- 26/05/2025
C'était l'un des sujets brûlants du forum InCyber du Creusot : la directive NIS2. Ce nouveau cadre européen renforce les obligations en cybersécurité pour les acteurs essentiels… dont les collectivités territoriales. Responsabilités accrues, risques juridiques, coordination complexe et moyens limités : comment les élus locaux s’organisent-ils ?
Catégorie
🗞
NewsTranscription
00:00C'est parti pour un débrief de Smartech spécial Nice 2 à l'occasion d'un événement tout à fait exceptionnel, le forum InCyber des Territoires.
00:11Le premier se passe ici où nous sommes délocalisés. Donc on est en Bourgogne-Franche-Comté et on a le plaisir d'avoir avec nous Yves Ségui, le préfet de Saône-et-Loire.
00:19Bonjour, merci beaucoup. Alors juste un petit rappel géographique pour ceux qui ne connaissent pas forcément bien la Bourgogne-Franche-Comté.
00:28C'est une population de 550 000 habitants ?
00:32Oui, c'est ça. La région, effectivement, compte une population de un peu plus de 500 000 habitants. Département de Saône-et-Loire.
00:42Une population de plus de 500 000 habitants. Et voyez-vous, le Creusot est un des spots à la fois industriels de ce département, avec une histoire toute particulière,
00:54faite de vicissitudes et de renaissance. C'est le cas actuellement avec la filière nucléaire.
00:59Et au-delà de cela, les acteurs du territoire ont saisi, si je veux dire, l'opportunité au regard de la présence,
01:08donc en cellule d'un certain nombre d'entreprises, de start-up,
01:12de nouer des perspectives en matière de numérique, et tout particulièrement en développant la cybersécurité et les attentes que l'on peut nourrir sur ce type de considération.
01:27Personnellement, au niveau des services de l'État, j'encourage évidemment cette démarche.
01:33Je mobilise tous nos services de sécurité pour investir ce nouveau domaine,
01:40ce nouvel espace d'attention quand on traite des sécurités.
01:46Et non seulement nous nous livrons à cet exercice en relation étroite avec l'ANSI, l'Agence nationale de la sécurité informatique,
01:54les services d'information, mais également nous développons un partenariat fait d'information, fait d'encouragement à l'hygiène numérique,
02:05un partenariat permettant d'inciter les uns et les autres d'ores et déjà à prendre des dispositions en matière de sécurité numérique.
02:15Je suis de ceux qui pensent qu'un territoire qui se développe doit pouvoir aussi offrir dans l'écosystème qu'il présente
02:22une dimension de sécurité numérique.
02:25Et j'ose même dire qu'il serait judicieux de parler carrément de bouclier numérique.
02:30Et nous sommes avec le territoire de la communauté urbaine du Creusot-Monceau,
02:35mais avec d'autres également dans ces dispositions-là pour offrir à tous ceux qui viennent se développer sur le territoire,
02:43évidemment nombre de services de proximité,
02:45mais en plus une attention des formations, un encouragement des moyens particuliers pour être plus résilients et surtout plus forts dans cet environnement
02:55qui à la fois présente des potentialités de développement extrêmement importantes en matière de numérique,
03:01mais aussi qui nous oppose à un certain nombre de vulnérabilités, de fragilités auxquelles il faut que nous répondions collectivement.
03:08Et on voit effectivement que vous êtes très volontaire sur ce sujet,
03:13puisque ici se passe le premier forum InCyber des territoires.
03:16On est avec Guillaume Tissier qui en est le directeur.
03:19Bonjour Guillaume.
03:20Bonjour Alphine.
03:21Alors, directeur aussi général de Forward Global,
03:24société spécialisée dans la gestion des crises numériques, économiques et informationnelles.
03:29Donc InCyber au Creusot, comment c'est venu ça ?
03:32Alors effectivement, on a un forum européen à Lille.
03:35On a ouvert aussi des éditions internationales à Montréal, bientôt à Tokyo, également aux Etats-Unis.
03:41Et en fait, tout le sujet, c'était de se dire que le numérique est finalement un sujet relativement désincarné,
03:46avec ce problème de la proximité finalement, par rapport à la fois aux entreprises, par rapport aux citoyens.
