus de la moitié.
Speaker #0
Olivier, tu dis quoi ?
Speaker #1
60 %,
Speaker #2
ça me paraît faisable.
Speaker #0
60 % ?
Speaker #1
Toutes les petites fuites.
Speaker #0
Oui. Écoutez, pour l'instant, on n'est qu'à 40 %.
Speaker #3
Ah, ça va.
Speaker #1
C'est moins pire que ce qu'il y a.
Speaker #2
C'est bon, on n'a rien à faire.
Speaker #0
Ça va, on est pas mal. C'est une étude d'IBM de 2022. 40% des entreprises qui ont subi une fuite des données et un coût moyen de 4,35 millions de dollars par incident. Ce n'est quand même pas neutre. Troisième question. Combien de milliards de dollars le marché mondial de la cybersécurité devrait-il atteindre d'ici 2027, selon Mordor Intelligence ? On est toujours en milliards, je vous le dis. On est sur un gros marché. 150 milliards, 200 milliards, 250 milliards ou 300 milliards ?
Speaker #2
Tu devrais le savoir.
Speaker #0
Je devrais le savoir aussi. Oui, tu devrais le savoir.
Speaker #2
Oui, je pense que... Plus le chiffre est gros, plus il est réaliste dans ce cas-là. Donc, je prendrais la plus haute estimation.
Speaker #0
300 milliards ? Oui. Thomas, tu dis quoi ?
Speaker #3
Si tu as dit tout à l'heure, on était à 10 000 milliards de coûts. Donc, ça veut dire qu'il faut que ce soit une portion de ça que tu veuilles sécuriser. Si tu veux sauver 10 000 milliards, il faut que tu dépenses une petite portion de ça. Le plus gros chiffre que tu avais dit, c'était quoi ?
Speaker #0
300 milliards.
Speaker #3
300 milliards, ça fait 3 %. Ça paraît un bon deal.
Speaker #0
Oui. On est sur un bon raisonnement là Thomas. Olivier, tu dis quoi ?
Speaker #1
C'est un peu élevé 3%, mais oui.
Speaker #0
Tu suis Thomas ?
Speaker #1
Oui, 250.
Speaker #0
250 ? C'est Thomas qui a raison. 300 milliards. 300 milliards de dollars en 2027. Et donc c'est avec une croissance de 12,5% chaque année de 2022 à 2027. Et alors j'ai une question super banco, si vous voulez. Le tout pour le tout. Le tout pour le tout. Selon Gartner, quel est le pourcentage des organisations qui adopteront une approche zéro trust d'ici 2025 ? 35%, 45%, 55% ou
Speaker #2
65% ? Je vais dire l'estimation la plus haute, c'est un concept qui est très ambitieux.
Speaker #0
Très ambitieux ?
Speaker #3
Je pense que tout le monde veut le faire, mais en général l'implémentation de nouvelles technologies dans les entreprises, surtout les grosses entreprises, ça prend beaucoup de temps. Si la question c'est l'intention, peut-être 40-50%, mais l'implémentation, peut-être 10%.
Speaker #0
Ah oui, on est plutôt sur l'intention.
Speaker #1
Sur l'intention, maximum. Maximum. Les Zero Trust,
Speaker #0
c'est... Ils ont raison en même temps.
Speaker #1
Sur l'intention, oui. Ensuite, je suis d'accord sur la réalisation, on ne sera pas au niveau de l'intention.
Speaker #0
Oui, c'est ça. C'est donc 65%. Contre seulement 35% en 2021, quand même. Voilà, et donc Gartner, c'est un cabinet de recherche et de conseils reconnus pour ses analyses des tendances technologiques, notamment dans le domaine de la cybersécurité. Je vous propose de poursuivre avec un micro-trottoir. On est allé écouter ce que pensent les gens de la cybersécurité et de l'impact qu'ils imaginent sur leur quotidien. Te sens-tu en sécurité quand tu partages tes informations personnelles en ligne ?
Speaker #4
Je suis assez mitigée.
Speaker #0
Pourquoi ou pourquoi pas ?
Speaker #4
Parce que d'un côté, partager les informations, c'est nécessaire, notamment pour se connecter à certains sites ou certaines applis. Mais d'un autre côté, justement, c'est là où les cookies jouent un rôle, où on a un peu peur que nos informations soient divulguées à on ne sait qui. Et donc, si je devais me positionner, je serais assez inquiète quand même de partager mes données, car on ne sait pas à qui est-ce que ça peut... être envoyé, surtout avec les cookies, on ne sait pas trop ce qu'il y a dedans, surtout qu'on ne les lit pas. Donc oui, je serais assez inquiète.
Speaker #0
Quelle est ta plus grande peur concernant la sécurité de tes données en ligne ?
Speaker #2
Je n'en ai pas vraiment parce que toutes les données sont déjà publiques. Du coup,
Speaker #3
tu as compris, ça fait longtemps que Google,
Speaker #2
Facebook, que tout le monde a toutes les données.
Speaker #3
Aujourd'hui, ou bien tu vis avec ton époque ou bien tu ne vis pas.
Speaker #0
Quelle mesure simple penses-tu que tout le monde devrait prendre pour mieux protéger ses données en ligne ?
Speaker #4
Ne pas poster sur les réseaux comme TikTok, Instagram, Facebook, parce qu'on ne sait jamais où vont nos données. Parce que de base, on les donne à Facebook ou ces grosses entreprises, mais on ne sait pas qui va être l'entreprise finale qui va traiter ces données.
Speaker #0
Alors quelles sont vos réactions ? Thomas ?
Speaker #3
Je pense que c'est un peu les deux extrêmes où il y en a qui sont... qui se disent « Ah, faut faire vraiment attention, tout maîtriser, etc. » Et puis de l'autre côté, t'as ceux qui disent « Bon bah de toute façon, on est foutus, donc autant faire ce qu'on veut et pas s'en soucier, parce que de toute manière, on n'a pas le choix, quoi. » Mais moi, je sais pas, j'imagine qu'il y a un milieu quand même entre les deux. Je pense qu'on peut... On a quand même une maîtrise un petit peu de ce qu'on partage. C'est plus, à mon avis, important de... Faire attention à ce qu'on partage plutôt que de se dire non, il ne faut absolument rien partager. Sans non plus se dire, c'est ça, un peu entre les milieux. Plutôt se dire, essaye de faire attention à ce qu'on va partager plutôt que soit ne rien partager, soit tout partager.
Speaker #0
Ou se dire qu'on est foutus. On est foutus, Simon, ou pas ?
Speaker #2
Non, on n'est pas foutus, mais c'est vrai qu'il y a soit une paranoïa complète, soit un défaitisme. Je dirais que le juste milieu, c'est déjà d'essayer de comprendre ce qu'on partage et quelle valeur ça peut avoir et pour qui. Donc, essayer un petit peu de comprendre la valeur de son empreinte en ligne et réfléchir avec du bon sens.
Speaker #0
Olivier, qu'est-ce que tu en penses ?
Speaker #1
Je ne sais pas si les données sont publiques, mais avec les quelques dernières fuites qu'on a eues à la CEPAM, à France Travail, etc., en France, c'est sûr qu'il y a un certain nombre de données personnelles qui sont sur le dark web. Donc, chaque individu doit faire attention, mais il y a aussi le côté entreprise. La CEPAM, c'est 40 millions de piratages. 2-3 millions qui sont effectivement sur le dark web. Quand il y a le nir sur le dark web, ça commence à être compliqué.
Speaker #0
Alors, Simon, là, on traite de la cybersécurité. Mais quand on dit cybersécurité, de quoi est-ce qu'on parle exactement ?
Speaker #2
On parle de beaucoup de choses. On parle d'un domaine qui regroupe beaucoup de gens, qui regroupe des technologies, des compétences, des concepts. Donc la cybersécurité, en fait, c'est tout ce qui aide à la protection. Des données, des moyens de partage de ces données, de communication. En fait, c'est tout ce qui protège aujourd'hui l'économie et la confiance digitale. Donc c'est très important aujourd'hui.
Speaker #0
Thomas, tu veux ajouter quelque chose ?
Speaker #3
Non, je pense que c'est super large. Parce que tu as différents métiers. Tu vas avoir ceux qui vont faire de la sécurité offensive, donc ils vont essayer de trouver des failles. Tu vas avoir ceux qui font... au contraire qui vont essayer de défendre, de corriger ces failles-là. Tu as ceux qui vont intervenir après qu'il y ait eu une attaque pour essayer de comprendre ce qui s'est passé, comment le régler, d'où l'attaque peut venir, etc. Il y a vraiment de la sécurité logicielle, de la sécurité hardware avec le matériel, etc. Donc c'est vraiment super, super vaste.
Speaker #2
Et tout ce qui est humain aussi, qui est lié à la fraude, à l'ingénierie sociale. Donc c'est très dur en fait. Il y a beaucoup de responsabilités dans ce domaine. qui touche à d'autres domaines de compétences. Donc,
Speaker #0
on peut en parler. Justement, on en parlait tout à l'heure. On disait qu'il y a beaucoup, beaucoup de milliards. Et toi, tu répondissais pendant MicroTourneur, tu me disais qu'il y a surtout beaucoup d'humains derrière.
Speaker #2
Oui, et toujours pas assez. De toute façon, le problème principal de la cybersécurité, c'est le manque de gens, le manque de personnel. Et si je pouvais déjà encourager des gens qui écoutent à rejoindre la lutte, ça fait peur à beaucoup de monde. La cybersécurité, c'est quoi ? Mais ce n'est pas quelque chose d'aussi difficile, aussi effrayant que les gens le pensent. Et j'encouragerais tout le monde à se renseigner. Ne pas avoir peur du vocabulaire qui peut laisser croire que c'est inatteignable.
Speaker #0
Alors, pourquoi est-ce qu'on parle de champ de bataille invisible quand on parle de cybersécurité, Simon ?
Speaker #2
Je pense qu'on parle de ça pour plusieurs raisons. Une des raisons, c'est qu'on peut être victime d'une cyberattaque, on peut être compromis sans le savoir. D'ailleurs, la majorité des cas, c'est ça. On s'en rend compte trop tard. Et puis, c'est quelque chose que les gens ont du mal à comprendre. Ils ne peuvent pas toucher. C'est-à-dire qu'on voit quand on s'est fait casser un carreau, quand on s'est fait voler son portefeuille. Mais quand potentiellement ces données sont dans des endroits, elles sont monétisées par des gens à l'autre bout du monde, c'est très abstrait. Donc, ce sont certaines raisons sur le plan individuel. Et puis après, sur le plan global, géostratégique, il y a une guerre mondiale numérique. qui se joue tous les jours, dont les gens n'ont pas conscience, je pense.
Speaker #0
Oui, c'est ça. En fait, on est en pleine guerre mondiale cyber. Et donc, quand on avait préparé ce podcast, vous m'avez dit que tout pays se doit de monter une armée cyber pour se défendre.
Speaker #2
Ça veut dire quoi ? Déjà pour se défendre, pour se défendre bien sûr ses institutions et aussi tous les organismes d'importance vitale, quel qu'il soit, quel que soit le pays. C'est-à-dire ? C'est-à-dire tout ce qui touche à l'énergie, à l'alimentation, à la santé, à la confiance. On parlait de confiance aujourd'hui. Ce qui est très dangereux avec les cyberattaques, c'est non seulement le fait qu'un individu peut être victime, peut être défraudé, ses données peuvent être volées, mais surtout, petit à petit, ce qui est très grave, c'est que les gens perdent confiance en certaines institutions. Et si on commence à croire que quand on met de l'argent dans sa banque, il peut disparaître, quand on vote, ça peut être manipulé, quand on entend un message officiel de l'État, c'est peut-être pas vraiment le président qui nous parle. Ça crée des problèmes bien plus importants que de se faire des prodès de 200 euros sur le Deep and Dark Web. Donc oui, il faut se protéger. Les pays se protègent. La France est très compétente dans ce domaine-là. Il y a plusieurs institutions dont c'est le rôle, comme tu l'expliquais d'ailleurs Thomas, de s'inquiéter des attaques avant qu'elles arrivent, après qu'elles arrivent, pendant. On ne va pas détailler tous les acronymes, mais il y a beaucoup d'institutions qui s'en occupent.
Speaker #0
Et alors justement, quand on parle d'attaque... Qui est aux manettes des attaques ? Est-ce que c'est des groupuscules ? Est-ce que c'est des divisions secrètes ? Qu'est-ce qui les motive ?
Speaker #2
Alors, il y a de tout. Selon qu'on soit un individu, un étudiant ou un PDG du CAC 40 ou une branche de l'État, on a des ennemis différents. Donc oui, il y a des groupuscules. Il y a des États, certains États qui se permettent de voler. De faire de l'espionnage industriel, d'autres de faire du sabotage, d'autres d'attaquer dans le cas de conflit. Alors eux le font directement, ils le font par proxy, par procuration aussi, en utilisant des groupuscules, des mercenaires, ou alors en laissant faire. Certains pays sont très bons à ne pas commanditer les choses, mais à laisser faire. J'ai eu une vague d'attaques en France sur les hôpitaux. c'est quand un Et NETA décide de laisser faire pour nuire à des ennemis temporairement ou dans la durée. Et puis après, il y a toute une soucouche de cybercriminels qui, là, le font pour des raisons très différentes, à des niveaux très différents. Il y a beaucoup de petites mains dans la cybersécurité. C'est une industrie. Il y a des gens qui font des cyberattaques sans comprendre vraiment les tenants et les aboutissants. C'est-à-dire qu'ils ont un petit outil qu'ils ont récupéré qui leur permet de gagner 5 euros, 10 euros tous les jours et ça leur suffit. Un vaste spectre d'attaquants.
Speaker #0
C'est très très large. Il y a aussi des campagnes d'influence qui sont un sujet assez méconnu dans les cyberattaques. Comment est-ce qu'on détecte ces campagnes d'influence et comment est-ce qu'on s'en protège ?
Speaker #2
C'est dur de les détecter, c'est dur de s'en protéger. C'est quelque chose qui a toujours existé, la propagande, c'est ça. En temps de guerre, en temps de paix. Ce qui a beaucoup changé, c'est le coût. C'est-à-dire qu'aujourd'hui, c'est très abordable de faire une campagne d'influence. Avant, ça coûtait très cher. Il fallait avoir accès à des canaux de distribution, il fallait connaître des gens influents dans les radios, dans les télés, dans les journaux. Aujourd'hui, avec les réseaux sociaux, avec les applications de partage, les applications de communication, on peut faire changer l'opinion publique, faire changer un vote avec quelques milliers d'euros. D'ailleurs, il y a des campagnes d'influence au niveau municipal, aux États-Unis en particulier. Il y a des choses qui sont ressorties, vraiment des votes qui paraissent sans intérêt, mais où il y a des campagnes d'influence sur Facebook, etc. Donc campagne d'influence, ça peut prendre plein de formes. On ne va pas tous les détailler ici, mais comment les détecter ? Déjà, toujours se poser des questions simples. Qui me parle ? Qu'est-ce qu'il me dit ? Pourquoi il me le dit ? Pourquoi maintenant ? Est-ce qu'on me dit une chose en essayant de me faire ressentir une émotion particulière ou est-ce qu'on me donne des faits de manière… Voilà, simple. C'est des bonnes questions à se poser, mais c'est très compliqué à détecter, oui.
Speaker #0
Thomas, pour les particuliers, quelles sont les principales menaces ?
Speaker #3
Je pense qu'il y a un petit peu de tout. Je fais une petite liste du plus bénin au plus grave. Par exemple, moi, ce qui m'est arrivé, et pas plus tard. que la semaine dernière, je me suis fait voler mon compte Spotify. Donc, il y avait... Un jour, je me connecte sur mon compte et puis il y a quelqu'un qui est en train d'écouter de la musique pakistanaise ou quelque chose comme ça. Donc, je me dis que c'est bizarre. Puis après, je reçois une alerte qui me dit que mon compte a été accédé depuis la Turquie ou le Pakistan, c'est-à-dire depuis trois ou quatre pays en une demi-journée. Donc ça, bon, c'est pas très, très grave. C'est juste mon compte de musique, quoi. Le truc le plus courant, le plus bénin qui peut arriver, ce serait de se faire voler son mot de passe sur un compte qui n'est pas si important que ça. Après, dans les choses qui sont peut-être un petit peu plus embêtantes, le phishing par exemple, on a probablement tous déjà reçu un SMS qui nous dit qu'on a un colis et qu'il faut qu'on paye 10 euros pour pouvoir le récupérer, des choses comme ça. Donc ça pareil, c'est un petit peu plus chiant que ce que... se faire hacker son compte de musique, mais là, on commence à perdre un petit peu d'argent. Pour monter un peu dans la gravité, après, tu as le vol d'identité où là, si on arrive à avoir assez d'informations sur toi, on peut devenir toi et on peut prendre des prêts à ton nom, prendre des crédits à ton nom, et là, ça peut commencer à rendre la vie très, très difficile.
Speaker #0
Et alors, la question, c'est comment est-ce que justement on peut se prévenir de ces cyberattaques ? Déjà, d'un point de vue entreprise et État, on redescendra sur la partie aussi individu, mais au niveau des entreprises et des États, Simon, comment est-ce qu'on peut se prévenir de ça ?
Speaker #2
