En 2022, la cybersécurité a été classée dans le top 10 des risques business par le Forum économique mondial. Dans ce contexte inquiétant, les plus petites entreprises sont souvent les plus fragiles et leur protection constitue un réel enjeu pour notre santé économique. C’est dans ce cadre que Michel Van den Berghe, président du Campus Cyber a récemment été missionné par le ministre Jean-Noël Barrot pour la conduite d’un plan de recommandations. Nous faisons le point avec lui sur le plateau de SMART TECH.
Catégorie
🗞
NewsTranscription
00:00 Alors on avait une mission cyber, comment faire pour protéger mieux, protéger nos
00:07 PME face à la cyber menace.
00:09 On ne peut pas dire mission accomplie mais en tout cas mission remplie au sens où un
00:13 rapport a été rendu par Michel Vandenberghe qui est mon invité aujourd'hui.
00:17 Bonjour Michel.
00:18 Bonjour.
00:19 Vous êtes, je rappelle, le président du campus cyber qui est ce lieu totem de la cybersécurité
00:24 où l'on retrouve à la fois des acteurs publics et privés dans ce secteur.
00:29 Vous avez récemment, je le disais, remis à M. le ministre Jean-Noël Barraud un rapport
00:33 pour une plus grande cybersécurisation des TPE, PME, ETI.
00:38 Alors première question, quel est déjà le niveau de fragilité aujourd'hui des petites
00:43 entreprises en France face à la cyber menace ?
00:45 Effectivement cette mission on l'a faite en interrogeant l'écosystème, on est aussi
00:49 interrogé pour savoir ce qui se passe dans d'autres pays, les ambassades, etc.
00:52 Ce qu'on voit c'est que paradoxalement les patrons de TPE, de PME sont conscients du
00:57 risque cyber, plus de 70% disent effectivement qu'il y a un risque important.
01:00 Mais à l'inverse, ils estiment que ce ne sont pas des cibles en disant "moi j'ai rien
01:04 à protéger, j'ai rien de sensible donc je ne suis pas une cible".
01:06 C'est aussi des gens qui disent, comment dire ça, on a le sentiment de cyber sécurisé
01:14 parce que notre sous-traitant nous a expliqué qu'il y avait un antivirus, qu'on était
01:18 bien protégé.
01:19 Et puis le troisième point qui est le plus important c'est que surtout ils ne sont pas
01:23 conscients de leur dépendance au numérique, c'est-à-dire que ça a été tellement vite
01:26 cette numérisation, c'est qu'eux pensent que ça fonctionnera tout le temps, que c'est
01:30 complètement immatériel et c'est quand ça s'arrête, soit suite à une cyber-attaque,
01:34 soit tout simplement par une panne informatique, qu'ils s'aperçoivent que leur entreprise
01:37 ne fonctionne plus et que c'est là qu'elle est mise en danger.
01:40 Donc c'est ça, je dirais, la grande leçon du rapport c'est qu'ils sont conscients qu'il
01:44 y a des risques, mais ils ont l'impression que ça ne les concerne pas parce que ce ne
01:48 sont pas des cibles intéressantes pour les pirates.
01:49 Mais alors s'ils ont l'impression que ça ne les concerne pas, est-ce que ça veut dire
01:53 finalement que le niveau de menace n'est pas si élevé ?
01:54 Si, parce qu'effectivement les pirates ne ciblent pas.
01:57 Les pirates aujourd'hui lancent des campagnes et ça atterrit dans les endroits qui sont
02:03 les moins protégés et les plus fragiles.
02:05 Donc même si on ne se sent pas une cible précisément, on peut l'être par hasard
02:09 pratiquement, c'est ça ?
02:10 C'est exactement comme ça que ça se passe.
02:11 Le pirate lance des grandes campagnes de phishing sur toutes les adresses mail qu'il
02:15 a disponibles.
02:16 Si vous êtes dessus, vous cliquez sur le lien, vous cryptez l'ensemble de vos données
02:19 et c'est là que la catastrophe arrive.
02:21 Alors, venons-en à votre plan et les principales recommandations.
02:25 Qu'est-ce que vous pouvez nous dire ?
02:26 En fait, ce qu'on propose au ministre, la première chose, c'est donner de la lisibilité.
02:29 En fait, ce qu'on s'aperçoit, c'est qu'il y a plein d'entreprises, d'offreurs, des
02:34 régions, des CCI, le CIGREF, etc. qui ont dit qu'il faut s'occuper des maillons faibles
02:41 de l'économie française qui sont les 4 millions d'ETPE.
02:43 Donc tout le monde a créé des offres, des questionnaires, des diagnostics, etc.
02:47 Mais souvent un peu techniques et souvent pas forcément adaptés à la cible qu'ils
02:51 ont choisie.
02:52 Donc ce qu'on propose déjà, c'est de dire, essayons de donner beaucoup de lisibilité
02:56 et de faire des questionnaires qui soient adaptés au patron de PME.