03:51Et donc le fait d'implanter dans un territoire, qui est celui du Creusot,
03:57était pour nous essentiel justement pour travailler sur cette notion de proximité,
04:01en considérant finalement qu'au-delà de la cybersécurité, le sujet c'est de la résilience,
04:05et même de la résilience sociétale.
04:07Donc il nous manquait ce maillon, cet échelon local.
04:11On a aussi avec nous autour de la table, Clarisse Maillet, bonjour.
04:16Bonjour.
04:16Vous êtes co-gérante d'Aérométal, mais vous êtes aussi la présidente de la Confédération des petites et moyennes entreprises de Saône-et-Loire,
04:22la CPME 71, qui joue un rôle actif sur tous ces sujets de protection de cet écosystème.
04:30Vous, vous travaillez aussi notamment sur le programme Territoire d'Industrie pour le Grand Chalon.
04:36Aujourd'hui, il vous semble que tout cet écosystème de TPE, PME, est suffisamment en éveil sur ces questions de cybersécurité ?
04:44Alors, on aimerait bien, effectivement, qu'elles soient toutes en éveil.
04:47Aujourd'hui, ce n'est pas encore le cas.
04:50On a fait justement un petit questionnaire, justement, eu égard au forum cybersécurité,
04:58et on se rend compte que 83% de nos adhérents n'ont pas la connaissance de ces normes sécurité 1 ni 2.
05:07D'accord. Donc, Nice 1, Nice 2, des directives, la directive, pardon, Nice 2,
05:13donc, qu'il va falloir bientôt mettre en œuvre, peut-être pas dans toutes les entreprises,
05:19et puis ça va prendre un petit peu de temps, mais pour l'instant, ça ne leur parle pas du tout.
05:22Pas du tout. Alors, la CPME, on regroupe quand même plusieurs secteurs d'activité.
05:26Nous regroupons le secteur d'activité de l'industrie, de l'artisanat, du commerce et des services.
05:32Et alors, en fonction de tel ou tel secteur, ils sont plus ou moins en avance.
05:37Mais j'étais à Paris hier, et on parlait notamment avec le président de la Fédération des bars tabac,
05:44qui nous annonçait qu'eux vont mettre en place l'intelligence artificielle dans les bars tabac.
05:49Donc là, il va y avoir du numérique qui va rentrer pour pouvoir contrôler l'âge des personnes qui rentrent dans leur commerce.
05:56Et en créant du numérique, mécaniquement, il va y avoir une faille qui va se mettre en place.
06:01Des risques supplémentaires.
06:03Donc, ils vont, eux, faire très, très attention sur la cybersécurité.
06:08Et puis, avec nous, enfin, Pierre Kirchner. Bonjour.
06:11Bonjour.
06:11Vous êtes le directeur des courses digitales cyber, donc filiale des courses digitales,
06:15qui a été créée pour répondre à ces défis, justement, de cybersécurité liés à la convergence des technologies de l'information,
06:22qu'on appelle l'IT, mais aussi des technologies opérationnelles qu'on appelle l'OTI dans les infrastructures industrielles et critiques.
06:30Vous, j'imagine qu'aujourd'hui, dans ces industries, Nice 2, vous en entendrez beaucoup parler.
06:36Alors, c'est vrai qu'on en entend beaucoup parler.
06:39Par contre, c'est vrai que tout le monde n'est pas au même niveau.
06:43Le fondamental, je pense, dans Nice 2, c'est que ça doit couvrir l'ensemble des systèmes d'information.
06:48Et ça, les gens n'en ont pas vraiment conscience.
06:50Ça couvre, évidemment, l'IT de gestion.
06:53Ça, tout le monde comprend bien.
06:54Mais c'est aussi l'IT dans un bâtiment, l'IT dans une ville connectée, tout ce qui est OT dans des usines.
07:02Et ça, c'est vrai que c'est un vrai apport de la directive qui devrait sortir, on espère, d'ici fin d'année.
07:09Voilà.
07:10Donc, il y a quand même une prise de conscience que les attaques peuvent se faire de partout.
07:14Quel que soit le système d'information, il faut le protéger.