Je dirais que les conseils seraient à peu près les mêmes, que ce soit pour des individus ou pour des États. Les enjeux sont peut-être différents, mais le processus est le même. Toujours commencer par un état des lieux, un inventaire de ce qu'on a, de ce qu'on a potentiellement d'accessible, accessible c'est-à-dire d'accessible extérieurement. Comprendre un petit peu qui ça peut intéresser et sur cette base, comprendre comment ces personnes peuvent nous nuire. Donc il y a plein de terminologies dans les affaires vecteurs de menaces, etc. Mais au final, les questions sont très simples. Qu'est-ce que j'ai ? Qui ça intéresse ? Et comment ces gens-là ont l'habitude de procéder, de travailler pour atteindre, pour soit changer l'information, la voler, parce qu'il y a ça, il y a le fait de voler de l'information pour la monétiser, pour en faire quelque chose, ou aussi de manipuler l'information pour lui faire dire quelque chose qu'elle ne dit pas. Et donc mettre en place tout un tas de procédures. Les entreprises, en fait, essayent de répondre en continu à ces questions. Donc ils mettent en place des systèmes qui leur permettent de détecter des attaques. Ensuite de les gérer et puis de tirer des enseignements. Et en fait, perpétuellement comme ça, c'est un cycle en continu d'apprendre de certaines attaques et de modifier son système de défense. Et son système de défense, c'est des technologies bien sûr, c'est ce dont on parle, c'est ce que les gens aiment voir. Mais au final, c'est surtout des gens, des gens qui se forment en permanence parce que le champ de menace, comme on dit, change en permanence. et une organisation. C'est toute une entreprise dans l'entreprise.
Speaker #0
Parmi les champs de menaces, il y a le plan individuel. À quel moment est-ce qu'on peut devenir une cible, privilégiée ? Qu'est-ce qu'il y a de la valeur dans ces attaques ? Qu'est-ce qui peut nous compromettre ?
Speaker #2
On peut tous devenir une cible à n'importe quel moment, dès lors qu'on comprend. Je veux vous rassurer. J'ai un ami qui avait l'habitude de dire, si on croise un tigre dans la jungle, il ne faut pas courir plus vite que le tigre, il faut courir plus vite que le type à côté de soi. C'est un peu le même principe dans la cybersécurité. Il y a des règles de base d'hygiène numérique qu'on appelle. Donc, il faut un peu comprendre, en dehors de certains individus, des leaders politiques ou des leaders... étatiques, d'entreprises, on ne fait pas face à des menaces qui sont forcément préméditées. Donc l'attaquant en face de nous, ça va être un cybercriminel opportuniste, sans vouloir dire du mal en général, un peu feignant, qui veut gagner de l'argent rapidement. Donc si on n'utilise pas tout le temps les mêmes mots de passe, si on n'utilise pas l'adresse email pour la sécurité sociale et pour une application qu'on a téléchargée vraiment à l'arrache sur Internet, Voilà, si on a un minimum de bon sens là-dessus, au final, même si on se fait hacker, il y a peu de conséquences. Parce qu'encore une fois, ces gens-là sont opportunistes. Après, on peut se faire hacker indirectement, donc si un organisme étatique a nos données, voilà. Mais là-dessus, on ne peut pas faire grand-chose.
Speaker #0
Et alors, si on se place du point de vue des TPE, Thomas, les TPE, ils n'ont finalement pas trop de solutions qui sont adaptées à leur taille ?
Speaker #3
De ce que moi, j'ai compris... C'est qu'il y a beaucoup de solutions de sécurité pour les grosses entreprises, mais pour les plus petites entreprises, c'est plus difficile parce qu'une grosse entreprise, par exemple, elle va faire un audit de sécurité. Donc, elle peut aller demander à des entreprises qui, eux, savent quelles sont les possibles vulnérabilités, etc. Sauf que ce genre d'audit-là, la plupart du temps, il va coûter trop cher pour une petite entreprise. Donc, ça fait que ces TPE, elles ne sont même pas au courant des menaces. Et donc, elles ne connaissent pas les menaces, elles ne connaissent pas les remèdes. Et donc, du coup, c'est possiblement celles qui vont être les plus grosses victimes de toutes ces cyberattaques. Donc, il n'y a pas trop de solutions à leur taille pour l'instant, de ce que moi, je comprends.
Speaker #2
Je peux peut-être juste revenir parce que je travaille avec beaucoup de startups, justement. C'est vraiment un facteur économique, comme tu le disais. Les gros cabinets de consultants, ils préfèrent viser des contrats avec le CAC 40. mais c'est aussi la réalité. des startups qui sont plutôt dans l'innovation. Ils travaillent sur un nombre d'années très très court. Et donc en général, ces entreprises créent des produits qui sont réellement dédiés. Au haut du panier, où on peut signer des contrats en plusieurs centaines de milliers d'euros. Donc ça intéresse peu de gens au final, peu d'acteurs économiques d'aider les TPE.
Speaker #0
Il y a un marché alors ?
Speaker #2
Il y a un marché, mais aussi le fait que les TPE, en essayant d'être très compétitifs, ils ne prennent pas forcément en compte, beaucoup dans leurs calculs de profitabilité, ils ne prennent pas en compte tout ce qui est lié aux risques. Risques cyber, risques de faillite, les risques en général, ils ne peuvent pas se le permettre, donc ils n'ont pas les moyens.
Speaker #0
Je reviens sur ce que disait Thomas tout à l'heure, tout ce qui est phishing, colis, etc. Ça, c'est ce qu'on appelle, Simon, de l'ingénierie sociale,
Speaker #2
entre autres. Oui, alors entre autres, oui. Alors le phishing, techniquement, c'est un email avec un lien, mais en général, on fait appel à l'ingénierie sociale.
Speaker #0
C'est quoi, de nous,
Speaker #2
la définition de l'ingénierie sociale ? L'ingénierie sociale, c'est un peu profiter des vulnérabilités du cerveau humain, d'une certaine manière. les gens qui font trop facilement confiance dans un certain contexte, ou alors les induire en erreur. On a tous des biais cognitifs. Donc l'ingénierie sociale, en principe, c'est ça. Essayer de manipuler les gens en leur faisant croire qu'ils sont dans un contexte familier. Il y a plein d'exemples, très récemment, qui mélangent aussi l'IA avec des gens qui se retrouvent dans des réunions en ligne en pensant qu'ils ont un conseil d'administration. En fait, c'est que du deepfake. Mais l'ingénierie sociale... Dans le phishing, elle est utilisée de deux manières différentes. Elle est utilisée pour, parfois, dans des cas où il y a beaucoup d'enjeux, convaincre des gens importants et on espère suffisamment intelligent de faire une chose qu'ils ne devraient pas faire, mais aussi parfois pour filtrer les gens qui font preuve de bon raisonnement. Il y a beaucoup de campagnes de phishing avec des e-mails qui clairement ont des fautes d'orthographe. On a tous reçu des e-mails qui sont, on va dire, dégueulasses. On se dit, mais comment les gens peuvent cliquer ? Et le but, c'est ça. Le but, c'est d'envoyer 10 millions. Et c'est d'avoir les gens les plus naïfs au final. C'est une sorte de filtre, de grand filet. Il y a des grandes campagnes de filtre où c'est fait exprès. On rend la chose tellement évidente qu'au final, ceux qui cliquent, ce sont les gens qui sont plus à même d'être victimes.
Speaker #0
Oui, il y a ce côté très évident. Et puis, il y a aussi l'impact de l'IA qui est redoutable dans l'ingénierie sociale. Tu parlais tout à l'heure d'une personne qui s'est retrouvée dans un conseil d'administration en full deepfake. Comment on se projette avec ça ?
Speaker #2
Alors ça va être compliqué, je ne sais pas, je pense qu'on saura peut-être un peu plus, mais il va falloir authentifier la source des images, etc. Il y a beaucoup, là on parle vraiment, c'est du Ocean's Eleven, c'est des grandes arnaques à plusieurs millions, mais je pense que tous les jours, là où les gens vont surtout se faire avoir avec le deepfake, ça va être sur les campagnes d'influence, bien sûr. On va manipuler l'image pour créer de l'émotion, etc. Et puis tout ce qui est, on appelle ça les arnaques à la romance. Ça, c'est déjà très bien utilisé. On pense parler à quelqu'un, une femme ou un homme, à une certaine partie du monde qui nous dit des choses. Puis au final, c'est une personne totalement différente qui est derrière. Donc là-dessus, oui, c'est déjà un gros problème. Ouais,
Speaker #3
mais peut-être comme concept. plus pratique, je dirais, en général, d'essayer de voir d'où vient l'information. Parce que ça fait très longtemps qu'on peut générer des fausses images, des fausses vidéos, des fausses voix, des choses comme ça. Mais je pense que tout retombe sur d'où ça vient. Donc si, par exemple, je vois une vidéo du président de la République qui dit quelque chose, qui a posté cette vidéo ? Est-ce que... c'est un compte que j'ai jamais vu avant ou est-ce que c'est un compte officiel de de l'état ou du président, des choses comme ça et ou si c'est un journal par exemple, est-ce que ce journal a une bonne crédibilité ? Est-ce que dans le passé ce journal a un passé ou à avoir dit pas mal de choses qui étaient fausses ou alors est-ce que ce journal a une bonne crédibilité en général qui est assez sérieux et donc je pense que comme tu disais tout à l'heure l'accès à générer ces mensonges est beaucoup plus facile, mais on revient toujours à la même chose que... On en revient toujours au fait que la personne qui poste ça, c'est sa créabilité qui est en jeu. Et donc à partir du moment où tu postes, c'est assez dur de gagner de la créabilité, et c'est très facile de la perdre, parce qu'il suffit de poster une ou deux fois quelque chose de faux, et puis tu perds toute ta créabilité, même si tu dis la vérité depuis dix ans. Donc si tu te fies à ça, euh bah Je pense que tu réduis pas mal les chances de prendre quelque chose qui est faux pour vrai.
Speaker #2
Juste un exemple de deepfake auquel je pense maintenant et qui, à mon avis, va arriver en France dans pas longtemps. C'est vraiment prévalant aux États-Unis en ce moment. C'est plutôt les deepfakes audio, en général, les arnaques où on fait croire aux parents que leurs enfants ont des ennuis.
Speaker #0
Mais des ennuis des fois tout bêtes, un problème de voiture ou perdu pendant un voyage scolaire. Alors là, en fait, les attaquants, quels qu'ils soient, mais en général, c'est des opportunistes qui veulent de l'argent, ils utilisent plusieurs choses. Ils utilisent l'intelligence artificielle pour répliquer la voix d'adolescents, en général. Ils utilisent les réseaux sociaux pour comprendre un petit peu où ces adolescents peuvent être. Est-ce qu'ils sont partis ? Est-ce qu'il y a une déconnexion temporaire avec les parents ? Et donc, les parents reçoivent des appels où ils entendent leur ado en panique. dans une situation plus ou moins grave, leur demandant de l'argent ou leur demandant de faire quelque chose. Et ça, c'est très facile, c'est très peu coûteux, encore une fois, pour les criminels de le faire. Donc je pense que ça viendra en France. Et s'il y a un conseil très simple, en tout cas que j'ai entendu, qui pour moi a du sens, c'est d'avoir une petite phrase secrète avec ses enfants, de se dire, voilà, si jamais un jour tu as des ennuis, si jamais un jour je me fais contacter comme ça, je te poserai une question et je m'attendrai à ce que tu aies une réponse. Et c'est quelque chose de très old school, ce n'est pas très technologique, mais apparemment ça marche dans ce type de scénario. Oui,
Speaker #1
parce que finalement, les réseaux sociaux jouent un rôle là-dedans, encore plus dans un contexte où les nouvelles générations, mais finalement tout le monde, tout le monde est sur les réseaux sociaux. Qu'est-ce qu'on doit faire justement par rapport à toutes ces informations que l'on va mettre sur les réseaux sociaux ? Alors, au-delà du fait de se filmer, de se prendre en photo, mais il y a aussi toutes les informations que l'on met quand on s'ouvre un compte.
Speaker #0
Qu'est-ce qu'on doit faire ? Déjà, faire attention à ce que l'on donne. C'est toujours du troc, en fait. Moi, je vois comme ça. Dès qu'on travaille avec une application, on se dit qu'est-ce que je donne et qu'est-ce qu'on me donne en retour. La plupart de ces applications, leur modèle économique, c'est de vendre nos données. On le sait, je pense que quand c'est gratuit, c'est toi le produit. Je pense que tout le monde l'a entendu maintenant, on n'a plus besoin de le répéter. Mais toujours se dire, bon, est-ce que pour jouer à Candy Crush ou équivalent, je ne veux pas sauter de marque, j'ai besoin de donner mon passeport ? Est-ce que j'ai besoin de donner des informations bancaires ? Ça vous paraît évident quand je vous dis ça, mais il y a plein de scénarios où les gens, sous prétexte de se dire, c'est quelque chose d'important, partagent des informations qu'ils ne devraient pas partager. Après, comprendre un petit peu si ces informations sont publiques, sont privées. Donc déjà, c'est là, faire comprendre la valeur de ces données et ne pas les donner aussi facilement. Et puis après, toutes les règles d'hygiène dont on a parlé, protection des mots de passe, gestionnaire de mots de passe si possible, multiplication des facteurs d'authentification, c'est-à-dire j'ai un mot de passe, il peut se faire voler, d'accord, mais est-ce que je peux recevoir un code par téléphone ou une autre application ? Est-ce que plus je rajoute de complexité, moins il est facile de se faire hacker ?
Speaker #2
Thomas ? Je pense que c'est pareil. Quand on nous demande des informations, c'est rare que ça nous oblige à donner des vraies informations. Donc si, comme tu disais, il y a une application pour jouer à un jeu ou qui n'est pas très importante, même si c'est important mais qu'ils n'ont pas besoin de savoir quel est mon nom, mon prénom, ma date de naissance, etc., il n'y a rien qui m'oblige à mettre des vraies informations. Même si je suis obligé de rentrer les informations pour créer le compte, je peux mettre... des fausses informations et du coup éviter que j'ai des données qui traînent partout quand il n'y en a pas besoin.
Speaker #1
Et les informations qu'on nous demande pour certifier des comptes de réseaux sociaux par exemple ? Une petite pastille. Ces fameuses petites pastilles que tout le monde veut. Est-ce qu'on est prêt à donner des informations pour ça ? Est-ce que c'est une bonne idée ?
Speaker #2
C'est comme tu disais aussi, qu'est-ce qu'on va donner, qu'est-ce qu'on va avoir en échange ? Donc si on veut une petite pastille parce que c'est important pour nous, parce que pour notre travail ou quoi, là ça peut faire du sens de donner ces vraies informations. Mais s'il n'y a pas vraiment de retour, dans le sens où un réseau social me demande mes vraies informations, j'ai rien à gagner à y mettre. J'ai rien à gagner à mettre mon vrai nom, mon vrai nom de famille, mes vraies informations dans ce réseau social-là. Donc ça sert à rien.
Speaker #0
Risques, risques, bénéfices.
Speaker #3
Un peu old school aussi. donner des informations Non, par exemple, quand on télécharge une calculatrice sur un terminal mobile, il n'y a aucune raison que cette calculatrice demande l'accès à mon répertoire, mon appareil photo, mon micro, ma caméra. Donc juste aussi lire un petit peu, s'informer, s'éduquer et voir qu'il y a une décorrélation entre le bénéfice que j'attends d'une calculatrice et les accès que l'on me demande. Donc c'est juste... Voilà, l'esprit critique, on en a parlé souvent. Avoir une capacité juste d'analyser que là, en téléchargeant cette calculatrice, je me fais avoir parce qu'il va accéder à tout mon contenu, alors que ce n'est pas du tout... en corrélation avec le bénéfice attendu.
Speaker #1
Et c'est souvent d'ailleurs.
Speaker #3
Et c'est très souvent que pour n'importe quelle application, ils demandent à accéder à absolument tout. Ça fait partie aussi des protections.
Speaker #0
Avec ces caméras, microphones sur les applications mobiles, ça a beaucoup de jeux, des petits jeux qui demandent ça, faire très attention. Est-ce qu'on a réellement besoin de jouer à ce jeu tout de suite ? Parce qu'après, c'est un calcul personnel. Si on a besoin de LinkedIn pour travailler, on va peut-être accepter le risque. C'est ça, se demander, comme une entreprise se demande, est-ce que je suis prêt ? près accepter cette part de risque est ce que donner mon passeport à linkedin c'est la même chose que donner mon passeport à tik tok à qui ces sociétés appartiennent qu'elles sont des enfants qui est à l'origine ce que dit mais si thomas linkedin ok c'est microsoft peut