02:59 Et au bout de la troisième question, on leur dit, est-ce que vous avez un VPN ? Est-ce
03:02 que vous avez fait un scan de vulnérabilité ? Ou effectivement, les gens arrêtent de
03:05 remplir le questionnaire parce que c'est trop technique pour eux.
03:08 Donc se mettre à leur niveau et donner de la lisibilité.
03:10 Le deuxième point qu'on dit, c'est qu'il y a plein d'initiatives qui ont été faites.
03:14 Vous pouvez créer une place de marché qui serait aubergée au campus cyber où vous
03:18 renseignez, je suis boucher charcutier dans la Drôme et j'ai 8 salariés.
03:22 Ça vous donne le bon questionnaire.
03:24 En fonction de votre degré de maturité, ça vous oriente vers les solutions simples
03:28 à mettre en œuvre.
03:29 Et si votre région, parce qu'il y a des régions qui le font, finance votre sécurisation,
03:33 parfois à 50, à 60, à 70 %, ça vous l'indique et vous explique comment faire pour justement
03:38 donner beaucoup de lisibilité et que quand il décide de faire des marches, on puisse
03:41 les accompagner.
03:42 Mais cette plateforme de marché, ça veut dire quoi ? Ça veut dire qu'il y aurait
03:44 une sorte de labellisation des offres vraiment capables de cyber sécuriser les petites entreprises
03:50 françaises ?
03:51 Plutôt un portail qui recense l'ensemble des offres qui ont déjà été faites, ne
03:54 pas réinventer ce qui a déjà été fait.
03:55 Et en fonction, s'il y a quelque chose qui a été fait.
03:57 On puisse aller faire notre marché sur cette plateforme.
03:59 Exactement.
04:00 Si la Bretagne a développé un portail dédié aux entreprises bretonnes, effectivement
04:03 si la personne va sur le portail national, ça l'oriente directement vers les bonnes
04:07 solutions, vers les acteurs de proximité.
04:09 Avec des coûts adaptés aussi, parce que ça c'est un sujet quand même.
04:13 C'est les budgets que les PME peuvent consacrer aujourd'hui à la cybersécurité.
04:16 Par exemple, on a lancé un projet avec la région Île-de-France où le diagnostic
04:21 et la partie accompagnement est gratuit et financé par la région Île-de-France.
04:25 Et si la petite entreprise décide d'installer des solutions pour mieux sa cybersécurité,
04:31 il y a la moitié des coûts qui sont pris en compte par la région.
04:33 Voilà, donc il y a vraiment une volonté d'être fait.
04:35 Ce qu'il faut faire aujourd'hui, c'est faire à ce qu'on puisse donner cette information
04:39 de façon extrêmement simple au patron qui a envie de pouvoir y accéder.
04:43 Et aujourd'hui, il n'y a pas une plateforme qui recense de façon nationale ce qui pourrait
04:49 être fait et mis en place aujourd'hui.
04:50 Puis le troisième point, c'est justement enlever cette image de dire "je ne suis pas
04:54 une cible".
04:55 Donc sensibiliser les patrons de PME que la cybersécurité, effectivement, ils ne sont
05:00 pas ciblés, mais ça peut leur tomber dessus à tout moment.
05:03 Et que quand ça s'arrête, effectivement, une entreprise sur deux qui ne paye pas la
05:07 rançon dépose le bilan.
05:09 Et ça, ça veut dire que c'est extrêmement grave.
05:12 Et nous, souvent, quand on est contacté, les experts, les patrons de PME, ce n'est
05:15 pas pour les aider à réparer, c'est pour nous dire "on demande de payer en bitcoin,
05:19 comment je fais pour payer la rançon ?" Parce que eux, ils ont décidé de payer, parce
05:22 que de toute façon, ils n'ont pas l'intention de laisser crouler leur entreprise.
05:25 Voilà.
05:26 Merci, merci beaucoup.
05:27 Oui, Fabien.
05:28 Peut-être un dernier point, c'est de servir aussi des connecteurs, des gens de proximité,
05:32 par exemple les opérateurs, quand ils vont installer Internet, une box pro auprès de
05:37 ces professionnels, peut-être qu'ils puissent remettre un petit fascicule pour leur dire
05:40 "voilà, vous allez maintenant être connecté au grand monde immatériel en faisant 3-4
05:46 points, vous pouvez vous protéger".
05:47 Merci beaucoup, Michel Vandenberghe, président du campus cyber, qui pourrait héberger, pourquoi
05:50 pas, cette plateforme d'offre de marché qui donnerait de la lisibilité à ces PME
05:54 qui veulent se protéger des cybermenaces.
05:56 Merci encore.
05:57 Merci.
05:58 A suivre, on va s'intéresser à la réglementation autour du cloud, parce que ça bouge en France.