07:17Donc, pour moi, c'est une grande, grande avancée pour Nice 2.
07:20Donc, ça permet de moins compartimenter où je vais mettre ma sécurité en se disant que, de toute façon, maintenant, on vit dans un monde interconnecté et qu'il y en a besoin partout.
07:30Parce qu'une faille, quelque part, peut remonter jusqu'à d'autres systèmes d'information.
07:37Alors, comme ce n'est pas forcément un sujet avec lequel tout le monde est familier, je propose qu'on fasse quand même un petit rappel sur Nice 2, cette directive qui doit être transposée dans le droit français.
07:46Mais, Guillaume, qu'est-ce qu'on peut dire très simplement sur Nice 2 ?
07:51Alors, elle n'est pas encore transposée, c'est-à-dire qu'elle est en cours de transposition.
07:54Qui doit être, j'ai dit.
07:55Projet de loi, pardon.
07:56Tout à fait.
07:56Tout à fait.
07:57Projet de loi adopté au Sénat, en première lecture, le 12 mars, maintenant à l'Assemblée.
08:02Et on a maintenant 3 ans, alors on est déjà un peu en retard, soyons clairs.
08:08Mais ce qui est important, c'est vraiment que cette mise en place, cette transposition soit progressive.
08:11Pour justement laisser le temps aux entreprises, aux collectivités.
08:15L'un des points nouveaux avec ce texte, c'est finalement, d'une part, le scope des organisations qui seront concernées.
08:2215 000, passage de 500 à 15 000 entités.
08:25Pour les collectivités, c'est 2 500 collectivités qui seront demain entités importantes ou entités essentielles en fonction de leur nature.
08:35Et donc, forcément, cette mise en place doit se faire progressivement parce qu'on parle aussi d'entités qui ont très très peu de moyens.
08:43Quand vous regardez les petites communes, 73% ont des budgets informatiques de moins de 5 000 euros.
08:49Donc, évidemment, quand on parle de cybersécurité, il y a un petit décalage par rapport aux préoccupations.
08:53Et c'est la même chose pour les PME et les TPE.
08:56Donc, il va falloir accompagner.
08:58Et je crois que le projet de loi, après le passage au Sénat notamment, maintenant intègre cette progressivité, cet accompagnement,
09:05notamment pour les collectivités, qui sera absolument essentiel.
09:09Oui, donc ce projet de loi, il est étudié dans un texte plus général sur la cyber résilience.
09:14Et donc, on attend sa version pour cet été en France.
09:18Qu'est-ce qu'on peut dire aussi déjà des obligations nouvelles, en fait, qui vont s'imposer aux nouvelles entités concernées ?
09:25Alors, c'est des dispositions en matière de gouvernance, avec la mise en place soit d'un responsable, soit d'un référent cybersécurité.
09:32Toutes les collectivités ou toutes les entreprises ne pourront pas avoir un responsable à temps plein.
09:38Et donc là, ce qui est important, ça va être la mutualisation des ressources.
09:40En matière de gouvernance, c'est aussi évidemment des analyses de risque, de façon à identifier quels sont les points clés,
09:47avec cette idée que la résilience nécessite effectivement une prise en compte globale.
09:52Ce que vous disiez, c'est-à-dire qu'en gros, on ne peut pas sécuriser un bout du système d'information,
09:57et on ne peut pas simplement sécuriser un bout de la chaîne de valeur.
10:00D'où le fait que cette directive intègre notamment le sujet des prestataires, des sous-traitants.
10:04Donc, c'est des mesures de gouvernance, des mesures techniques, avec également la mise en place de moyens tels que l'authentification multifacteur,
10:13du chiffrement, des moyens de ce type, et puis bien sûr aussi des obligations de notification.
10:21L'un des éléments importants...
10:22Notification de faille, d'incident.
10:25L'un des éléments importants dans notre domaine, c'est vraiment le côté collaboratif.
10:29On a des assaillants, des attaquants qui collaborent, qui sont très forts pour ça.
10:33Et donc, il faut, évidemment, à l'inverse, pour compenser cette asymétrie du numérique dont on parle souvent,
10:39que les défenseurs échangent des informations, collaborent entre eux, fassent preuve d'intelligence collective.