Speaker #3
espérer qu'une certaine sécurité même s'il vend nos données qui est une certaine sécurité quand quand on télécharge un jeu dont l'origine est difficile à déterminer, mais... que dans la notice du jeu, tout est écrit en chinois. S'il demande le passeport, il faut peut-être réfléchir deux secondes avant.
Speaker #1
Peut-être pas. Non, finalement, non.
Speaker #2
C'est peut-être un super bon jeu.
Speaker #3
C'est peut-être un super bon jeu, mais bon, est-ce que je prends le risque de diffuser mon passeport, même si le jeu est super bon ?
Speaker #0
De plus en plus de ces problèmes, ça devient de plus en plus difficile, surtout avec l'intelligence artificielle maintenant. tout. Toutes les applications, tous les produits qu'on utilise maintenant vont être infusés à l'IA, vont avoir des nouvelles compétences. On va demander en fait de connecter une application à d'autres applications pour que l'IA puisse tirer des enseignements, comprendre notre utilisation, nous faire des recommandations. Et je pense que ça va être de plus en plus compliqué de dire non.
Speaker #3
Et ça va mener à l'agrégation générale. C'est ça en fait le réel danger.
Speaker #1
L'agrégation générale ?
Speaker #3
L'agrégation des données. Mon prénom Marine, ça n'a aucun intérêt tout seul. Par contre, si je le rapproche de ton famille, ton adresse, tes habitudes de consommation, ton compte LinkedIn, là, du coup, j'ai un package très, très intéressant et qui vaut de l'argent. Les IA vont être un vecteur d'agrégation de données qu'on n'avait pas imaginé. Parce que, et ça existe déjà, il y a déjà des IA découvertes en Osint sur... qui est Marine Hadato. Il va aller chercher partout, à partir de ta photo, de ta voix, de tes traces numériques, et il va fabriquer un package complet. Une entreprise aux US qui a été un peu retoquée, mais qui continue son activité, qui s'appelle Clearview, et qui fabrique ça en fait. Il capte des milliards de photos, puis il y a des IA qui font des classifications, des rapprochements et des packages. Alors c'est utilisé par toutes les agences de renseignement américains. Mais du coup, là, ils l'ont fermé au public. On ne peut plus payer pour avoir, à partir d'une photo, toute la vie de la personne.
Speaker #0
C'est déjà ce que les publicitaires font. C'est la grande valeur des données de Google. Ce n'est pas de connaître votre nom, votre date de naissance. C'est de savoir que vous êtes anxieux à 2h du matin par rapport à une chose qui vous arrive dans votre vie. C'est des données sur le subconscient qui sont extrêmement puissantes. Pour les campagnes marketing, bien sûr, mais aussi pour les campagnes d'influence. Donc ça, je pense que... À long terme, c'est bien plus dangereux que de se faire voler son prénom et sa date de naissance.
Speaker #1
Alors, c'est bien, la transition est toute trouvée. Ce podcast, la provocation est d'acculturer, mais aussi de donner des conseils pratiques aux auditeurs. On en a déjà donné quelques-uns, mais globalement, quels conseils est-ce que vous donneriez à des dirigeants d'entreprises, déjà pour se protéger des cyberattaques ? On remonte de deux crans.
Speaker #0
Alors, ça va dépendre un peu de leur taille, de leur chemin, de leur maturité sur le plan de la cybersécurité. Je pense que si on parle de la poste, ça va être des enjeux très, très différents d'une petite entreprise. Déjà, admettre qu'on peut être vulnérable, qu'on peut se faire hacker, comprendre un petit peu l'ampleur du domaine, c'est-à-dire que... On peut se faire voler des données, oui, en ayant des données sur le cloud, mais aussi en les ayant sur un serveur local, mais aussi par le biais d'employés. Il y a plein de vecteurs d'attaque. Donc, s'entourer de professionnels, leur donner des raisons de bien nous conseiller. C'est-à-dire, des fois, on travaille avec des gens et on leur donne des motivations, pas forcément de bien nous conseiller, mais de... de créer une addiction, je ne vais pas dire du mal des cabinets de conseil, mais il y a beaucoup de situations comme ça, où des grandes entreprises n'encouragent pas les gens à résoudre un problème, mais surtout à en trouver des nouveaux à chaque fois. continuer comme ça cette dépendance. Mais on l'a déjà dit un peu tout à l'heure, commencer par un inventaire de tout ce qu'on a, de tout ce qui est à risque. Et puis après, on ne peut pas tout protéger. Donc sur la base du champ des menaces, comme on dit dans le milieu, comprendre quoi protéger, jusqu'où faire ce calcul coûts, bénéfices, risques en permanence. Il n'y a pas une réponse à... à cette question, mais il y en a des multiples selon qui on est et à quel moment de son développement.
Speaker #1
Ok, Olivier, qu'est-ce que tu ajoutes à tout ça ?
Speaker #3
Tout ça, ce sont des règles ou des bonnes pratiques qu'on connaît. Il y a peut-être passé deux minutes à lire les recommandations de cybermalveillance.gov, qui sont basiques, alors pour vous deux, ça va paraître quand même très très léger, mais c'est une découverte pour la moitié de la population. C'est deux minutes à lire et ça évite 70-80% des problèmes, simplement parce qu'il répète l'authentification forte, les mots de passe complexes, etc. Identifier aussi peut-être, on l'a dit un peu en creux, les éléments clés. L'adresse e-mail qu'on a donnée à la banque, c'est un élément clé. Parce que si on se fait pirater le compte, c'est par ce vecteur qu'ils vont d'abord essayer de fermer ou de réhabiliter le compte. Peut-être que cette adresse e-mail... Là, elle est clé et qu'il faut la sécuriser avec du 2FA, avec des mots de passe complexes. Si vous utilisez la marque à la pomme, il y a les outils intégrés dans la marque à la pomme pour créer des mots de passe récurrents, complexes, en 2FA, etc. Sinon, utilisez des applications tierces pour le faire. Mais bien identifier quels sont les comptes. Parce que si je perds mon compte TikTok, c'est aussi grave que si je me fais pirater mon adresse mail qui me... sert à communiquer avec ma bande. C'est ça, réfléchir à la hiérarchie pour sécuriser au maximum et donc courir plus vite que son voisin face au tigre sur ce type d'attaque.
Speaker #1
Thomas, tu parlais d'applications tout à l'heure, tu peux peut-être en citer quelques-unes.
Speaker #2
Oui, moi j'utilise Bitwarden, qui est un gestionnaire de mots de passe. Donc en gros, l'avantage, c'est que c'est multipatforme, donc tu peux l'avoir sur mon PC Windows, sur mon Mac, sur mon téléphone. Et ça fait que je récupère tous mes mots de passe sur toutes mes plateformes. Et donc j'ai un mot de passe très fort qui permet de débloquer cette application. Et cette application, ensuite, elle, elle contient tous les mots de passe qui sont tous différents pour tous les sites, toutes les applications, etc. Donc ça permet de facilement avoir des mots de passe différents, compliqués, longs, pour tous les services qu'on utilise. Et ça, ça nous protège dans le cas où... Parce que même si on a un mot de passe très très fort, le service qu'on utilise, il peut... Comme on a dit tout à l'heure, comme je pense que tu as dit, il y a 40% des entreprises qui sont victimes de fuite. Donc ça veut dire qu'on utilise des dizaines, peut-être des centaines de comptes sur différents services. Donc même si mon mot de passe est super fort, il est probablement dans la nature. Donc le fait d'en avoir plein de différents, ça évite que si ce mot de passe-là est compromis... Ça ne compromet pas tous mes autres services d'un coup.
Speaker #1
Alors, j'ai une question qui me vient là. Les identifications Google, bonne idée ou mauvaise idée, du coup ?
Speaker #0
C'est-à-dire le single sign-on ?
Speaker #1
Exactement.
Speaker #0
Oui, moi, je pense que c'est… Sauf si c'est l'adresse mail de ta banque. Ah oui, alors après, très bon conseil que vous avez donné tout à l'heure par rapport à d'avoir plusieurs adresses e-mail selon les finalités. comprendre son empreinte digitale en règle générale, peut-être faire un petit nettoyage de printemps, regarder son téléphone, est-ce qu'on a besoin de 150 applications, qu'est-ce qu'on peut effacer, est-ce qu'on a besoin d'avoir un compte utilisateur sur tous les sites de shopping, quelles que soient leurs origines, de temps en temps faire ce nettoyage. Et oui, ce qu'on appelle le single sign-on, c'est bien si on a un très bon mot de passe, si on a un multiple facteur d'authentification, c'est comme un gestionnaire de mot de passe, si on a un mot de passe. passe très très simple à craquer, ça ne sert à rien. Je rajouterais juste un petit conseil pour les entreprises. Les entreprises ont accès à beaucoup de très bonnes ressources aussi, surtout en France. L'ANSSI fait un travail incroyable, l'Agence Nationale de la Sécurité des Systèmes d'Information. Sur leur site, il y a énormément de ressources appropriées aussi pour les TPE et ils sont facilement joignables aussi. C'est des gens qui d'ailleurs aiment aider les entreprises de toutes... de taille, donc n'hésitez pas à vous renseigner sur leur site.
Speaker #1
Allez contacter si besoin. Merci beaucoup. À présent, je vous propose d'ouvrir vos chakras de la réflexion avec la vision prospective d'Olivier. Quel pourrait être notre futur de la cyber ? Olivier. C'est à toi.
Speaker #3
Le futur de la cyber, vaste question à laquelle je ne vais pas répondre, mais on l'a dit tout à l'heure, l'avenir du monde numérique est incertain, il est semé d'embûches, les menaces cyber, qu'elles soient le fait de hackers malveillants, d'organisations criminelles ou d'états hostiles, sont en constante évolution, se renouvellent sans cesse, et on peut gager que l'échelle sera toujours plus haute que le mur. Elles visent à perturber, endommager ou voler les données sensibles, des infrastructures critiques ou des secrets industriels, on l'a dit tout à l'heure. Tout à l'heure, ça concerne les entreprises et les individus. L'intelligence économique qui consiste à collecter, analyser et diffuser des informations stratégiques pour un avantage concurrentiel devient un enjeu majeur dans la guerre de l'information, dans l'influence qui se joue sur la toile, mais devient aussi une arme redoutable. Le danger pour les plus jeunes est réel, exposé à des contenus toujours plus addictifs et souvent inappropriés, à des tentatives de manipulation ou à des cyberharcèlements. sans avoir forcément les outils pour se protéger ou se défendre. Mais quels sont ces outils ? Face à ces défis, le rôle de l'esprit critique, on y revient, et de l'éducation à tous les âges est primordial. Il s'agit de développer chez les citoyens et chez les patrons d'entreprises, notamment TPE, PME, des compétences et des attitudes qui leur permettent de comprendre, d'évaluer et de contrôler leur environnement digital. Il s'agit aussi de les sensibiliser aux risques et aux opportunités du monde numérique, de leur apprendre à protéger leur identité, leur vie privée, leurs données, de leur transmettre les règles d'éthique et de civilité en ligne, de leur faire acquérir les bases de la cybersécurité, mais aussi d'identifier les schémas de manipulation et d'ingénierie sociale. L'éducation aux médias et à l'information devrait être une priorité nationale et internationale, encore une fois à tous les âges. puisqu'il implique tous les acteurs de la société, les pouvoirs publics, les entreprises, les associations, les médias, les établissements scolaires, les familles et les individus. Il ne suffit pas de fournir des équipements et des connexions à tous. Il faut aussi accompagner les usagers dans leur appropriation critique et responsable du numérique. Plusieurs fois au cours de ce podcast, nous avons évoqué l'esprit critique. Je pense que c'est le moment où il faut vraiment s'en servir, car c'est la seule arme de protection massive universelle. contre les plateformes abrutissantes qui n'ont de social que le nom. Et pour y parvenir, permis de surfer façon permis de conduire à point ou éducation des masses, vous avez 4 heures.
Speaker #1
Des réactions ?
Speaker #2
Moi, je trouve que c'est intéressant le fait que tu dises que l'esprit critique soit intéressant parce qu'on a beau donner tous les conseils qu'on veut, Ils sont valables aujourd'hui, peut-être que dans six mois ils sont plus valables parce qu'on a une nouvelle technique d'attaque avec de l'IA super compliquée qui fait que même si tu fais tout ça, ça ne sert quand même à rien. Donc effectivement, après c'est un peu difficile de donner ça comme conseil, de dire il faut juste faire attention. Mais ouais, c'est en fait probablement que le conseil ultime c'est d'essayer de comprendre ce qu'on utilise pour pouvoir... pour pouvoir avoir cet esprit critique-là qui va nous dire si ce qu'on fait, c'est sécurisé ou pas.
Speaker #3
Sachant qu'une des plus vieilles attaques, qui est la clé Louis Vuitton, continue de fonctionner. Il y en a encore eu une il y a deux semaines. Donc l'attaque par clé, ça continue de très bien fonctionner, alors que ça a peut-être 15 ou 20 ans, ce type d'attaque. Et que tout le monde la connaît. Tout le monde sait très bien... Si on trouve une clé Louis Vuitton dans un ascenseur, il ne faut pas la brancher sur son PC.
Speaker #0
Votre conclusion est parfaite. Le vecteur d'espionnage encore aujourd'hui le plus utilisé par toutes les agences dans le monde, c'est d'écouter par-dessus l'épaule. Ça n'a pas changé. Et encore une fois, pour se protéger de tout type d'attaque, le meilleur des conseils que vous avez donnés, c'est améliorer son esprit critique et se former comme les agences de renseignement forment leurs analystes. Ils essayent d'avoir des gens les plus objectifs possibles, avec un esprit critique pour être capable d'analyser une situation de manière froide. Et ces gens-là apprennent à réfléchir hors émotion. D'ailleurs, il y a un bouquin que j'ai trouvé par hasard il y a des années, je pense qu'il est encore édité, qui s'appelle « Petit cours d'autodéfense intellectuelle » . Je pense que peut-être d'autres personnes l'ont lu. En tout cas, c'est un... Une agrégation de plein de sources qui expliquent les biais cognitifs, les erreurs de raisonnement, et j'encouragerais beaucoup de gens à le lire ou à rejoindre des associations qui vous enseignent la pensée critique.
Speaker #3
Et sur le segment de l'influence, toujours se méfier d'une information qui va dans le sens, dans notre sens de penser. Parce que c'est celle-là qui est utilisée pour ensuite introduire des biais.
Speaker #0
C'est de plus en plus dur. Tous les réseaux sociaux sont construits, les algorithmes sont construits pour renforcer un petit peu ce qu'on aime. Plus on regarde un type de contenu, plus on va nous en suggérer. Donc on s'enferme dans ces chambres d'écho, comme on dit.
Speaker #1
Ok, l'esprit critique donc comme mot de fin. Je pense que c'est bien. Merci à tous les trois d'avoir partagé vos connaissances et votre vision. Nous vous mettons toutes les ressources citées dans la description de l'épisode. A très vite pour un prochain épisode.
Speaker #3
Merci Marine.
Speaker #2
Merci. Salut.
Speaker #1
Salut. Et voilà, chers auditeurs, c'est tout pour cet épisode de Tendances Inno. Un grand merci pour votre écoute. Nous espérons que vous avez trouvé cette discussion aussi enrichissante et inspirante que nous. N'oubliez pas de vous abonner pour ne manquer aucun de nos futurs épisodes. Vous pouvez retrouver Tendancino sur toutes les plateformes de podcast, YouTube et Dailymotion. Si vous aimez ce podcast, faites-le nous savoir et aidez-nous à le faire connaître grâce à vos commentaires et à vos partages. Pour plus de contenu sur les technologies émergentes, suivez-nous sur les réseaux sociaux de Docaposte et de Wagmi Trends. A bientôt pour un nouvel épisode, placé sous le signe de la tech, du Web3 et de l'innovation. D'ici là, continuez à explorer, à innover et à créer.