10:45Et là, on a encore un peu de travail.
10:46Et cette loi va nous permettre, demain, davantage d'échanger sur les menaces,
10:50davantage d'échanger sur les incidents, à une échelle locale, nationale, et bien sûr à une échelle européenne également.
10:56Donc, on peut tous s'en féliciter, mais il va falloir donc forcer un peu la main,
11:01quand même, pour réussir à atteindre ces objectifs.
11:04Il y a des sanctions qui sont prévues.
11:06Clarisse, vous disiez qu'aujourd'hui, pour les TPE-PME, ça reste encore un sujet très, très lointain, voire inconnu.
11:13Pourtant, elles peuvent faire partie, ces entreprises, des sous-traitants qui seront soumis à ces obligations
11:18via les grandes entreprises qui les feront travailler.
11:20Tout à fait. Et vous le disiez, effectivement, nous avons une entreprise sur deux qui externalise son service informatique.
11:27Donc, une entreprise sur deux qui a son personnel informatique.
11:32On voit aussi des DSI arriver, des DSI externalisés, pour venir appuyer les TPE-PME.
11:38Et souvent, quand on annonce une réglementation, la TPE la voit aussi comme une dépense à venir,
11:47une contrainte qui ne va pas être facile à relever.
11:51Alors, nous, à la CPME, on a mis en place un livret avec l'accompagnement de la gendarmerie et des référents,
11:58puisque nous avons des référents sur le territoire qui nous aident au niveau des cyberattaques,
12:03mais aussi qu'elles soient virtuelles, qu'elles soient physiques ou mécaniques.
12:08Donc, on est vraiment aidés là-dessus.
12:10Et donc, du coup, on va les accompagner aussi sur cette nouvelle réglementation.
12:14Monsieur le Préfet, vous entendez déjà les inquiétudes autour de vous face à cette nouvelle réglementation.
12:20C'est vrai que c'est souvent perçu comme une nouvelle charge.
12:23Alors, j'éviterais de parler d'inquiétudes.
12:26Je pense que nous sommes sur un domaine où il faut faire preuve de pragmatisme et de conviction.
12:32Pour ce qui est des collectivités, mais les collectivités à la fois sont directement concernées,
12:37mais également animent les territoires et donc nourrissent des relations tant avec l'État
12:42qu'avec tous les acteurs des territoires au nombre desquels trouvent les entreprises,
12:45je pense qu'il y a aujourd'hui un vrai partage à la fois, un vrai volontarisme dans l'acquisition de connaissances,
12:54dans la nécessité de situer, de graduer les risques potentiels auxquels elles peuvent se trouver confrontées.
13:01N'oublions pas que les collectivités nourrissent depuis maintenant de longues décennies des capacités réelles de mutualisation.
13:09Ne fussent qu'à travers les intercommunalités, communautés de communes, communautés d'agglomération, communautés urbaines, les métropoles,
13:18donc autant de structures qui, à un niveau ou à un autre, sont capables de porter à la fois de l'ingénierie, des équipements,
13:26et aussi de diffuser des bonnes pratiques.
13:29On peut observer la plupart du temps qu'il peut y avoir des fragilités techniques,
13:35mais plus encore, il peut y avoir des fragilités humaines,
13:38tout simplement parce que les utilisateurs n'ont pas pris les précautions nécessaires d'usage.
13:43Et par ailleurs, pour considérer le tout, il faut bien mesurer qu'au regard des collectivités en particulier,
13:53les failles qui pourraient exister provoquent en général des troubles importants dans les services rendus aux autres.
14:00Si on reporte ce constat sur d'autres services qui sont des services essentiels pour notre collectif,
14:10il faut évidemment non seulement redoubler d'attention, mais aussi être en capacité de nourrir des capacités de mutualisation,
14:17de redondance, permettant par exemple à des hôpitaux de réduire le plus possible les difficultés qui pourraient naître
14:23d'une attaque informatique mal maîtrisée ou d'autres conséquences encore.
14:29Donc ce travail-là est un travail intense qui doit être mené par les services de l'État,
14:34mais aussi par tous les partenaires qui peuvent être associés à la démarche.
14:38C'est aujourd'hui une nécessité. Et si vous me permettez simplement de conclure sur ce point,
14:42en disant que je pense que ce soit pour les entreprises ou pour les collectivités ou pour l'État,
14:48nous sommes pronds à parler de RSE, de responsabilité sociétale et environnementale.
14:53Je rajouterai volontiers une lettre complémentaire, le N pour numérique.
14:56Il nous est nécessaire collectivement de nourrir cette nouvelle dimension dans cette responsabilité collective.
15:04Oui, c'est une question de protection aussi des populations finalement, ce sujet de cybersécurité.
15:09Tout à fait. Dans une société qui est de plus en plus numérique, dans laquelle se déploient les téléprocédures,
15:15y compris quand il s'agit d'obtenir des documents de voyage, des titres d'identité.
15:22Vous imaginez bien que l'identité numérique, que la sensibilité des données personnelles attachées à un nombre de dossiers
15:29revêt un caractère extraordinairement important.
15:33Si on rajoute à cela que nombre d'actes des collectivités, les marchés publics aujourd'hui,
15:39sont communiqués à l'instruction ou au contrôle d'égalité par voie numérique.
15:44Donc notre société s'est considérablement, et c'est le sens de l'histoire, dématérialisée.
15:49Cette dématérialisation est accompagnée d'un certain nombre de mesures de sécurité,
15:53mais à l'évidence, et dans ces temps où on rencontre de plus en plus les vertus de l'intelligence artificielle,
16:00il faut gravir, il faut franchir des capes complémentaires.
16:04Les plus alertes, les plus importants, les plus essentiels pour notre société sont déjà en route vers cette mise en sécurité complémentaire.
16:12Et il est notre devoir, tout particulièrement des services que je représente, de multiplier les efforts pour que tous ceux qui ont à inconnaître
16:20et qui se situent à un niveau moins important pour la société, mais majeur pour la proximité, pour tous ceux qui le servent en proximité,
16:29et bien il faut que tous ces acteurs-là se mettent en capacité d'agir et de mieux se défendre.
16:36Pierre, si on fait un point sur ces risques, parce qu'effectivement, tout aujourd'hui pratiquement est dématérialisé,
16:44donc il faut le prendre en compte, il faut prendre en compte les risques inhérents.
16:47Vous, est-ce que vous avez le sentiment que, je vous ai posé la question sur la préparation,
16:53mais que le nombre de cyberattaques est croissant ?
16:57Parce qu'on entend des chiffres de manière macro toujours plus inquiétants,
17:02mais d'un autre côté, on se prépare aussi beaucoup mieux dans l'industrie.
17:06Quel est votre sentiment ?
17:07Alors en tout cas, c'est certainement pas en baisse.
17:10Je pense que c'est même en accroissement, parce qu'en fait, les attaquants sont de plus en plus rodés,
17:17arrivent à frapper de plus en plus de monde, et ont des techniques qui s'améliorent de jour en jour.
17:27On parlait de l'IA, ils utilisent l'IA maintenant d'une manière régulière pour faire du phishing,
17:31donc ça c'est ce qu'on voit assez facilement.
17:35Et en fait, ce qu'on voit moins quand on est un particulier, ou en tout cas derrière un écran,
17:39c'est qu'ils continuent aussi à scanner l'ensemble du web pour trouver des failles,
17:46pour trouver des portes d'entrée.
17:47Et ça, ils ont des techniques assez redoutables et surtout très très efficaces.
17:53Donc effectivement, il y a de plus en plus d'attaques,
17:57ils s'assiblent tout le monde, du particulier à la grande entreprise.
18:02Et c'est pour ça que je reviens sur...
18:05Et quand vous dites de plus en plus, moi j'entends même certaines industries
18:09qui me disent, en fait c'est permanent, c'est constant, c'est un flux constant d'attaques ?
18:13C'est un flux constant, c'est un flux constant.
18:15Avec l'attaque majeure en ce moment, c'est les ransomware.
18:19Là, c'est monnaie courante, on le voit dans la presse,
18:22tous les jours il y a des entreprises qui se font avoir.
18:26Ce qui apparaît dans la presse, c'est pas l'ensemble.