About « Tendances INNO » le podcast Innovation de Docaposte

💥 Bienvenue dans « Tendances INNO », le podcast de Docaposte pour tout savoir sur les technologies émergentes, sous le signe de la tech et de l'innovation !

Si vous aimez ce podcast, n’hésitez pas à vous y abonner, à nous le dire en commentaire, et à mettre un 👍 ou ❤️ selon la plateforme que vous utilisez pour nous écouter !

Prise de son / mixage : Marine Benabou

Montage vidéo : Richard Bourderionnet

Direction artistique : Alexandre Warisse

#TendancesInno #Innovation #ConfianceNumérique #Podcast

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About « Tendances INNO » le podcast Innovation de Docaposte

💥 Bienvenue dans « Tendances INNO », le podcast de Docaposte pour tout savoir sur les technologies émergentes, sous le signe de la tech et de l'innovation !

Si vous aimez ce podcast, n’hésitez pas à vous y abonner, à nous le dire en commentaire, et à mettre un 👍 ou ❤️ selon la plateforme que vous utilisez pour nous écouter !

Prise de son / mixage : Marine Benabou

Montage vidéo : Richard Bourderionnet

Direction artistique : Alexandre Warisse

#TendancesInno #Innovation #ConfianceNumérique #Podcast

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

#Podcast 🎧 | Imaginez un champ de bataille où chaque clic peut être une arme et chaque donnée personnelle un territoire à conquérir.

Dans le monde numérique d'aujourd'hui, la cybersécurité ne se limite pas seulement à protéger des informations, elle est une lutte invisible pour la sécurité et la souveraineté.

Aujourd’hui, Marine Adatto et Olivier Senot, Directeur de l'Innovation de Docaposte, vous proposent de plonger dans les profondeurs de ce champ de bataille moderne.

Nos invités ?

➡️ Simon Reiniche, cofondateur d’Innixus, un réseau social privé pour les professionnels de la cybersécurité.

➡️ Thomas Bomboh, alias Cocadmin, Youtuber passionné par la cybersécurité, qui programme des bots et mine des bitcoins sur une calculette.

🎧 Au programme :

- Qu'est-ce que la cybersécurité et pourquoi est-elle plus importante que jamais ?

- Une exploration des coulisses de la cyber-guerre mondiale.

- Des conseils pratiques pour protéger vos données personnelles et professionnelles.

💡 Ce que vous propose cet épisode ?

Un voyage éclairant à travers les tactiques, les technologies et les stratégies de pointe qui façonnent le futur de notre sécurité numérique.

Et vous, comment percevez-vous les enjeux de la cybersécurité dans votre quotidien ?

Partagez vos réflexions et rejoignez la discussion !

Cliquez sur ▶️. Votre prochaine découverte sur comment sécuriser votre futur numérique est à portée de clic.

Retrouvez cet épisode de “Tendances Inno” sur votre plateforme de podcast préférée : https://smartlink.ausha.co/tendances-inno-le-podcast-innovation-de-docaposte