18:28Il faut un peu mieux monitorer ce que les attaquants mettent sur leur site.
18:35Et on voit que tous les jours, il y en a de toutes les tailles.
18:39Ça peut être des États, il y a l'État argentin qui s'est fait avoir récemment,
18:43et d'autres, voilà.
18:44Donc c'est sans arrêt, c'est n'importe qui, c'est n'importe où.
18:48Guillaume, les collectivités sont particulièrement exposées, vous diriez ça ?
18:51Oui, parce qu'en fait, il y a des angles morts quand même.
18:55C'est-à-dire que les grandes organisations, les grandes collectivités se sont équipées,
19:00ont mis en place des dispositifs.
19:02Et effectivement, l'opportunisme des attaquants fait qu'ils se sont rabattus vers des sites peut-être un peu plus faciles
19:07que sont les petites entreprises, que sont les plus petites collectivités.
19:13Et donc voilà, l'opportunisme mène à ce sujet.
19:17D'autant que la transformation numérique gagne absolument tous les acteurs,
19:20que les processus se dématérialisent, et le sujet, il est bien là.
19:24Je crois que le sujet, d'ailleurs, il n'est pas que sur la cybersécurité,
19:26il est vraiment sur le numérique au sens large.
19:28Quand vous parlez, par exemple, de la sécurité des hôpitaux,
19:31le problème des hôpitaux aujourd'hui, je dirais que ce n'est pas la cybersécurité,
19:34c'est d'abord le budget numérique et le fait d'avoir des équipements qui supportent la numérisation.
19:39Quand vous avez des scanners, des tables radio qui sont de modèles très anciens
19:44et que vous avez interconnectés, vous introduisez un risque.
19:45Vous pouvez toujours rajouter une rustine patchée, quelque part, un peu le problème,
19:50mais le vrai sujet, il ne sera pas là.
19:53Le vrai sujet, il sera demain d'avoir des équipements,
19:55et c'est la même chose dans le domaine de l'outil pour les industriels,
19:58c'est d'avoir des équipements qui sont numériquement conçus
20:02pour intégrer de la cybersécurité.
20:03Donc on est dans cette phase de transition
20:04où la cybersécurité est encore trop une rustine
20:09qu'on apporte à des équipements numériques un peu obsolètes.
20:11Il y a une dette numérique, quelque part, notamment pour les territoires, pour les entreprises.
20:16Et cette dette, finalement, on la résout dans le temps.
20:20Oui, c'est vrai que dans l'industrie, l'outil, toutes ces machines, en fait,
20:24ne sont pas préparées à parer à des cyberattaques.
20:29Alors, effectivement, ils ne sont pas trop préparés.
20:31Par contre, il y a une nouvelle directive,
20:33la directive CRA, Cyber Resilience Act,
20:36qui va aider à améliorer ça avec une obligation de fournir des patches
20:41quand il y a des failles de vulnérabilité, de surveiller ces failles, etc.
20:44Donc là, ça va apporter un vrai plus à la cybersécurité.
20:49Une obligation du côté du fournisseur.
20:51Du fournisseur, exactement.
20:52Donc c'est quand même assez...
20:54Je pense que c'est fondamental, autant que Nice 2,
20:57sur la cyberrésilience de nos entreprises.
21:00Cette dette numérique, effectivement, elle concerne aussi beaucoup les PME.
21:06Il y a un sujet de transformation numérique encore, finalement,
21:10même avant même de parler de cybersécurité.
21:12Oui.
21:12Alors aujourd'hui, on a quand même pris conscience
21:14que nous devions moderniser nos entreprises
21:17et la modernisation passe par cette transformation numérique.
21:21Donc on a de plus en plus...
21:23On parlait d'industrie, dans les industries,
21:26des machines qu'on doit télématenancer.
21:31Donc il faut vraiment qu'il y ait cette communication numérique
21:35avec le fabricant.
21:37Et ça crée une faille.
21:38À partir du moment où il y a une télématenance,
21:40où il y a une transmission de données numériques,
21:42il y a forcément une faille qui se crée mécaniquement.
21:46Alors, on ne peut pas faire peur à tout le monde.
21:48On peut donc essayer de faire en sorte de le penser par défaut,
21:51dès le départ.