#TendancesInno #Innovation #Docaposte #WagmiTrends #Innovation #cybersécurité

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue dans Tendances Inno, votre rendez-vous pour explorer les technologies émergentes présentées par Docaposte, le référent français de la confiance numérique. Je suis Marine Adatto, cofondatrice de Wagmi Trends, et j'ai le plaisir d'être accompagnée par Olivier Senot, directeur de l'innovation chez Docaposte. Dans ce podcast, nous vous emmenons à la rencontre des innovateurs et des créateurs qui redéfinissent notre monde numérique. Que votre curiosité vous porte vers le Web3, l'IA ou toute autre technologie émergente, Vous êtes au bon endroit. Préparez-vous à une dose d'inspiration et d'informations. Au programme, des découvertes, des défis et des solutions innovantes. Alors branchez vos écouteurs, ouvrez votre esprit et plongez avec nous dans l'univers de Tendances Inno. Imaginez un champ de bataille où chaque clic peut être une arme et chaque donnée personnelle un territoire à conquérir. Dans le monde numérique d'aujourd'hui, la cybersécurité ne se limite pas seulement à protéger des informations. Elle est une lutte invisible pour la sécurité et la souveraineté. Aujourd'hui, nous vous proposons de plonger dans les profondeurs de ce champ de bataille moderne avec un expert du domaine, Simon Reiniche, expert en cybersécurité et cofondateur d'Inixus, un réseau social privé pour les professionnels de la cybersécurité. Bonjour Simon. Il mine des bitcoins sur une calculette et code des bots pour traquer les McFlurry. youtubeur passionné d'informatique et de cybersécurité, Thomas Bombo, aussi connu sous le nom de Cocadmin, est avec nous aujourd'hui. Bonjour Thomas. Salut, comment ça va ? Ça va et toi ? À mes côtés, car je suis toujours très bien accompagnée, Olivier Seuneau, directeur de l'innovation chez Docaposte, nous partagera sa vision et ses conseils sur ce sujet brûlant, qu'est-ce que la cybersécurité ? Pourquoi parle-t-on de cyberguerre mondiale ? Quelles sont les motivations derrière les attaques numériques ? Olivier, c'est à toi.
Speaker #1
Merci Marine. Simon sait tout. Expert en cybersécurité, en intelligence, en risque cyber et on me dit dans l'oreillette qu'il est aussi spécialiste du dark web. Titulaire d'un bachelor de la Inholland Academy et diplômé d'une prestigieuse mais peu connue en France université de Séoul, la Yonsei University, qui a la particularité de former les enseignants. Mais si l'enseignement est une vocation, c'est le business et la lutte contre la cybermenace qui guidera ta carrière. Après 15 ans d'exec développement pour des entreprises de cybersécurité aux quatre coins du monde, mêlée d'intrapreneuriat notamment en Afrique, tu es fondateur et directeur général d'Inixus, le réseau social ouvert sur invitation et réservé au monde de la cybersécurité. Rapporter Inixus au simple réseau social serait occulter l'ambition éducative de cette plateforme pour que tous les responsables cyber restent en permanence informés des menaces et autres broutilles qui empoisonnent nos vies numériques. Impliqué dans l'éducation face aux menaces du XXIe siècle, tu as récemment prodigué Ta vision du rôle des parents dans l'éducation des jeunes, mais comment faire quand les parents ne sont pas « aware » sur les risques qui les concernent ? Simon, nous t'écoutons.
Speaker #0
Salut Simon.
Speaker #2
Salut, merci de me recevoir.
Speaker #0
Simon Thomas, pour rentrer dans le vif du sujet, et Olivier bien sûr, je vous propose un petit quiz. L'idée, c'est d'avoir une vue globale de ce qui nous attend. Est-ce que vous êtes prêts ?
Speaker #2
Oui.
Speaker #0
Première question, quel sera le coût annuel mondial des cyberattaques d'ici 2025 ? Alors, première réponse, 6 000 milliards de dollars. Deuxième réponse, 8 000 milliards de dollars. 10 000 milliards de dollars ou 12 000 milliards de dollars ?
Speaker #2
Beaucoup. Beaucoup.
Speaker #0
Beaucoup de milliards.
Speaker #1
Beaucoup trop.
Speaker #0
Beaucoup trop de milliards.
Speaker #2
Je vais dire 10 000 milliards.
Speaker #0
10 000 milliards, ouais. Thomas, tu dis ?
Speaker #3
Ouais, ça me paraît, même 10 000 milliards, ça me paraît beaucoup, mais tous les chiffres que tu as donnés sont super gros, donc je vais dire 10 aussi.
Speaker #0
Ouais, ouais, c'est ça. Olivier ?
Speaker #1
Déjà, 6 000 milliards, juste pour comparer, c'est l'équivalent de l'épargne totale des Français.
Speaker #0
Ah oui, c'est beaucoup.
Speaker #1
L'épargne totale de la France, c'est 6 000 milliards.
Speaker #0
Donc, il faut faire attention aux cyberattaques quand même. Alors, c'est 10 000 milliards, c'est plus que l'épargne des Français. Et c'est selon l'étude 2022 Cybercrime Report de Cybersecurity Ventures. Donc, ce coût annuel des cyberattaques devrait atteindre 10 000 milliards de dollars d'ici 2025. Et le pire, c'est que c'est une augmentation de 15 %. par rapport à 2021. Protégeons-nous. Deuxième question. Quel est le pourcentage des entreprises qui ont subi une fuite de données en 2022 ? 30%, 40%, 50% ou 60% ?
Speaker #3
Je dirais 50% parce que ça peut être ce qu'on entend parler des grosses fuites, mais il y a des petites fuites qui arrivent tous les jours qu'on n'entend jamais parler. Une entreprise vit des années en général. Probablement 50%. Oui.
Speaker #2
Je dirais aussi sûrement plus de la moitié. Il y a les fuites cyber, mais il y a aussi les fuites liées au départ d'un employé qui a, par exemple, pris un fichier qu'il n'aurait pas dû prendre. Donc, je dirais plus de la moitié.
Speaker #0
Olivier, tu dis quoi ?
Speaker #1
60 %,
Speaker #2
ça me paraît faisable.
Speaker #0
60 % ?
Speaker #1
Toutes les petites fuites.
Speaker #0
Oui. Écoutez, pour l'instant, on n'est qu'à 40 %.
Speaker #3
Ah, ça va.
Speaker #1
C'est moins pire que ce qu'il y a.
Speaker #2
C'est bon, on n'a rien à faire.
Speaker #0
Ça va, on est pas mal. C'est une étude d'IBM de 2022. 40% des entreprises qui ont subi une fuite des données et un coût moyen de 4,35 millions de dollars par incident. Ce n'est quand même pas neutre. Troisième question. Combien de milliards de dollars le marché mondial de la cybersécurité devrait-il atteindre d'ici 2027, selon Mordor Intelligence ? On est toujours en milliards, je vous le dis. On est sur un gros marché. 150 milliards, 200 milliards, 250 milliards ou 300 milliards ?
Speaker #2
Tu devrais le savoir.
Speaker #0
Je devrais le savoir aussi. Oui, tu devrais le savoir.
Speaker #2
Oui, je pense que... Plus le chiffre est gros, plus il est réaliste dans ce cas-là. Donc, je prendrais la plus haute estimation.
Speaker #0
300 milliards ? Oui. Thomas, tu dis quoi ?
Speaker #3
Si tu as dit tout à l'heure, on était à 10 000 milliards de coûts. Donc, ça veut dire qu'il faut que ce soit une portion de ça que tu veuilles sécuriser. Si tu veux sauver 10 000 milliards, il faut que tu dépenses une petite portion de ça. Le plus gros chiffre que tu avais dit, c'était quoi ?
Speaker #0
300 milliards.
Speaker #3
300 milliards, ça fait 3 %. Ça paraît un bon deal.
Speaker #0
Oui. On est sur un bon raisonnement là Thomas. Olivier, tu dis quoi ?
Speaker #1
C'est un peu élevé 3%, mais oui.
Speaker #0
Tu suis Thomas ?
Speaker #1
Oui, 250.
Speaker #0
250 ? C'est Thomas qui a raison. 300 milliards. 300 milliards de dollars en 2027. Et donc c'est avec une croissance de 12,5% chaque année de 2022 à 2027. Et alors j'ai une question super banco, si vous voulez. Le tout pour le tout. Le tout pour le tout. Selon Gartner, quel est le pourcentage des organisations qui adopteront une approche zéro trust d'ici 2025 ? 35%, 45%, 55% ou
Speaker #2
65% ? Je vais dire l'estimation la plus haute, c'est un concept qui est très ambitieux.
Speaker #0
Très ambitieux ?
Speaker #3
Je pense que tout le monde veut le faire, mais en général l'implémentation de nouvelles technologies dans les entreprises, surtout les grosses entreprises, ça prend beaucoup de temps. Si la question c'est l'intention, peut-être 40-50%, mais l'implémentation, peut-être 10%.
Speaker #0
Ah oui, on est plutôt sur l'intention.
Speaker #1
Sur l'intention, maximum. Maximum. Les Zero Trust,
Speaker #0
c'est... Ils ont raison en même temps.
Speaker #1
Sur l'intention, oui. Ensuite, je suis d'accord sur la réalisation, on ne sera pas au niveau de l'intention.
Speaker #0
Oui, c'est ça. C'est donc 65%. Contre seulement 35% en 2021, quand même. Voilà, et donc Gartner, c'est un cabinet de recherche et de conseils reconnus pour ses analyses des tendances technologiques, notamment dans le domaine de la cybersécurité. Je vous propose de poursuivre avec un micro-trottoir. On est allé écouter ce que pensent les gens de la cybersécurité et de l'impact qu'ils imaginent sur leur quotidien. Te sens-tu en sécurité quand tu partages tes informations personnelles en ligne ?
Speaker #4
Je suis assez mitigée.
Speaker #0
Pourquoi ou pourquoi pas ?
Speaker #4
Parce que d'un côté, partager les informations, c'est nécessaire, notamment pour se connecter à certains sites ou certaines applis. Mais d'un autre côté, justement, c'est là où les cookies jouent un rôle, où on a un peu peur que nos informations soient divulguées à on ne sait qui. Et donc, si je devais me positionner, je serais assez inquiète quand même de partager mes données, car on ne sait pas à qui est-ce que ça peut... être envoyé, surtout avec les cookies, on ne sait pas trop ce qu'il y a dedans, surtout qu'on ne les lit pas. Donc oui, je serais assez inquiète.
Speaker #0
Quelle est ta plus grande peur concernant la sécurité de tes données en ligne ?
Speaker #2
Je n'en ai pas vraiment parce que toutes les données sont déjà publiques. Du coup,
Speaker #3
tu as compris, ça fait longtemps que Google,
Speaker #2
Facebook, que tout le monde a toutes les données.
Speaker #3
Aujourd'hui, ou bien tu vis avec ton époque ou bien tu ne vis pas.
Speaker #0
Quelle mesure simple penses-tu que tout le monde devrait prendre pour mieux protéger ses données en ligne ?
Speaker #4
Ne pas poster sur les réseaux comme TikTok, Instagram, Facebook, parce qu'on ne sait jamais où vont nos données. Parce que de base, on les donne à Facebook ou ces grosses entreprises, mais on ne sait pas qui va être l'entreprise finale qui va traiter ces données.
Speaker #0
Alors quelles sont vos réactions ? Thomas ?
Speaker #3
Je pense que c'est un peu les deux extrêmes où il y en a qui sont... qui se disent « Ah, faut faire vraiment attention, tout maîtriser, etc. » Et puis de l'autre côté, t'as ceux qui disent « Bon bah de toute façon, on est foutus, donc autant faire ce qu'on veut et pas s'en soucier, parce que de toute manière, on n'a pas le choix, quoi. » Mais moi, je sais pas, j'imagine qu'il y a un milieu quand même entre les deux. Je pense qu'on peut... On a quand même une maîtrise un petit peu de ce qu'on partage. C'est plus, à mon avis, important de... Faire attention à ce qu'on partage plutôt que de se dire non, il ne faut absolument rien partager. Sans non plus se dire, c'est ça, un peu entre les milieux. Plutôt se dire, essaye de faire attention à ce qu'on va partager plutôt que soit ne rien partager, soit tout partager.
Speaker #0
Ou se dire qu'on est foutus. On est foutus, Simon, ou pas ?
Speaker #2
Non, on n'est pas foutus, mais c'est vrai qu'il y a soit une paranoïa complète, soit un défaitisme. Je dirais que le juste milieu, c'est déjà d'essayer de comprendre ce qu'on partage et quelle valeur ça peut avoir et pour qui. Donc, essayer un petit peu de comprendre la valeur de son empreinte en ligne et réfléchir avec du bon sens.
Speaker #0
Olivier, qu'est-ce que tu en penses ?
Speaker #1
Je ne sais pas si les données sont publiques, mais avec les quelques dernières fuites qu'on a eues à la CEPAM, à France Travail, etc., en France, c'est sûr qu'il y a un certain nombre de données personnelles qui sont sur le dark web. Donc, chaque individu doit faire attention, mais il y a aussi le côté entreprise. La CEPAM, c'est 40 millions de piratages. 2-3 millions qui sont effectivement sur le dark web. Quand il y a le nir sur le dark web, ça commence à être compliqué.
Speaker #0
Alors, Simon, là, on traite de la cybersécurité. Mais quand on dit cybersécurité, de quoi est-ce qu'on parle exactement ?
Speaker #2
On parle de beaucoup de choses. On parle d'un domaine qui regroupe beaucoup de gens, qui regroupe des technologies, des compétences, des concepts. Donc la cybersécurité, en fait, c'est tout ce qui aide à la protection. Des données, des moyens de partage de ces données, de communication. En fait, c'est tout ce qui protège aujourd'hui l'économie et la confiance digitale. Donc c'est très important aujourd'hui.
Speaker #0
Thomas, tu veux ajouter quelque chose ?
Speaker #3
Non, je pense que c'est super large. Parce que tu as différents métiers. Tu vas avoir ceux qui vont faire de la sécurité offensive, donc ils vont essayer de trouver des failles. Tu vas avoir ceux qui font... au contraire qui vont essayer de défendre, de corriger ces failles-là. Tu as ceux qui vont intervenir après qu'il y ait eu une attaque pour essayer de comprendre ce qui s'est passé, comment le régler, d'où l'attaque peut venir, etc. Il y a vraiment de la sécurité logicielle, de la sécurité hardware avec le matériel, etc. Donc c'est vraiment super, super vaste.
Speaker #2
Et tout ce qui est humain aussi, qui est lié à la fraude, à l'ingénierie sociale. Donc c'est très dur en fait. Il y a beaucoup de responsabilités dans ce domaine. qui touche à d'autres domaines de compétences. Donc,
Speaker #0
on peut en parler. Justement, on en parlait tout à l'heure. On disait qu'il y a beaucoup, beaucoup de milliards. Et toi, tu répondissais pendant MicroTourneur, tu me disais qu'il y a surtout beaucoup d'humains derrière.
Speaker #2
Oui, et toujours pas assez. De toute façon, le problème principal de la cybersécurité, c'est le manque de gens, le manque de personnel. Et si je pouvais déjà encourager des gens qui écoutent à rejoindre la lutte, ça fait peur à beaucoup de monde. La cybersécurité, c'est quoi ? Mais ce n'est pas quelque chose d'aussi difficile, aussi effrayant que les gens le pensent. Et j'encouragerais tout le monde à se renseigner. Ne pas avoir peur du vocabulaire qui peut laisser croire que c'est inatteignable.
Speaker #0
Alors, pourquoi est-ce qu'on parle de champ de bataille invisible quand on parle de cybersécurité, Simon ?
Speaker #2
Je pense qu'on parle de ça pour plusieurs raisons. Une des raisons, c'est qu'on peut être victime d'une cyberattaque, on peut être compromis sans le savoir. D'ailleurs, la majorité des cas, c'est ça. On s'en rend compte trop tard. Et puis, c'est quelque chose que les gens ont du mal à comprendre. Ils ne peuvent pas toucher. C'est-à-dire qu'on voit quand on s'est fait casser un carreau, quand on s'est fait voler son portefeuille. Mais quand potentiellement ces données sont dans des endroits, elles sont monétisées par des gens à l'autre bout du monde, c'est très abstrait. Donc, ce sont certaines raisons sur le plan individuel. Et puis après, sur le plan global, géostratégique, il y a une guerre mondiale numérique. qui se joue tous les jours, dont les gens n'ont pas conscience, je pense.
Speaker #0
Oui, c'est ça. En fait, on est en pleine guerre mondiale cyber. Et donc, quand on avait préparé ce podcast, vous m'avez dit que tout pays se doit de monter une armée cyber pour se défendre.
Speaker #2
Ça veut dire quoi ? Déjà pour se défendre, pour se défendre bien sûr ses institutions et aussi tous les organismes d'importance vitale, quel qu'il soit, quel que soit le pays. C'est-à-dire ? C'est-à-dire tout ce qui touche à l'énergie, à l'alimentation, à la santé, à la confiance. On parlait de confiance aujourd'hui. Ce qui est très dangereux avec les cyberattaques, c'est non seulement le fait qu'un individu peut être victime, peut être défraudé, ses données peuvent être volées, mais surtout, petit à petit, ce qui est très grave, c'est que les gens perdent confiance en certaines institutions. Et si on commence à croire que quand on met de l'argent dans sa banque, il peut disparaître, quand on vote, ça peut être manipulé, quand on entend un message officiel de l'État, c'est peut-être pas vraiment le président qui nous parle. Ça crée des problèmes bien plus importants que de se faire des prodès de 200 euros sur le Deep and Dark Web. Donc oui, il faut se protéger. Les pays se protègent. La France est très compétente dans ce domaine-là. Il y a plusieurs institutions dont c'est le rôle, comme tu l'expliquais d'ailleurs Thomas, de s'inquiéter des attaques avant qu'elles arrivent, après qu'elles arrivent, pendant. On ne va pas détailler tous les acronymes, mais il y a beaucoup d'institutions qui s'en occupent.
Speaker #0
Et alors justement, quand on parle d'attaque... Qui est aux manettes des attaques ? Est-ce que c'est des groupuscules ? Est-ce que c'est des divisions secrètes ? Qu'est-ce qui les motive ?
Speaker #2
Alors, il y a de tout. Selon qu'on soit un individu, un étudiant ou un PDG du CAC 40 ou une branche de l'État, on a des ennemis différents. Donc oui, il y a des groupuscules. Il y a des États, certains États qui se permettent de voler. De faire de l'espionnage industriel, d'autres de faire du sabotage, d'autres d'attaquer dans le cas de conflit. Alors eux le font directement, ils le font par proxy, par procuration aussi, en utilisant des groupuscules, des mercenaires, ou alors en laissant faire. Certains pays sont très bons à ne pas commanditer les choses, mais à laisser faire. J'ai eu une vague d'attaques en France sur les hôpitaux. c'est quand un Et NETA décide de laisser faire pour nuire à des ennemis temporairement ou dans la durée. Et puis après, il y a toute une soucouche de cybercriminels qui, là, le font pour des raisons très différentes, à des niveaux très différents. Il y a beaucoup de petites mains dans la cybersécurité. C'est une industrie. Il y a des gens qui font des cyberattaques sans comprendre vraiment les tenants et les aboutissants. C'est-à-dire qu'ils ont un petit outil qu'ils ont récupéré qui leur permet de gagner 5 euros, 10 euros tous les jours et ça leur suffit. Un vaste spectre d'attaquants.