21:53Vous avez évoqué, M. le Préfet,
21:54vous avez évoqué l'ANSI,
21:55l'Agence Nationale de Sécurité des Systèmes d'Information,
21:57qui va piloter cette nouvelle loi
22:01qui doit s'appliquer à beaucoup d'avantages d'entités
22:06et donc beaucoup de collectivités.
22:08Comment est-ce que vous allez travailler ensemble ?
22:12Assez naturellement.
22:14D'ailleurs, le Préfet que je suis a pour mission
22:16de représenter l'ensemble du gouvernement
22:19et de ses services sur le territoire.
22:20De fait, il y a une liaison organique, si je puis dire,
22:24qui ne posera pas de difficultés.
22:26Sur le fond, moi, je pense qu'il faut rester serein.
22:31Serein ne veut pas dire qu'on ne se préoccupe pas du sujet.
22:34Nous sommes dans une société qui va de transition en transition.
22:41Je ne sais pas.
22:42On peut bien sûr parler de dette numérique
22:44comme parler de dette écologique.
22:45Voyez-vous, on peut parler, mais je ne stigmatise absolument pas
22:49tel ou tel acteur.
22:51Je dis simplement que notre société est confrontée
22:54à des sujets de temporalité.
22:56Et cette temporalité appelle à être gérée,
22:59probablement de façon progressive,
23:01mais également une temporalité qui demande d'être accompagnée.
23:05Et quels que soient, d'ailleurs, les domaines sociétaux
23:07sur lesquels nous intervenons,
23:08on voit bien qu'il y a un nombre de lois, d'ailleurs,
23:11qui portent cette dénomination,
23:13qui sont des lois d'anticipation et d'accélération.
23:16Donc, quand on peut anticiper s'il s'agit d'investir
23:19d'un nouveau équipement en tenant compte
23:21des enjeux d'aujourd'hui, évidemment,
23:22et plus encore de demain, il ne faut pas hésiter.
23:25Il y a la capacité à accompagner ce mouvement.
23:29Et de la même manière, il faut agir
23:31pour que ces transitions-là soient vécues
23:35comme étant naturelles, finalement,
23:37certes à accélérer, mais supportables.
23:39On ne peut l'accepter que si c'est effectivement
23:42bien compris et perçu comme supportable.
23:45C'est vrai pour toutes les transitions.
23:47Ça l'est, évidemment, pour la transition numérique.
23:50Et l'important étant d'agir plutôt par conviction
23:53que par démonstration quand on a, malheureusement,
23:56tel ou tel service, collectivité ou entreprise,
23:59victime et qui, ensuite, la plupart du temps,
24:02est amené et confronté à de très grandes difficultés.
24:04Vous parlez d'investir.
24:05Est-ce qu'on a une idée, justement,
24:07de l'investissement que ça représente aujourd'hui
24:09de passer à une conformité avec Nice 2,
24:14que ce soit vous au niveau de la CPME 111,
24:17vous du côté des clients avec lesquels vous travaillez,
24:20dans les collectivités ?
24:21Est-ce qu'on sait l'estimer, ça, Guillaume ?
24:24Il y a quelques chiffres qui existent.
24:26Il y a une étude qui a été faite sur les collectivités.
24:29Paris date de mémoire, il y a quelques mois,
24:31qui disait que pour la mise en conformité
24:33des 2 500 collectivités concernées,
24:37entités essentielles ou entités importantes,
24:38il fallait sans doute prévoir un budget
24:40de 700 millions d'euros par an
24:42pour l'entretien, ensuite, de cette mise en conformité,
24:45plus, évidemment, le sujet du recrutement
24:47avec une centaine de millions d'euros de recrutement,
24:50ce qui est évidemment énorme,
24:52d'autant que les compétences manquent assez largement.
24:56Le chiffre paraît impressionnant.
25:00La vérité se situe sans doute entre 3 et 600 millions,
25:06700 millions d'euros, rien que pour les collectivités.
25:08Pour les entreprises, on a un autre élément
25:10qui est sur la part du budget IT consacré à la cybersécurité,
25:16dont on dit qu'elle doit être aux alentours
25:18d'entre 5 et 10 %.
25:20Alors, évidemment, ça dépend du niveau de maturité.
25:21Si on est très faible,
25:23eh bien, ça sera sans doute plus,
25:26au moins au début, pour rattraper.
25:28Voilà quelques métriques.
25:30Je dirais que pour les plus petites organisations,
25:33le sujet, c'est vraiment l'hygiène numérique.
25:36Et l'hygiène numérique, ça commence par des choses
25:38très, très simples.
25:38Et j'ajoute aussi quelques éléments
25:41sur la prise en compte des victimes,
25:42qui est absolument essentielle,
25:43notamment au niveau local,
25:45avec la mise en place récente d'un dispositif
25:48qui est le 17Cyber,
25:49coopération entre le ministère de l'Intérieur
25:51et le GIP ACIMA,
25:53qui va permettre aux entreprises,
25:54aux particuliers, aux collectivités,
25:56qui permet déjà d'appeler un numéro unique
25:59pour ensuite être orienté vers le bon acteur,
26:04le tout en coordination avec les cesseurs locaux
26:06qui ont été montés.
26:07Et ça, je pense que c'est un vrai progrès,
26:08puisque le sujet, c'est quand même
26:09la prise en compte des victimes.
26:10Absolument, vous faites bien de le rappeler.
26:12Du côté de la CPME,
26:15vous avez commencé à estimer la capacité,
26:17justement, de vos adhérents
26:19à se mettre en conformité,
26:20ou en tout cas, à progresser
26:22sur le sujet de la cybersécurité ?
26:24Alors, non, on n'a pas estimé,
26:25parce que, comme je vous l'ai dit tout à l'heure,
26:26on a plusieurs secteurs.
26:28Donc, en fonction du secteur d'activité,
26:30l'appétence est différente
26:31pour le numérique et la cybersécurité.
26:35Aujourd'hui, on a des secteurs d'activité
26:38comme les commerçants qui, par leur caisse enregistreuse,
26:43sont obligés aussi de faire attention
26:45à la cybersécurité,
26:47mais nous n'avons pas évalué le coût.
26:48Par contre, effectivement,
26:49ils sont très en attente d'un numéro unique,
26:53d'un guichet unique,
26:54leur permettant de faire appel
26:57pour, si jamais, en cas d'attaque.
27:00Absolument, il y a le 17 cyber,
27:02il y a d'autres dispositifs au sein de l'Annecy
27:05aussi pour les PME.
27:08De votre côté,
27:10les montants qui sont présumés,
27:13qu'on doit investir aujourd'hui
27:15pour réussir la conformité avec Nice 2,
27:18ils font un peu peur ?
27:19Alors, effectivement,
27:20ça va dépendre du secteur d'activité,
27:22ça va dépendre des acteurs.
27:24Il y a certains qui sont prêts.
27:26Parce qu'en fait, Nice 2, c'est quoi ?
27:27C'est juste rappeler les bons principes de sécurité,
27:30de connaître ses risques,
27:31de savoir manager son système d'information
27:33avec de l'hygiène, etc.
27:34C'est la suite de Nice 1,
27:35donc si on s'est déjà mis en conformité avec Nice 1.
27:37En fait, c'est le cycle classique de cyber,
27:40avec de la résilience au bon.
27:41Donc, ceux qui sont prêts,
27:43ça ne va pas leur coûter grand-chose.
27:44Les autres, ils ont tout à faire.
27:47Commencer par connaître les risques
27:49et d'avoir une bonne hygiène,
27:51je pense que c'est les deux points clés.
27:52Merci beaucoup à tous pour vos conseils,
27:55vos éclairages.
27:56Chacun, vous avez apporté quelque chose,
27:58je pense, d'utile.
27:59Monsieur le préfet de Saône-et-Loire,
28:01Yves Ségui,
28:01Guillaume Tissier,
28:02directeur général du forum InCyber,
28:04Clarisse Maillet,
28:05donc présidente de la CPME 71,
28:07et Pierre Kitschner,
28:09directeur des courses digitales cyber.
28:10Merci beaucoup.
28:11Merci beaucoup.
Recommandations
6:14
16:31
17:12
18:25
13:21
1:43:40