Speaker #0
C'est très très large. Il y a aussi des campagnes d'influence qui sont un sujet assez méconnu dans les cyberattaques. Comment est-ce qu'on détecte ces campagnes d'influence et comment est-ce qu'on s'en protège ?
Speaker #2
C'est dur de les détecter, c'est dur de s'en protéger. C'est quelque chose qui a toujours existé, la propagande, c'est ça. En temps de guerre, en temps de paix. Ce qui a beaucoup changé, c'est le coût. C'est-à-dire qu'aujourd'hui, c'est très abordable de faire une campagne d'influence. Avant, ça coûtait très cher. Il fallait avoir accès à des canaux de distribution, il fallait connaître des gens influents dans les radios, dans les télés, dans les journaux. Aujourd'hui, avec les réseaux sociaux, avec les applications de partage, les applications de communication, on peut faire changer l'opinion publique, faire changer un vote avec quelques milliers d'euros. D'ailleurs, il y a des campagnes d'influence au niveau municipal, aux États-Unis en particulier. Il y a des choses qui sont ressorties, vraiment des votes qui paraissent sans intérêt, mais où il y a des campagnes d'influence sur Facebook, etc. Donc campagne d'influence, ça peut prendre plein de formes. On ne va pas tous les détailler ici, mais comment les détecter ? Déjà, toujours se poser des questions simples. Qui me parle ? Qu'est-ce qu'il me dit ? Pourquoi il me le dit ? Pourquoi maintenant ? Est-ce qu'on me dit une chose en essayant de me faire ressentir une émotion particulière ou est-ce qu'on me donne des faits de manière… Voilà, simple. C'est des bonnes questions à se poser, mais c'est très compliqué à détecter, oui.
Speaker #0
Thomas, pour les particuliers, quelles sont les principales menaces ?
Speaker #3
Je pense qu'il y a un petit peu de tout. Je fais une petite liste du plus bénin au plus grave. Par exemple, moi, ce qui m'est arrivé, et pas plus tard. que la semaine dernière, je me suis fait voler mon compte Spotify. Donc, il y avait... Un jour, je me connecte sur mon compte et puis il y a quelqu'un qui est en train d'écouter de la musique pakistanaise ou quelque chose comme ça. Donc, je me dis que c'est bizarre. Puis après, je reçois une alerte qui me dit que mon compte a été accédé depuis la Turquie ou le Pakistan, c'est-à-dire depuis trois ou quatre pays en une demi-journée. Donc ça, bon, c'est pas très, très grave. C'est juste mon compte de musique, quoi. Le truc le plus courant, le plus bénin qui peut arriver, ce serait de se faire voler son mot de passe sur un compte qui n'est pas si important que ça. Après, dans les choses qui sont peut-être un petit peu plus embêtantes, le phishing par exemple, on a probablement tous déjà reçu un SMS qui nous dit qu'on a un colis et qu'il faut qu'on paye 10 euros pour pouvoir le récupérer, des choses comme ça. Donc ça pareil, c'est un petit peu plus chiant que ce que... se faire hacker son compte de musique, mais là, on commence à perdre un petit peu d'argent. Pour monter un peu dans la gravité, après, tu as le vol d'identité où là, si on arrive à avoir assez d'informations sur toi, on peut devenir toi et on peut prendre des prêts à ton nom, prendre des crédits à ton nom, et là, ça peut commencer à rendre la vie très, très difficile.
Speaker #0
Et alors, la question, c'est comment est-ce que justement on peut se prévenir de ces cyberattaques ? Déjà, d'un point de vue entreprise et État, on redescendra sur la partie aussi individu, mais au niveau des entreprises et des États, Simon, comment est-ce qu'on peut se prévenir de ça ?
Speaker #2
Je dirais que les conseils seraient à peu près les mêmes, que ce soit pour des individus ou pour des États. Les enjeux sont peut-être différents, mais le processus est le même. Toujours commencer par un état des lieux, un inventaire de ce qu'on a, de ce qu'on a potentiellement d'accessible, accessible c'est-à-dire d'accessible extérieurement. Comprendre un petit peu qui ça peut intéresser et sur cette base, comprendre comment ces personnes peuvent nous nuire. Donc il y a plein de terminologies dans les affaires vecteurs de menaces, etc. Mais au final, les questions sont très simples. Qu'est-ce que j'ai ? Qui ça intéresse ? Et comment ces gens-là ont l'habitude de procéder, de travailler pour atteindre, pour soit changer l'information, la voler, parce qu'il y a ça, il y a le fait de voler de l'information pour la monétiser, pour en faire quelque chose, ou aussi de manipuler l'information pour lui faire dire quelque chose qu'elle ne dit pas. Et donc mettre en place tout un tas de procédures. Les entreprises, en fait, essayent de répondre en continu à ces questions. Donc ils mettent en place des systèmes qui leur permettent de détecter des attaques. Ensuite de les gérer et puis de tirer des enseignements. Et en fait, perpétuellement comme ça, c'est un cycle en continu d'apprendre de certaines attaques et de modifier son système de défense. Et son système de défense, c'est des technologies bien sûr, c'est ce dont on parle, c'est ce que les gens aiment voir. Mais au final, c'est surtout des gens, des gens qui se forment en permanence parce que le champ de menace, comme on dit, change en permanence. et une organisation. C'est toute une entreprise dans l'entreprise.
Speaker #0
Parmi les champs de menaces, il y a le plan individuel. À quel moment est-ce qu'on peut devenir une cible, privilégiée ? Qu'est-ce qu'il y a de la valeur dans ces attaques ? Qu'est-ce qui peut nous compromettre ?
Speaker #2
On peut tous devenir une cible à n'importe quel moment, dès lors qu'on comprend. Je veux vous rassurer. J'ai un ami qui avait l'habitude de dire, si on croise un tigre dans la jungle, il ne faut pas courir plus vite que le tigre, il faut courir plus vite que le type à côté de soi. C'est un peu le même principe dans la cybersécurité. Il y a des règles de base d'hygiène numérique qu'on appelle. Donc, il faut un peu comprendre, en dehors de certains individus, des leaders politiques ou des leaders... étatiques, d'entreprises, on ne fait pas face à des menaces qui sont forcément préméditées. Donc l'attaquant en face de nous, ça va être un cybercriminel opportuniste, sans vouloir dire du mal en général, un peu feignant, qui veut gagner de l'argent rapidement. Donc si on n'utilise pas tout le temps les mêmes mots de passe, si on n'utilise pas l'adresse email pour la sécurité sociale et pour une application qu'on a téléchargée vraiment à l'arrache sur Internet, Voilà, si on a un minimum de bon sens là-dessus, au final, même si on se fait hacker, il y a peu de conséquences. Parce qu'encore une fois, ces gens-là sont opportunistes. Après, on peut se faire hacker indirectement, donc si un organisme étatique a nos données, voilà. Mais là-dessus, on ne peut pas faire grand-chose.
Speaker #0
Et alors, si on se place du point de vue des TPE, Thomas, les TPE, ils n'ont finalement pas trop de solutions qui sont adaptées à leur taille ?
Speaker #3
De ce que moi, j'ai compris... C'est qu'il y a beaucoup de solutions de sécurité pour les grosses entreprises, mais pour les plus petites entreprises, c'est plus difficile parce qu'une grosse entreprise, par exemple, elle va faire un audit de sécurité. Donc, elle peut aller demander à des entreprises qui, eux, savent quelles sont les possibles vulnérabilités, etc. Sauf que ce genre d'audit-là, la plupart du temps, il va coûter trop cher pour une petite entreprise. Donc, ça fait que ces TPE, elles ne sont même pas au courant des menaces. Et donc, elles ne connaissent pas les menaces, elles ne connaissent pas les remèdes. Et donc, du coup, c'est possiblement celles qui vont être les plus grosses victimes de toutes ces cyberattaques. Donc, il n'y a pas trop de solutions à leur taille pour l'instant, de ce que moi, je comprends.
Speaker #2
Je peux peut-être juste revenir parce que je travaille avec beaucoup de startups, justement. C'est vraiment un facteur économique, comme tu le disais. Les gros cabinets de consultants, ils préfèrent viser des contrats avec le CAC 40. mais c'est aussi la réalité. des startups qui sont plutôt dans l'innovation. Ils travaillent sur un nombre d'années très très court. Et donc en général, ces entreprises créent des produits qui sont réellement dédiés. Au haut du panier, où on peut signer des contrats en plusieurs centaines de milliers d'euros. Donc ça intéresse peu de gens au final, peu d'acteurs économiques d'aider les TPE.
Speaker #0
Il y a un marché alors ?
Speaker #2
Il y a un marché, mais aussi le fait que les TPE, en essayant d'être très compétitifs, ils ne prennent pas forcément en compte, beaucoup dans leurs calculs de profitabilité, ils ne prennent pas en compte tout ce qui est lié aux risques. Risques cyber, risques de faillite, les risques en général, ils ne peuvent pas se le permettre, donc ils n'ont pas les moyens.
Speaker #0
Je reviens sur ce que disait Thomas tout à l'heure, tout ce qui est phishing, colis, etc. Ça, c'est ce qu'on appelle, Simon, de l'ingénierie sociale,
Speaker #2
entre autres. Oui, alors entre autres, oui. Alors le phishing, techniquement, c'est un email avec un lien, mais en général, on fait appel à l'ingénierie sociale.
Speaker #0
C'est quoi, de nous,
Speaker #2
la définition de l'ingénierie sociale ? L'ingénierie sociale, c'est un peu profiter des vulnérabilités du cerveau humain, d'une certaine manière. les gens qui font trop facilement confiance dans un certain contexte, ou alors les induire en erreur. On a tous des biais cognitifs. Donc l'ingénierie sociale, en principe, c'est ça. Essayer de manipuler les gens en leur faisant croire qu'ils sont dans un contexte familier. Il y a plein d'exemples, très récemment, qui mélangent aussi l'IA avec des gens qui se retrouvent dans des réunions en ligne en pensant qu'ils ont un conseil d'administration. En fait, c'est que du deepfake. Mais l'ingénierie sociale... Dans le phishing, elle est utilisée de deux manières différentes. Elle est utilisée pour, parfois, dans des cas où il y a beaucoup d'enjeux, convaincre des gens importants et on espère suffisamment intelligent de faire une chose qu'ils ne devraient pas faire, mais aussi parfois pour filtrer les gens qui font preuve de bon raisonnement. Il y a beaucoup de campagnes de phishing avec des e-mails qui clairement ont des fautes d'orthographe. On a tous reçu des e-mails qui sont, on va dire, dégueulasses. On se dit, mais comment les gens peuvent cliquer ? Et le but, c'est ça. Le but, c'est d'envoyer 10 millions. Et c'est d'avoir les gens les plus naïfs au final. C'est une sorte de filtre, de grand filet. Il y a des grandes campagnes de filtre où c'est fait exprès. On rend la chose tellement évidente qu'au final, ceux qui cliquent, ce sont les gens qui sont plus à même d'être victimes.
Speaker #0
Oui, il y a ce côté très évident. Et puis, il y a aussi l'impact de l'IA qui est redoutable dans l'ingénierie sociale. Tu parlais tout à l'heure d'une personne qui s'est retrouvée dans un conseil d'administration en full deepfake. Comment on se projette avec ça ?
Speaker #2
Alors ça va être compliqué, je ne sais pas, je pense qu'on saura peut-être un peu plus, mais il va falloir authentifier la source des images, etc. Il y a beaucoup, là on parle vraiment, c'est du Ocean's Eleven, c'est des grandes arnaques à plusieurs millions, mais je pense que tous les jours, là où les gens vont surtout se faire avoir avec le deepfake, ça va être sur les campagnes d'influence, bien sûr. On va manipuler l'image pour créer de l'émotion, etc. Et puis tout ce qui est, on appelle ça les arnaques à la romance. Ça, c'est déjà très bien utilisé. On pense parler à quelqu'un, une femme ou un homme, à une certaine partie du monde qui nous dit des choses. Puis au final, c'est une personne totalement différente qui est derrière. Donc là-dessus, oui, c'est déjà un gros problème. Ouais,
Speaker #3
mais peut-être comme concept. plus pratique, je dirais, en général, d'essayer de voir d'où vient l'information. Parce que ça fait très longtemps qu'on peut générer des fausses images, des fausses vidéos, des fausses voix, des choses comme ça. Mais je pense que tout retombe sur d'où ça vient. Donc si, par exemple, je vois une vidéo du président de la République qui dit quelque chose, qui a posté cette vidéo ? Est-ce que... c'est un compte que j'ai jamais vu avant ou est-ce que c'est un compte officiel de de l'état ou du président, des choses comme ça et ou si c'est un journal par exemple, est-ce que ce journal a une bonne crédibilité ? Est-ce que dans le passé ce journal a un passé ou à avoir dit pas mal de choses qui étaient fausses ou alors est-ce que ce journal a une bonne crédibilité en général qui est assez sérieux et donc je pense que comme tu disais tout à l'heure l'accès à générer ces mensonges est beaucoup plus facile, mais on revient toujours à la même chose que... On en revient toujours au fait que la personne qui poste ça, c'est sa créabilité qui est en jeu. Et donc à partir du moment où tu postes, c'est assez dur de gagner de la créabilité, et c'est très facile de la perdre, parce qu'il suffit de poster une ou deux fois quelque chose de faux, et puis tu perds toute ta créabilité, même si tu dis la vérité depuis dix ans. Donc si tu te fies à ça, euh bah Je pense que tu réduis pas mal les chances de prendre quelque chose qui est faux pour vrai.
Speaker #2
Juste un exemple de deepfake auquel je pense maintenant et qui, à mon avis, va arriver en France dans pas longtemps. C'est vraiment prévalant aux États-Unis en ce moment. C'est plutôt les deepfakes audio, en général, les arnaques où on fait croire aux parents que leurs enfants ont des ennuis.
Speaker #0
Mais des ennuis des fois tout bêtes, un problème de voiture ou perdu pendant un voyage scolaire. Alors là, en fait, les attaquants, quels qu'ils soient, mais en général, c'est des opportunistes qui veulent de l'argent, ils utilisent plusieurs choses. Ils utilisent l'intelligence artificielle pour répliquer la voix d'adolescents, en général. Ils utilisent les réseaux sociaux pour comprendre un petit peu où ces adolescents peuvent être. Est-ce qu'ils sont partis ? Est-ce qu'il y a une déconnexion temporaire avec les parents ? Et donc, les parents reçoivent des appels où ils entendent leur ado en panique. dans une situation plus ou moins grave, leur demandant de l'argent ou leur demandant de faire quelque chose. Et ça, c'est très facile, c'est très peu coûteux, encore une fois, pour les criminels de le faire. Donc je pense que ça viendra en France. Et s'il y a un conseil très simple, en tout cas que j'ai entendu, qui pour moi a du sens, c'est d'avoir une petite phrase secrète avec ses enfants, de se dire, voilà, si jamais un jour tu as des ennuis, si jamais un jour je me fais contacter comme ça, je te poserai une question et je m'attendrai à ce que tu aies une réponse. Et c'est quelque chose de très old school, ce n'est pas très technologique, mais apparemment ça marche dans ce type de scénario. Oui,
Speaker #1
parce que finalement, les réseaux sociaux jouent un rôle là-dedans, encore plus dans un contexte où les nouvelles générations, mais finalement tout le monde, tout le monde est sur les réseaux sociaux. Qu'est-ce qu'on doit faire justement par rapport à toutes ces informations que l'on va mettre sur les réseaux sociaux ? Alors, au-delà du fait de se filmer, de se prendre en photo, mais il y a aussi toutes les informations que l'on met quand on s'ouvre un compte.
Speaker #0
Qu'est-ce qu'on doit faire ? Déjà, faire attention à ce que l'on donne. C'est toujours du troc, en fait. Moi, je vois comme ça. Dès qu'on travaille avec une application, on se dit qu'est-ce que je donne et qu'est-ce qu'on me donne en retour. La plupart de ces applications, leur modèle économique, c'est de vendre nos données. On le sait, je pense que quand c'est gratuit, c'est toi le produit. Je pense que tout le monde l'a entendu maintenant, on n'a plus besoin de le répéter. Mais toujours se dire, bon, est-ce que pour jouer à Candy Crush ou équivalent, je ne veux pas sauter de marque, j'ai besoin de donner mon passeport ? Est-ce que j'ai besoin de donner des informations bancaires ? Ça vous paraît évident quand je vous dis ça, mais il y a plein de scénarios où les gens, sous prétexte de se dire, c'est quelque chose d'important, partagent des informations qu'ils ne devraient pas partager. Après, comprendre un petit peu si ces informations sont publiques, sont privées. Donc déjà, c'est là, faire comprendre la valeur de ces données et ne pas les donner aussi facilement. Et puis après, toutes les règles d'hygiène dont on a parlé, protection des mots de passe, gestionnaire de mots de passe si possible, multiplication des facteurs d'authentification, c'est-à-dire j'ai un mot de passe, il peut se faire voler, d'accord, mais est-ce que je peux recevoir un code par téléphone ou une autre application ? Est-ce que plus je rajoute de complexité, moins il est facile de se faire hacker ?
Speaker #2
Thomas ? Je pense que c'est pareil. Quand on nous demande des informations, c'est rare que ça nous oblige à donner des vraies informations. Donc si, comme tu disais, il y a une application pour jouer à un jeu ou qui n'est pas très importante, même si c'est important mais qu'ils n'ont pas besoin de savoir quel est mon nom, mon prénom, ma date de naissance, etc., il n'y a rien qui m'oblige à mettre des vraies informations. Même si je suis obligé de rentrer les informations pour créer le compte, je peux mettre... des fausses informations et du coup éviter que j'ai des données qui traînent partout quand il n'y en a pas besoin.
Speaker #1
Et les informations qu'on nous demande pour certifier des comptes de réseaux sociaux par exemple ? Une petite pastille. Ces fameuses petites pastilles que tout le monde veut. Est-ce qu'on est prêt à donner des informations pour ça ? Est-ce que c'est une bonne idée ?
Speaker #2
C'est comme tu disais aussi, qu'est-ce qu'on va donner, qu'est-ce qu'on va avoir en échange ? Donc si on veut une petite pastille parce que c'est important pour nous, parce que pour notre travail ou quoi, là ça peut faire du sens de donner ces vraies informations. Mais s'il n'y a pas vraiment de retour, dans le sens où un réseau social me demande mes vraies informations, j'ai rien à gagner à y mettre. J'ai rien à gagner à mettre mon vrai nom, mon vrai nom de famille, mes vraies informations dans ce réseau social-là. Donc ça sert à rien.
Speaker #0
Risques, risques, bénéfices.
Speaker #3
Un peu old school aussi. donner des informations Non, par exemple, quand on télécharge une calculatrice sur un terminal mobile, il n'y a aucune raison que cette calculatrice demande l'accès à mon répertoire, mon appareil photo, mon micro, ma caméra. Donc juste aussi lire un petit peu, s'informer, s'éduquer et voir qu'il y a une décorrélation entre le bénéfice que j'attends d'une calculatrice et les accès que l'on me demande. Donc c'est juste... Voilà, l'esprit critique, on en a parlé souvent. Avoir une capacité juste d'analyser que là, en téléchargeant cette calculatrice, je me fais avoir parce qu'il va accéder à tout mon contenu, alors que ce n'est pas du tout... en corrélation avec le bénéfice attendu.
Speaker #1
Et c'est souvent d'ailleurs.
Speaker #3
Et c'est très souvent que pour n'importe quelle application, ils demandent à accéder à absolument tout. Ça fait partie aussi des protections.
Speaker #0
Avec ces caméras, microphones sur les applications mobiles, ça a beaucoup de jeux, des petits jeux qui demandent ça, faire très attention. Est-ce qu'on a réellement besoin de jouer à ce jeu tout de suite ? Parce qu'après, c'est un calcul personnel. Si on a besoin de LinkedIn pour travailler, on va peut-être accepter le risque. C'est ça, se demander, comme une entreprise se demande, est-ce que je suis prêt ? près accepter cette part de risque est ce que donner mon passeport à linkedin c'est la même chose que donner mon passeport à tik tok à qui ces sociétés appartiennent qu'elles sont des enfants qui est à l'origine ce que dit mais si thomas linkedin ok c'est microsoft peut
Speaker #3
espérer qu'une certaine sécurité même s'il vend nos données qui est une certaine sécurité quand quand on télécharge un jeu dont l'origine est difficile à déterminer, mais... que dans la notice du jeu, tout est écrit en chinois. S'il demande le passeport, il faut peut-être réfléchir deux secondes avant.
Speaker #1
Peut-être pas. Non, finalement, non.
Speaker #2
C'est peut-être un super bon jeu.
Speaker #3
C'est peut-être un super bon jeu, mais bon, est-ce que je prends le risque de diffuser mon passeport, même si le jeu est super bon ?
Speaker #0
De plus en plus de ces problèmes, ça devient de plus en plus difficile, surtout avec l'intelligence artificielle maintenant. tout. Toutes les applications, tous les produits qu'on utilise maintenant vont être infusés à l'IA, vont avoir des nouvelles compétences. On va demander en fait de connecter une application à d'autres applications pour que l'IA puisse tirer des enseignements, comprendre notre utilisation, nous faire des recommandations. Et je pense que ça va être de plus en plus compliqué de dire non.
Speaker #3
Et ça va mener à l'agrégation générale. C'est ça en fait le réel danger.
Speaker #1
L'agrégation générale ?
Speaker #3
L'agrégation des données. Mon prénom Marine, ça n'a aucun intérêt tout seul. Par contre, si je le rapproche de ton famille, ton adresse, tes habitudes de consommation, ton compte LinkedIn, là, du coup, j'ai un package très, très intéressant et qui vaut de l'argent. Les IA vont être un vecteur d'agrégation de données qu'on n'avait pas imaginé. Parce que, et ça existe déjà, il y a déjà des IA découvertes en Osint sur... qui est Marine Hadato. Il va aller chercher partout, à partir de ta photo, de ta voix, de tes traces numériques, et il va fabriquer un package complet. Une entreprise aux US qui a été un peu retoquée, mais qui continue son activité, qui s'appelle Clearview, et qui fabrique ça en fait. Il capte des milliards de photos, puis il y a des IA qui font des classifications, des rapprochements et des packages. Alors c'est utilisé par toutes les agences de renseignement américains. Mais du coup, là, ils l'ont fermé au public. On ne peut plus payer pour avoir, à partir d'une photo, toute la vie de la personne.
Speaker #0
C'est déjà ce que les publicitaires font. C'est la grande valeur des données de Google. Ce n'est pas de connaître votre nom, votre date de naissance. C'est de savoir que vous êtes anxieux à 2h du matin par rapport à une chose qui vous arrive dans votre vie. C'est des données sur le subconscient qui sont extrêmement puissantes. Pour les campagnes marketing, bien sûr, mais aussi pour les campagnes d'influence. Donc ça, je pense que... À long terme, c'est bien plus dangereux que de se faire voler son prénom et sa date de naissance.
Speaker #1
Alors, c'est bien, la transition est toute trouvée. Ce podcast, la provocation est d'acculturer, mais aussi de donner des conseils pratiques aux auditeurs. On en a déjà donné quelques-uns, mais globalement, quels conseils est-ce que vous donneriez à des dirigeants d'entreprises, déjà pour se protéger des cyberattaques ? On remonte de deux crans.
Speaker #0
Alors, ça va dépendre un peu de leur taille, de leur chemin, de leur maturité sur le plan de la cybersécurité. Je pense que si on parle de la poste, ça va être des enjeux très, très différents d'une petite entreprise. Déjà, admettre qu'on peut être vulnérable, qu'on peut se faire hacker, comprendre un petit peu l'ampleur du domaine, c'est-à-dire que... On peut se faire voler des données, oui, en ayant des données sur le cloud, mais aussi en les ayant sur un serveur local, mais aussi par le biais d'employés. Il y a plein de vecteurs d'attaque. Donc, s'entourer de professionnels, leur donner des raisons de bien nous conseiller. C'est-à-dire, des fois, on travaille avec des gens et on leur donne des motivations, pas forcément de bien nous conseiller, mais de... de créer une addiction, je ne vais pas dire du mal des cabinets de conseil, mais il y a beaucoup de situations comme ça, où des grandes entreprises n'encouragent pas les gens à résoudre un problème, mais surtout à en trouver des nouveaux à chaque fois. continuer comme ça cette dépendance. Mais on l'a déjà dit un peu tout à l'heure, commencer par un inventaire de tout ce qu'on a, de tout ce qui est à risque. Et puis après, on ne peut pas tout protéger. Donc sur la base du champ des menaces, comme on dit dans le milieu, comprendre quoi protéger, jusqu'où faire ce calcul coûts, bénéfices, risques en permanence. Il n'y a pas une réponse à... à cette question, mais il y en a des multiples selon qui on est et à quel moment de son développement.
Speaker #1
Ok, Olivier, qu'est-ce que tu ajoutes à tout ça ?
Speaker #3
Tout ça, ce sont des règles ou des bonnes pratiques qu'on connaît. Il y a peut-être passé deux minutes à lire les recommandations de cybermalveillance.gov, qui sont basiques, alors pour vous deux, ça va paraître quand même très très léger, mais c'est une découverte pour la moitié de la population. C'est deux minutes à lire et ça évite 70-80% des problèmes, simplement parce qu'il répète l'authentification forte, les mots de passe complexes, etc. Identifier aussi peut-être, on l'a dit un peu en creux, les éléments clés. L'adresse e-mail qu'on a donnée à la banque, c'est un élément clé. Parce que si on se fait pirater le compte, c'est par ce vecteur qu'ils vont d'abord essayer de fermer ou de réhabiliter le compte. Peut-être que cette adresse e-mail... Là, elle est clé et qu'il faut la sécuriser avec du 2FA, avec des mots de passe complexes. Si vous utilisez la marque à la pomme, il y a les outils intégrés dans la marque à la pomme pour créer des mots de passe récurrents, complexes, en 2FA, etc. Sinon, utilisez des applications tierces pour le faire. Mais bien identifier quels sont les comptes. Parce que si je perds mon compte TikTok, c'est aussi grave que si je me fais pirater mon adresse mail qui me... sert à communiquer avec ma bande. C'est ça, réfléchir à la hiérarchie pour sécuriser au maximum et donc courir plus vite que son voisin face au tigre sur ce type d'attaque.
Speaker #1
Thomas, tu parlais d'applications tout à l'heure, tu peux peut-être en citer quelques-unes.
Speaker #2
Oui, moi j'utilise Bitwarden, qui est un gestionnaire de mots de passe. Donc en gros, l'avantage, c'est que c'est multipatforme, donc tu peux l'avoir sur mon PC Windows, sur mon Mac, sur mon téléphone. Et ça fait que je récupère tous mes mots de passe sur toutes mes plateformes. Et donc j'ai un mot de passe très fort qui permet de débloquer cette application. Et cette application, ensuite, elle, elle contient tous les mots de passe qui sont tous différents pour tous les sites, toutes les applications, etc. Donc ça permet de facilement avoir des mots de passe différents, compliqués, longs, pour tous les services qu'on utilise. Et ça, ça nous protège dans le cas où... Parce que même si on a un mot de passe très très fort, le service qu'on utilise, il peut... Comme on a dit tout à l'heure, comme je pense que tu as dit, il y a 40% des entreprises qui sont victimes de fuite. Donc ça veut dire qu'on utilise des dizaines, peut-être des centaines de comptes sur différents services. Donc même si mon mot de passe est super fort, il est probablement dans la nature. Donc le fait d'en avoir plein de différents, ça évite que si ce mot de passe-là est compromis... Ça ne compromet pas tous mes autres services d'un coup.
Speaker #1
Alors, j'ai une question qui me vient là. Les identifications Google, bonne idée ou mauvaise idée, du coup ?
Speaker #0
C'est-à-dire le single sign-on ?
Speaker #1
Exactement.
Speaker #0
Oui, moi, je pense que c'est… Sauf si c'est l'adresse mail de ta banque. Ah oui, alors après, très bon conseil que vous avez donné tout à l'heure par rapport à d'avoir plusieurs adresses e-mail selon les finalités. comprendre son empreinte digitale en règle générale, peut-être faire un petit nettoyage de printemps, regarder son téléphone, est-ce qu'on a besoin de 150 applications, qu'est-ce qu'on peut effacer, est-ce qu'on a besoin d'avoir un compte utilisateur sur tous les sites de shopping, quelles que soient leurs origines, de temps en temps faire ce nettoyage. Et oui, ce qu'on appelle le single sign-on, c'est bien si on a un très bon mot de passe, si on a un multiple facteur d'authentification, c'est comme un gestionnaire de mot de passe, si on a un mot de passe. passe très très simple à craquer, ça ne sert à rien. Je rajouterais juste un petit conseil pour les entreprises. Les entreprises ont accès à beaucoup de très bonnes ressources aussi, surtout en France. L'ANSSI fait un travail incroyable, l'Agence Nationale de la Sécurité des Systèmes d'Information. Sur leur site, il y a énormément de ressources appropriées aussi pour les TPE et ils sont facilement joignables aussi. C'est des gens qui d'ailleurs aiment aider les entreprises de toutes... de taille, donc n'hésitez pas à vous renseigner sur leur site.
Speaker #1
Allez contacter si besoin. Merci beaucoup. À présent, je vous propose d'ouvrir vos chakras de la réflexion avec la vision prospective d'Olivier. Quel pourrait être notre futur de la cyber ? Olivier. C'est à toi.
Speaker #3
Le futur de la cyber, vaste question à laquelle je ne vais pas répondre, mais on l'a dit tout à l'heure, l'avenir du monde numérique est incertain, il est semé d'embûches, les menaces cyber, qu'elles soient le fait de hackers malveillants, d'organisations criminelles ou d'états hostiles, sont en constante évolution, se renouvellent sans cesse, et on peut gager que l'échelle sera toujours plus haute que le mur. Elles visent à perturber, endommager ou voler les données sensibles, des infrastructures critiques ou des secrets industriels, on l'a dit tout à l'heure. Tout à l'heure, ça concerne les entreprises et les individus. L'intelligence économique qui consiste à collecter, analyser et diffuser des informations stratégiques pour un avantage concurrentiel devient un enjeu majeur dans la guerre de l'information, dans l'influence qui se joue sur la toile, mais devient aussi une arme redoutable. Le danger pour les plus jeunes est réel, exposé à des contenus toujours plus addictifs et souvent inappropriés, à des tentatives de manipulation ou à des cyberharcèlements. sans avoir forcément les outils pour se protéger ou se défendre. Mais quels sont ces outils ? Face à ces défis, le rôle de l'esprit critique, on y revient, et de l'éducation à tous les âges est primordial. Il s'agit de développer chez les citoyens et chez les patrons d'entreprises, notamment TPE, PME, des compétences et des attitudes qui leur permettent de comprendre, d'évaluer et de contrôler leur environnement digital. Il s'agit aussi de les sensibiliser aux risques et aux opportunités du monde numérique, de leur apprendre à protéger leur identité, leur vie privée, leurs données, de leur transmettre les règles d'éthique et de civilité en ligne, de leur faire acquérir les bases de la cybersécurité, mais aussi d'identifier les schémas de manipulation et d'ingénierie sociale. L'éducation aux médias et à l'information devrait être une priorité nationale et internationale, encore une fois à tous les âges. puisqu'il implique tous les acteurs de la société, les pouvoirs publics, les entreprises, les associations, les médias, les établissements scolaires, les familles et les individus. Il ne suffit pas de fournir des équipements et des connexions à tous. Il faut aussi accompagner les usagers dans leur appropriation critique et responsable du numérique. Plusieurs fois au cours de ce podcast, nous avons évoqué l'esprit critique. Je pense que c'est le moment où il faut vraiment s'en servir, car c'est la seule arme de protection massive universelle. contre les plateformes abrutissantes qui n'ont de social que le nom. Et pour y parvenir, permis de surfer façon permis de conduire à point ou éducation des masses, vous avez 4 heures.
Speaker #1
Des réactions ?
Speaker #2
Moi, je trouve que c'est intéressant le fait que tu dises que l'esprit critique soit intéressant parce qu'on a beau donner tous les conseils qu'on veut, Ils sont valables aujourd'hui, peut-être que dans six mois ils sont plus valables parce qu'on a une nouvelle technique d'attaque avec de l'IA super compliquée qui fait que même si tu fais tout ça, ça ne sert quand même à rien. Donc effectivement, après c'est un peu difficile de donner ça comme conseil, de dire il faut juste faire attention. Mais ouais, c'est en fait probablement que le conseil ultime c'est d'essayer de comprendre ce qu'on utilise pour pouvoir... pour pouvoir avoir cet esprit critique-là qui va nous dire si ce qu'on fait, c'est sécurisé ou pas.
Speaker #3
Sachant qu'une des plus vieilles attaques, qui est la clé Louis Vuitton, continue de fonctionner. Il y en a encore eu une il y a deux semaines. Donc l'attaque par clé, ça continue de très bien fonctionner, alors que ça a peut-être 15 ou 20 ans, ce type d'attaque. Et que tout le monde la connaît. Tout le monde sait très bien... Si on trouve une clé Louis Vuitton dans un ascenseur, il ne faut pas la brancher sur son PC.
Speaker #0
Votre conclusion est parfaite. Le vecteur d'espionnage encore aujourd'hui le plus utilisé par toutes les agences dans le monde, c'est d'écouter par-dessus l'épaule. Ça n'a pas changé. Et encore une fois, pour se protéger de tout type d'attaque, le meilleur des conseils que vous avez donnés, c'est améliorer son esprit critique et se former comme les agences de renseignement forment leurs analystes. Ils essayent d'avoir des gens les plus objectifs possibles, avec un esprit critique pour être capable d'analyser une situation de manière froide. Et ces gens-là apprennent à réfléchir hors émotion. D'ailleurs, il y a un bouquin que j'ai trouvé par hasard il y a des années, je pense qu'il est encore édité, qui s'appelle « Petit cours d'autodéfense intellectuelle » . Je pense que peut-être d'autres personnes l'ont lu. En tout cas, c'est un... Une agrégation de plein de sources qui expliquent les biais cognitifs, les erreurs de raisonnement, et j'encouragerais beaucoup de gens à le lire ou à rejoindre des associations qui vous enseignent la pensée critique.
Speaker #3
Et sur le segment de l'influence, toujours se méfier d'une information qui va dans le sens, dans notre sens de penser. Parce que c'est celle-là qui est utilisée pour ensuite introduire des biais.
Speaker #0
C'est de plus en plus dur. Tous les réseaux sociaux sont construits, les algorithmes sont construits pour renforcer un petit peu ce qu'on aime. Plus on regarde un type de contenu, plus on va nous en suggérer. Donc on s'enferme dans ces chambres d'écho, comme on dit.
Speaker #1
Ok, l'esprit critique donc comme mot de fin. Je pense que c'est bien. Merci à tous les trois d'avoir partagé vos connaissances et votre vision. Nous vous mettons toutes les ressources citées dans la description de l'épisode. A très vite pour un prochain épisode.
Speaker #3
Merci Marine.
Speaker #2
Merci. Salut.
Speaker #1
Salut. Et voilà, chers auditeurs, c'est tout pour cet épisode de Tendances Inno. Un grand merci pour votre écoute. Nous espérons que vous avez trouvé cette discussion aussi enrichissante et inspirante que nous. N'oubliez pas de vous abonner pour ne manquer aucun de nos futurs épisodes. Vous pouvez retrouver Tendancino sur toutes les plateformes de podcast, YouTube et Dailymotion. Si vous aimez ce podcast, faites-le nous savoir et aidez-nous à le faire connaître grâce à vos commentaires et à vos partages. Pour plus de contenu sur les technologies émergentes, suivez-nous sur les réseaux sociaux de Docaposte et de Wagmi Trends. A bientôt pour un nouvel épisode, placé sous le signe de la tech, du Web3 et de l'innovation. D'ici là, continuez à explorer, à innover et à créer.

About « Tendances INNO » le podcast Innovation de Docaposte

💥 Bienvenue dans « Tendances INNO », le podcast de Docaposte pour tout savoir sur les technologies émergentes, sous le signe de la tech et de l'innovation !

Si vous aimez ce podcast, n’hésitez pas à vous y abonner, à nous le dire en commentaire, et à mettre un 👍 ou ❤️ selon la plateforme que vous utilisez pour nous écouter !

Prise de son / mixage : Marine Benabou

Montage vidéo : Richard Bourderionnet

Direction artistique : Alexandre Warisse

#TendancesInno #Innovation #ConfianceNumérique #Podcast

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About « Tendances INNO » le podcast Innovation de Docaposte

💥 Bienvenue dans « Tendances INNO », le podcast de Docaposte pour tout savoir sur les technologies émergentes, sous le signe de la tech et de l'innovation !

Si vous aimez ce podcast, n’hésitez pas à vous y abonner, à nous le dire en commentaire, et à mettre un 👍 ou ❤️ selon la plateforme que vous utilisez pour nous écouter !

Prise de son / mixage : Marine Benabou

Montage vidéo : Richard Bourderionnet

Direction artistique : Alexandre Warisse

#TendancesInno #Innovation #ConfianceNumérique #Podcast

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed