- 26/05/2025
Mardi 27 mai 2025, retrouvez Nicolas Huez (cofondateur, Interstis), David Marti (Président et Maire du Creusot, Communauté Urbaine Creusot Montceau), Vincent Thomas (Président, Université de Bourgogne) et Vincent Champain (directeur digital et des systèmes d’information, Framatome) dans SMART TECH, une émission présentée par Delphine Sabattier.
Catégorie
🗞
NewsTranscription
00:00SmartTech vous est présenté par le Forum InCyber Europe et la communauté urbaine du Creusot-Monceau, le territoire de tous les possibles.
00:16Bonjour à tous, nous sommes ensemble pour 28 minutes environ, un débrief spécial aujourd'hui que nous tournons en direct du Forum InCyber qui se passe au Creusot.
00:25C'est la première déclinaison de ce grand Forum sur la cybersécurité, cybersécurité industrielle, cybersécurité des territoires, des collectivités.
00:33Ça se passe au Creusot. Je vous présente mes sujets et les intervenants juste après.
00:41C'est parti pour un débrief un peu spécial parce qu'aujourd'hui nous sommes au Creusot. Pourquoi ? Parce que se joue la cybersécurité ici dans tout le territoire.
00:50C'est le premier Forum InCyber qui se joue dans les territoires et donc qui se passe au Creusot où nous sommes avec David Marti.
00:56Bonjour. Bonjour. Je vous ai déjà reçu, mais je vais vous représenter maire de la ville du Creusot.
01:01Vous êtes aussi président de la communauté urbaine Creusot-Monceau où est organisé cet événement exceptionnel, unique même, puisque c'est le premier du genre.
01:10On a délocalisé notre plateau pour l'occasion. Comment ça se passe là déjà pour vous ? Vous êtes satisfait ?
01:15Écoutez, après une première matinée très effervescente, je vais dire, avec beaucoup d'échanges, beaucoup d'interconnexions et une grande satisfaction visiblement de ce que j'ai pu en tout cas percevoir,
01:29à la fois des partenaires, à la fois des participants qui sont nombreux. Et donc une belle, belle, belle matinée.
01:36Vous sentez la mobilisation autour de ce sujet de la cybersécurité ?
01:40Mobilisation, prise de conscience et puis envie de travailler ensemble aussi. C'est ça qui est important.
01:47Avec nous également aujourd'hui, Vincent Champin. Bonjour Vincent.
01:50Senior exécutif vice-président en charge du digital et de l'IT, membre du comité exécutif de Framatome, un acteur majeur évidemment du secteur nucléaire, filial du groupe EDF.
02:00Vincent, vous êtes venu ici pour aller chercher quoi ? Des solutions ? Vous en avez déjà beaucoup chez Framatome, j'imagine, en matière de cybersécurité ?
02:09D'abord, on est très attaché à la région. C'est une région dans laquelle on est présent depuis des décennies.
02:14On a le cœur du cœur des centrales nucléaires, ce qui se fait ici. Deuxième point, tout ce que David Marty organise, on est en général derrière parce qu'on sait que ça va marcher.
02:25Et puis troisième point, la cybersécurité, c'est un domaine extrêmement important, particulièrement important pour les industries critiques.
02:31Les industries critiques, c'est des industries dans lesquelles les risques vont coûter très cher. Et de plus en plus, parmi ces risques, il y a des risques cyber.
02:40Et donc aujourd'hui, assurer la sécurité d'un équipement nucléaire, ce n'est pas seulement avoir des gardes, avoir une cuve qui résiste à toutes les scénarios de pression,
02:49c'est aussi être sûr que les systèmes informatiques résistent à toutes les attaques. Et donc, on est venu pour rencontrer notre écosystème, pour présenter nos solutions
02:57et puis aussi pour écouter ce que nos clients et nos partenaires ont à nous dire.
03:02Également autour de la table, Vincent Thomas. Bonjour. Vous êtes président de l'Université Bourgogne Europe, ainsi que vice-président du Conseil des moyens et des personnels de France Université.
03:14Les universités font partie des cibles aujourd'hui des cyberattaquants ?
03:18Ah oui. Quotidiennement, nous sommes attaqués avec un pic toujours avant les vacances de Noël. Sans doute, c'est le père Noël à cœur qui nous attaque.
03:28Mais pour nous, la cybersécurité, je le considère comme une industrie du cerveau et de la compétence et des métiers, des futurs métiers.
03:36Et nous sommes évidemment, comme toute entité un peu importante, extrêmement dépendants de systèmes cyber, on va dire, de qualité, résistants, résilients face aux attaques dont nous sommes les cibles.
03:53Et puis, puisque nous formons et que nous faisons de la recherche, eh bien oui, nous formons aussi nos étudiants à la cybersécurité et nous menons également des actions de recherche dans ce domaine.
04:02Et enfin, Nicolas UAS est avec nous. Bonjour Nicolas.
04:06Bonjour.
04:06Vous êtes cofondateur et CTO d'Interstice. D'ailleurs, je suis passée devant pour arriver jusque dans notre studio ici.
04:13Donc, entreprise de la région, entreprise française, lauréate d'un appel à projet France 2030.
04:19Interstice est à la tête du consortium Hexagone qui développe une suite collaborative hautement sécurisée.
04:25Et puis, ce qu'on appelle aujourd'hui souveraine, alternative à Microsoft 365.
04:31Est-ce que là, au sein de l'écosystème, quand je dis ça, ça résonne ? Aujourd'hui, on cherche des alternatives ?
04:38Oui, vous avez tout à fait raison.
04:40Donc là, avec tout ce qui se passe sur le contexte géopolitique, je pense que la prise de conscience, elle est nécessaire.
04:45Elle est nécessaire au niveau des organisations, à la fois publiques, privées et tout type d'organisations.
04:50La question de se poser la question, c'est mes données, est-ce qu'elles sont sécurisées ? Première question.
04:54Mais également, c'est sécurité en termes juridiques.
04:57Où est-ce qu'elles sont stockées ? Parce que si elles sont stockées sur le territoire français, européen ou extraterritorial,
05:03ce n'est pas du tout la même question juridique.
05:07Et donc, il y a une vraie dimension de sécurité derrière parce que mon information peut être ultra sécurisée.
05:11Mais si derrière, elle peut être lue par différentes personnes, sans mon consentement, quitte de la sécurité.
05:17En plus, ça peut être trompeur parce qu'on peut être hébergé en France, mais pas forcément être soumis uniquement aux lois françaises.
05:24Alors, tout à fait. C'est pour ça que nous, de notre côté, dans ce consortium, on a pris le choix d'héberger nos données,
05:29mais également les données de nos clients sur un hébergement souverain qui répond à la partie Secnum Cloud,
05:38donc cette certification qui est délivrée par l'ANSI.
05:40Et pour être tout à fait transparent, on travaille, on est partenaire de 3DS Outscale, qui est une filiale de Dassault Systèmes.
05:48Alors, notre sujet aujourd'hui, c'est la cybersécurité de manière générale, mais en particulier pour les collectivités.
05:56Qu'est-ce que ça veut dire, David Marty ?
06:00Alors, c'est les collectivités, bien entendu, mais c'est aussi les entreprises, comme on l'a dit.
06:03Mais les collectivités ne prenaient sans doute pas suffisamment conscience qu'elles étaient des cibles également.
06:11Et nous avons eu de nombreux exemples de collectivités qui ont été attaquées, pas très loin d'ici d'ailleurs.
06:19On en a eu quelques-unes. Nous sommes nous-mêmes attaqués régulièrement, avec peu de conséquences, parce que nous nous préparons.
06:27Mais il peut y avoir des conséquences fortes. Ça a été le cas, je vous dis, dans certaines villes autour de nous, des hôpitaux, également publics.
06:36Et donc, il faut absolument que les collectivités, qui sont des acteurs, quelque part aussi économiques, de par leurs investissements, de par le service public qu'ils rendent,
06:45soient parfaitement armées pour contrer ces attaques.
06:49Ça veut dire, quel défi a relevé aujourd'hui ?
06:52Le défi, c'est d'abord la formation du personnel. Pas simplement du personnel au niveau DSI.
06:58C'est la formation de tout le personnel sur les gestes, sur les habitudes à prendre, sur les attentions particulières, de manière à détecter ce qui n'est pas normal.
07:10C'est aussi une affaire ressource humaine, bien entendu, c'est-à-dire de se doter de personnels qui sont en capacité, eux, de contrer les attaques et d'être en permanence en plus formés.
07:23Parce qu'on voit bien que c'est un secteur où les hackers, eux, vont très vite, se forment très vite aussi, aux nouvelles technologies, aux boucliers qui sont mis en place et arrivent à les contourner.
07:36Donc c'est une formation quasi permanente. Ça nécessite des moyens financiers. Mais c'est des moyens financiers qui sont obligatoires, faute de quoi on se retrouvera complètement paralysé.
07:51Vincent Champin, en termes de politique publique, comment vous avez vu les choses évoluer ? Parce que je dois rappeler quand même que vous avez débuté votre carrière dans la haute fonction publique.
07:58Vous étiez directeur du cabinet d'Éric Besson, qui était à l'époque le secrétaire d'État au numérique sous le gouvernement Fillon.
08:05Vous pensez qu'on a pris un peu de retard sur cette question cyber ?
08:10Alors, deux choses. On a évolué. Il y a une vingtaine d'années, on avait créé l'ANSI.
08:17À l'époque, il n'y avait pas d'organisme central qui pouvait comme ça travailler à la fois sur les risques cyber internes à l'État, puis les risques externes.
08:24Mais la menace, elle a aussi beaucoup évolué. Je vais donner quelques chiffres.
08:28Aujourd'hui, le nombre de personnes qui travaillent au cyber escroquerie de toute nature, c'est des personnes qui vous envoient des faux SMS sur le compte de formation jusqu'au hacker.
08:37On estime que ça emploie entre 500 000 et 1 million de personnes dans le monde.
08:42Donc, c'est une force de frappe extrêmement forte.
08:44Aux États-Unis, le coût des cyber escroqueries, on estime que ça fait six fois le coût des vols de voitures.
08:51Donc, ce n'est pas quelque chose de marginal du tout.
08:52Est-ce qu'on a pris du retard ?
08:54J'allais dire qu'on s'est amélioré, la menace a progressé, et surtout, elle a changé de nature.
09:00Ces sujets, c'était vraiment des sujets d'hyper techniciens il y a 20 ans.
09:05La personne commune ne s'en occupait pas.
09:08Aujourd'hui, en fait, le principal maillon faible, c'est des maillons faibles en termes, comme ça a été évoqué par David Marti, en termes de culture, de formation.
09:16Pour donner un exemple, vous allez dans une usine, quelqu'un qui ne porte pas ses gants ou son casque, tout de suite, on va le remarquer.
09:23Vous venez deux fois de suite dans la même usine, il y a toujours le même problème, là, vous n'allez pas aller au patron d'usine.
09:27Bon, maintenant, une entreprise dans laquelle deux fois de suite, un salarié va cliquer sur un lien de phishing, est-ce qu'on va être aussi vigilant ?
09:34Peut-être pas.
09:35Alors, pour rassurer, je pense que ce n'est pas très différent à y avoir dans le monde.
09:39Je pense qu'on a vraiment des talents, et ça a été évoqué aujourd'hui, on a une industrie qui se développe.
09:45Framatome fait des solutions, on développe des solutions souveraines.
09:48Mais je pense qu'on sous-estime la force de Frappes, c'est devenu une industrie qui, en termes de taille, est plus importante que, par exemple, l'industrie du cinéma au niveau mondial.
09:57Oui, il faut bien prendre conscience de ça, effectivement.
10:00Alors, vous nous l'avez dit, Vincent Thomas, à l'université, on a pris conscience de ces sujets, on a des formations aussi en matière de cybersécurité.
10:08Pour autant, il y a encore des choses à faire.
10:13Lesquelles ?
10:13Alors, les choses, elles sont à destination, effectivement, aussi des collaborateurs de l'université, des personnels de l'université.
10:23Et ne serait-ce que ce matin, je présidais le conseil du numérique de l'université Beauvoir Europe,
10:27et nous avons soumis la charte des bonnes pratiques que doivent suivre l'ensemble des personnels, y compris le président,
10:36avec les mails, avec les sites sur lesquels nous allons, avec les sollicitations qu'on a,
10:44avec différentes formes de hacking qui sont assez courantes chez nous.
10:49Donc, ça, c'est vraiment le premier, le premier aspect.
10:55Le deuxième aspect de notre activité, c'est de former nos jeunes.
11:01Juste avant de parler des jeunes, mais juste pour revenir sur l'université, c'est combien de personnes ?
11:05Alors, c'est 3 000 personnels, c'est 3 000 personnels.
11:08Alors, si on élargit, puisque nous sommes restructurés, on a un turnover qui est, on a plusieurs catégories de personnels,
11:17fonctionnaires et des contractuels.
11:18Chez les contractuels, il y a plus, évidemment, de turnover, mais globalement, globalement, l'emploi est stable.
11:25Et puis, c'est 35 000 étudiants qui sont des usagers de nos services informatiques, nos réseaux,
11:33qui ont tous des comptes, des boîtes mail, etc.
11:38Pour nous, la sécurité, c'est quelque chose, si vous voulez, j'ai appris au fur et à mesure de ma fonction de président
11:45à devenir de plus en plus paranoïaque.
11:47Je peux vous l'assurer, au début, j'estimais que mes services numériques, ma direction numérique, exagéraient un peu.
11:56En réalité, pas du tout.
11:57Et donc, on parlait de matériel et de coût.
12:00Je sais ce que c'est un pare-feu à 800 000 euros, si vous voulez.
12:03Mais je sais aussi, et je rejoins le président Marty dans son propos de tout à l'heure,
12:08je sais aussi qu'aujourd'hui, de même qu'on ne peut pas travailler sans électricité,
12:13on ne peut pas travailler sans réseau numérique.
12:16C'est devenu totalement impossible, cela vous replongerait au temps des cavernes.
12:21Et il n'y a plus d'activité possible sans réseau.
12:24Alors, a fortiori dans le domaine économique, parce qu'il y a un résultat économique à avoir.
12:28Mais pour nous, l'absence de réseau qui fonctionne, c'est synonyme d'arrêt total de toute activité de recherche, de formation.
12:39On ne peut plus travailler.
12:41Seuls les paranoïaques survivent, dit Andy Groove.
12:46On a parlé de la question de la souveraineté, qui fait partie de la sécurité.
12:51Mais j'ai aussi dit que ce sur quoi vous travaillez, c'était aussi la question de l'ultra-sécurisation de cette suite collaborative.
12:58Qu'est-ce que ça veut dire ? Qu'est-ce qu'on met derrière l'ultra-sécurité ?
13:01Déjà, je rejoins ce que vous disiez tout à l'heure.
13:04Il faut savoir que 80% des attaques cyber sont dues à l'humain.
13:08Donc la sensibilisation, pour répondre clairement à votre question, elle est majeure.
13:13On a un RSSI chez nous en interne, qui ne fait que ça.
13:17Qui fait de la sensibilisation à la sécurité.
13:19Toute personne qui arrive chez Interstice dirait que son premier jour, elle a une heure et demie de sensibilisation à la sécurité.
13:24Qu'est-ce que le phishing ?
13:24Quelles sont les bonnes pratiques ?
13:26Qu'est-ce qu'un coffre fort du mec ?
13:27C'est ça la base.
13:28Sans ça, comme je vous le répète, 80%.
13:31Donc déjà, on est limite quand même beaucoup de choses.
13:32Première chose.
13:34Deuxième élément, ça passe par le personnel, mais également par la sécurisation des réseaux, comme vous l'aviez indiqué.
13:39Et donc des personnels formés.
13:41On n'a pas des sensibilisés, mais là je parle de formation technique, comme vous l'aviez évoqué tout à l'heure dans les parcours que vous proposez.
13:47D'où mon intérêt.
13:49Donc ça c'est l'élément essentiel, et que ce soit ce que vous disiez tout à l'heure, David, que ce soit du régulier.
13:54On ne se forme pas et après c'est fini.
13:56Non, c'est une formation régulière pour se rappeler des choses.
14:00C'est comme un incendie qu'on disait tout à l'heure.
14:02Les incendies ou des tests d'incendie se font régulièrement.
14:03C'est exactement la même chose.
14:06Troisième élément, c'est du chiffrement de la donnée.
14:08Ces éléments, cette donnée, elle ne peut pas être accessible.
14:11Elle est chiffrée sur certaines normes et qui correspondent à des normes validées.
14:15Et bien évidemment, le stockage.
14:16Où est-ce que ma donnée l'est stockée ?
14:17Voilà les grandes lignes un petit peu sur lesquelles on travaille.
14:20Et ça ce sont des arguments qui sont écoutés aujourd'hui par les clients ?
14:25De plus en plus.
14:26De plus en plus, je pense que, un, dans un premier temps, tout dirigeant, organisation publique ou privée, déjà doit se poser la question de la sécurité.
14:35Pour moi, ce n'est plus, ce qu'on disait tout à l'heure, quelque chose qui est à part en fait, au fait, la sécurité.
14:41Non, ça doit être du quotidien.
14:43La sécurité, en tout cas chez nous, c'est du quotidien là-dessus.
14:46Tout ce qu'on fait, on se pose des questions de sécurité.
14:47Et donc, c'est où est ma donnée ?
14:50Et donc, où elle est stockée ?
14:51Comment elle est maîtrisée ?
14:53Et donc, qui peut y accéder ?
14:55Ce n'est pas facile de s'y retrouver parmi la quantité d'offres, j'imagine, de cybersécurité que vous voyez.
15:01Ici, on en a beaucoup de représentants aussi.
15:04Comment est-ce qu'on fait son tri ?
15:05Comment est-ce qu'on fait son choix ?
15:07Quelles sont les priorités ?
15:08Qu'est-ce que vous regardez en premier ?
15:11Je voudrais rebondir sur ce qui vient d'être dit avant, si vous permettez,
15:14par rapport à la question que vous avez posée, en disant,
15:18mais est-ce que maintenant, vos clients sont sensibles à ça, etc.
15:23Ils le sont de plus en plus, je confirme.
15:25Mais n'oublions pas qu'il y a un caractère obligatoire
15:29qui va être imposé de manière législative
15:33puisque la déclinaison de la directive européenne Nice 2,
15:39transposée à la loi française,
15:41va obliger les chefs d'entreprise, les collectivités
15:46à se doter de moyens de sécurité
15:49et faute de quoi, il y aura des pénalités financières.
15:53Et c'est normal.
15:54Déjà aujourd'hui, on nous demande, nous, dans les collectivités,
15:58quelles sont les personnes qui ont accès au réseau.
16:01Et on est obligé de donner nominativement
16:04les personnes qui ont accès au réseau.
16:06Donc, il y a un caractère obligatoire
16:08pour un certain seuil de collectivité ou d'entreprise
16:12qui va être fixé.
16:13Sinon, on paiera des pénalités.
16:15Alors après, comment choisir ?
16:17Avec qui travailler ?
16:18Comment ?
16:18Eh bien, vous voyez, c'est tout l'objectif de ce forum.
16:21C'est pour ça qu'on a fait aussi ce forum InCyber
16:24sur les territoires.
16:24Parce que, ben oui, quand vous allez à Lille, à Tokyo, etc.,
16:29oui, vous avez là toute une catégorie de professionnels,
16:34d'experts, dans les territoires, c'est moins évident.
16:38Et donc, l'intérêt de faire ce forum,
16:39c'est aussi qu'au plus près des territoires,
16:43les entreprises puissent avoir des interlocuteurs crédibles
16:47qui vont les aider, qui vont les accompagner.
16:51Et ça, c'est fondamental.
16:53C'est fondamental, vous savez, dans une petite entreprise,
16:56un artisan qui se voit attaqué, il est seul, il est démuni.
17:02Seul et démuni.
17:03J'ai des exemples.
17:04Seul et démuni.
17:05Eh bien, depuis que nous faisons ce travail avec le FIC,
17:09avec le général, etc., ils ne sont plus seuls.
17:11Parce que dès que j'en ai la connaissance
17:13ou dès que quelqu'un dans mon entourage a la connaissance,
17:16qu'est-ce qu'on fait ?
17:17On téléphone, on passe un coup de fil, on dit,
17:19là, on a une entreprise, comment on fait ?
17:21Et là, ça fonctionne tout de suite.
17:23Donc, l'objectif, c'est de développer ce réseau
17:26de manière à ce qu'on ne se sente plus seul
17:29et que dès qu'on est attaqué, à ce moment-là,
17:32il y ait tout un réseau qui se mette en place et qui agisse.
17:35Je vais faire la promotion du 17-Cyber.
17:38On a eu cette initiative qui a été lancée
17:40par le groupement d'intérêt public ACIMA,
17:43la gendarmerie nationale, la police nationale qui est derrière,
17:46avec vraiment un point de contact unique.
17:49Voilà, si on a l'impression d'avoir été victime d'une cyberattaque,
17:53en tout cas, ça fait un point de contact important.
17:58Parce qu'on dit, c'est vrai qu'on est sorti du champ
18:00de la cybersécurité réservée aux techniciens,
18:03mais ça reste quand même un sujet pointu.
18:04quand on est à la tête d'un groupement universitaire.
18:08Comment on s'y retrouve ?
18:10Comment on trouve les bons interlocuteurs ?
18:12On trouve les bonnes solutions ?
18:14On a des gens particulièrement compétents dans nos services
18:16qui sont de très haut niveau,
18:19qui ont souvent un doctorat en informatique,
18:22qui sont ingénieurs de recherche, ingénieurs d'études,
18:25et qui sont totalement à la pointe des évolutions technologiques
18:31qui se forment, qui s'auto-forment parfois,
18:34qui se forment entre eux,
18:36et qui prennent aussi appui de l'expertise
18:38qu'on peut trouver ailleurs, à l'extérieur.
18:40Et vous avez cité l'un de ces tout à l'heure.
18:42Nous avons une cyberattaque le jour où nous sommes passés,
18:44nous avons fait une transformation,
18:46nous sommes passés de l'université de Bourgogne
18:47à l'université Bourgogne Europe,
18:49le 7 janvier, le lendemain des vacances de Noël.
18:53À 16h le lundi, nous avons subi une attaque
18:57qui venait du Brésil,
18:59et qui nous a immobilisés jusqu'au lendemain 11h du matin.
19:03Eh bien, nous sommes appuyés sur l'ANSI,
19:06c'était un peu notre 17 cyber, n'est-ce pas ?
19:09Et nous avons pu, non seulement résister,
19:11grâce au travail conjoint,
19:13et à la compétence très pointue de nos agents,
19:16de travail conjoint,
19:18donc, de nos agents et de l'ANSI,
19:21eh bien, nous avons pu résister
19:22et rétablir l'intégralité de notre système
19:24en quelques heures.
19:25Voilà.
19:26Réactivité,
19:28une mobilisation également,
19:30parce qu'il y a de l'humain derrière.
19:32Président Marty, vous avez parfaitement raison.
19:35Nous avons une équipe de permanence,
19:3824 heures sur 24,
19:40365 jours par an,
19:42enfin, 4 ou 5,
19:43ça dépend des années bissextiles.
19:44Et donc,
19:45dimanche, jour férié, Noël,
19:50vraiment en permanence.
19:51Donc, être attentif, bien sûr,
19:53et puis être compétent.
19:55Je crois que la compétence dans ce domaine
19:57est absolument indispensable,
19:58outre, évidemment, la nécessité,
20:00comme je le mentionnais tout à l'heure,
20:02de réaliser les investissements nécessaires,
20:04parce qu'il n'y a pas que de la connaissance
20:06et du software,
20:07il y a aussi du hardware.
20:08Eh oui, d'investissement.
20:10Si on regarde plus précisément
20:12dans l'industrie,
20:14le niveau de la menace,
20:16les conséquences d'une cyberattaque,
20:18on comprend bien la criticité du sujet,
20:21mais il y a ce défi aujourd'hui
20:23dans l'industrie de l'IT et de l'OTI.
20:26Comment est-ce qu'on va sécuriser tout ça ?
20:29Est-ce qu'il faut mettre justement
20:30des parois étanches
20:31entre son IT et son OTI ?
20:34Comment est-ce qu'on s'organise
20:36face aux nouvelles attaques ?
20:38Parce que les attaques se renouvellent aussi
20:40avec l'arrivée de l'intelligence artificielle.
20:43Il faut être créatif des deux côtés.
20:45Alors, les attaques se renouvellent
20:46à chaque nouvelle technologie.
20:49Chaque nouvelle technologique
20:50apporte des vulnérabilités, premier point.
20:52Deuxième point,
20:53c'est infiniment plus facile d'attaquer
20:54que de se défendre.
20:56Celui qui attaque, il entre par une fenêtre.
20:57Celui qui doit se défendre,
20:58il doit regarder toutes les fenêtres possibles
20:59et la porte également.
21:01Alors, l'enjeu dans l'industrie,
21:04par rapport à ça,
21:07c'est d'abord,
21:08comme on l'a dit tout à l'heure,
21:10on a à la fois des risques,
21:11qui sont des risques économiques
21:12ou industriels ou de réputation.
21:14En gros, les risques pour nous,
21:15c'est le sabotage,
21:16le risque réputationnel,
21:17c'est-à-dire des documents qui devraient sortir
21:19et qui ne devraient pas sortir
21:20et qui sortent,
21:22l'image de l'entreprise,
21:23surtout quand elle est dans les domaines critiques,
21:25l'exfiltration de données confidentielles internes
21:29ou l'exfiltration de données à des clients.
21:31En fait, quand on est une grande entreprise,
21:32le premier risque,
21:34c'est ce qu'on appelle le risk supply chain,
21:35c'est-à-dire des fournisseurs
21:36qui vont être moins solides en cybersécurité
21:39que vous l'êtes vous-même.
21:40Et donc, il faut regarder tout le monde.
21:41Tout le monde,
21:42c'est compris le stagiaire que vous recrutez
21:43pour un mois
21:44ou même le stagiaire de secondes
21:47qui va venir pour trois semaines
21:48qui ne va pas avoir une formation de cybersécurité.
21:50Et s'il a une machine, il y a un risque.
21:52Donc ça, c'est quelque chose
21:53auquel il faut faire attention.
21:54Deuxième point sur le...
21:56On a coutume de dire
21:57que le logiciel mange le monde.
21:58C'est-à-dire qu'il y a de plus en plus de choses
22:00qui sont faites par des logiciels.
22:01Et donc, de plus en plus de problèmes
22:03à ce que les logiciels s'arrêtent.
22:06Avant le Covid,
22:07une panne réseau dans une entreprise,
22:09une université,
22:09ça ne veut aucune conséquence.
22:10Ça a duré cinq minutes.
22:11Au jour d'aujourd'hui, immédiatement,
22:13tous ceux qui sont sur Teams
22:14vous appellent en disant
22:14qu'il y a un problème.
22:15Est-ce que tu peux le réparer ?
22:17Donc, on est de plus en plus dépendant
22:18à la technologie.
22:20Et donc, du coup,
22:21il faut faire de plus en plus attention.
22:22Et puis, deuxième point,
22:23comme ça a été dit par le président Marty,
22:25les réglementations gagnent en maturité.
22:29Et donc, il faut à la fois
22:29se protéger économiquement
22:30et puis surtout être en règle
22:32par rapport aux réglementations.
22:33Et sur l'IT et l'OT,
22:35en fait, les deux convergent.
22:37C'est-à-dire qu'il y a 20 ans,
22:37on avait effectivement
22:38les systèmes informatiques
22:39des usines
22:40qui étaient coupés d'Internet
22:41et qui étaient dans une zone à part
22:43et les systèmes IT
22:44des gens dans les bureaux.
22:46Au jour d'aujourd'hui,
22:47c'est souvent les mêmes machines,
22:48les mêmes technologies,
22:49tout est connecté.
22:50Donc, plus de risques.
22:52Plus de risques
22:53à tel point que Gartner,
22:54depuis 2023,
22:55n'utilise plus le terme OT
22:56parce que pour eux,
22:57tout ça a convergé.
22:58Oui.
22:59Et avec cette pression quand même
23:00dans l'industrie
23:01de passer à l'industrie 4.0,
23:03avec la 5G,
23:04la 6G,
23:05donc on augmente considérablement
23:06les surfaces d'attaque.
23:08On augmente considérablement
23:09les surfaces d'attaque.
23:10Tu vois le verre à moitié vide.
23:12Et si je compare,
23:13d'ailleurs,
23:13les méthodes qu'on a
23:13de gestion des risques
23:14dans la partie nucléaire
23:15où on gère aussi
23:16des risques très sérieux
23:17et dans la partie informatique,
23:19la partie informatique,
23:20la difficulté,
23:20c'est que vous devez articuler
23:22des milliers de briques Lego
23:24qui sont plus ou moins documentées
23:26dont les comportements,
23:27quelquefois,
23:28peuvent avoir des défauts.
23:29Alors que dans la partie nucléaire,
23:30la Q,
23:30vous la connaissez,
23:32vous l'avez faite,
23:33vous avez fait des études.
23:33Donc la partie informatique,
23:35elle pose des challenges
23:35en termes de gestion des risques
23:36qui sont d'une très,
23:37très grande complexité.
23:38On évoquait la question
23:41de l'investissement nécessaire.
23:43Quand on est du côté
23:44de la fourniture,
23:46du service sécurisé,
23:49ça veut dire qu'il faut aussi
23:50mettre beaucoup d'investissement ?
23:52Oui, tout à fait.
23:53Que ce soit un investissement financier,
23:55déjà, un, au-delà de ça,
23:56c'est bien choisir ses partenaires.
23:58Je pense que c'est essentiel.
24:00Deux, c'est les contrôler
24:03et les maîtriser, bien évidemment.
24:05Et ensuite, effectivement,
24:05on parlait d'investissement,
24:06mais c'est investir dans ses partenaires
24:08et investir également dans l'humain
24:10qui est au sein de la société
24:12pour pouvoir, au bout du compte,
24:14capitaliser là-dessus
24:15et d'arriver à avoir
24:16un niveau d'excellence
24:17en termes de fonctionnalité,
24:19mais également conjointement
24:20en termes de sécurité.
24:21Pour moi, c'est lié.
24:22Et donc, on vend de la sécurité
24:23chez Interstice.
24:25Et donc, c'est d'arriver
24:26à avoir un haut niveau d'exigence
24:27à ce niveau-là.
24:28Et donc, forcément,
24:29ça part par de l'investissement.
24:32Pour faire simple,
24:33nous, on ne travaille que
24:34avec du Secnum Cloud,
24:35qui est toujours appelé
24:35une certification délivrée
24:36par l'ANSIC,
24:37un des plus hauts au niveau
24:37en France,
24:38eh bien, c'est 20% plus cher
24:40en termes d'hébergement
24:41qu'un hébergement standard
24:44que dans d'autres cloud providers.
24:45Donc, c'est un vrai investissement.
24:47Mais...
24:47Être sur une technologie souveraine,
24:49ça coûte plus cher ?
24:51Souveraine et sécurisée.
24:53Donc, oui,
24:53ça coûte plus cher,
24:54mais la sécurité a un coût.
24:55On l'a dit tout à l'heure.
24:56Maintenant, pour moi,
24:58on est dans un monde
24:59où il n'y a plus de questions
25:01à avoir là-dessus.
25:01Bien évidemment,
25:02il y a des réflexions,
25:03il ne faut pas y aller
25:03n'importe comment,
25:04mais la sécurité doit être
25:06prise en compte
25:06et elle a un coût.
25:07Oui, c'est vrai,
25:09qui n'est pas neutre,
25:10loin de là,
25:11mais elle est essentielle.
25:12Sinon, on ne pourra pas
25:13te faire de cyber,
25:13ça c'est sûr.
25:14Oui, mais bon,
25:15c'est moins facile
25:16à vendre une solution
25:17onéreuse
25:18parce que les budgets
25:20sont contraints.
25:22Comment est-ce que
25:24les collectivités
25:25peuvent accompagner
25:27justement
25:27les universités,
25:30les hôpitaux
25:31à bien s'équiper,
25:32trouver les bonnes solutions,
25:33trouver le juste budget ?
25:36Les collectivités,
25:37elles accompagnent
25:37globalement
25:38tous les acteurs économiques,
25:40tous les acteurs institutionnels
25:42qui sont sur leur territoire.
25:44C'est ce que nous faisons
25:44à la communauté urbaine.
25:46L'université,
25:47on a des relations permanentes
25:49avec le président Vincent Thomas,
25:53avec ses équipes,
25:54ses vice-présidents,
25:56et nous sommes là
25:57pour justement
25:59les aider
26:00en cas de besoin,
26:02bien entendu,
26:03avec nos propres ressources,
26:05comme ils peuvent nous aider
26:06avec leurs ressources également.
26:09Et donc,
26:09c'est ce travail partenarial
26:11qui fait qu'on arrive
26:12à accompagner
26:13sur l'ensemble
26:15du développement,
26:16soit d'une entreprise,
26:17soit d'une institution.
26:19C'est notre rôle
26:20en tant que collectivité.
26:21En tout cas,
26:22c'est comme ça
26:22que nous avons voulu
26:24le faire ici.
26:25C'est ce qu'on appelle
26:25l'accompagnement 360
26:26sur tous les étages
26:29du développement.
26:31Et je ne dis pas
26:32qu'on arrive à tout faire,
26:34mais en tout cas,
26:35rien que le fait
26:35d'être aux côtés
26:37des acteurs,
26:38c'est déjà pour eux
26:39un soutien.
26:41Et puis,
26:42quand on parle de coût,
26:43parce qu'effectivement,
26:44ça coûte,
26:45ça nous coûte
26:45à toutes et à tous,
26:46mais quand on n'a pas
26:47le choix,
26:47de toute façon,
26:48il ne faut pas réfléchir
26:49parce qu'on n'a pas le choix.
26:50Vous savez,
26:51dans une entreprise,
26:52aujourd'hui,
26:52un chef d'entreprise,
26:53si je parle ici
26:54des entreprises
26:55sur notre territoire,
26:57les plus importantes,
26:58les chefs d'entreprise
26:59sont d'abord jugés
27:00sur la sécurité
27:00avant même
27:01le chiffre d'affaires.
27:03C'est-à-dire
27:03un chef de site
27:05dans une industrie
27:06où il y a
27:0715 accidents de travail
27:09dans l'année,
27:10il ne restera pas,
27:11même si le chiffre d'affaires
27:12est bon.
27:12je pense
27:14que ça sera
27:14de plus en plus
27:15comme ça
27:15et y compris
27:16sur les aspects
27:16cybersécurité,
27:17nous serons jugés,
27:19je parle des entreprises
27:19mais des collectivités
27:21également,
27:22sur les aspects
27:22de sécurité.
27:23Parce que c'est
27:24le sujet de la confiance
27:25qui se retrouve
27:26au cœur de tout ça.
27:27Si vous aviez
27:28un conseil
27:29peut-être
27:30à partager
27:31avec une organisation
27:32qui cherche
27:32à mieux se protéger
27:34aujourd'hui ?
27:36Juste deux mots,
27:37culture et résilience.
27:38Culture,
27:39c'est de se dire
27:39que la sécurité cyber
27:41c'est comme la sécurité
27:42des personnes,
27:42c'est une question
27:43de culture.
27:44Donc ça,
27:44ce n'est pas quelque chose
27:45qu'il faut laisser
27:45entre les mains
27:46d'un responsable cyber,
27:47c'est une question
27:47de culture.
27:48Et résilience,
27:49même si on est
27:50le meilleur au monde,
27:51il y aura forcément
27:52un jour où il y aura
27:52une attaque,
27:53donc il faut être prêt
27:53à réagir vite
27:54et à la stopper
27:55le plus vite possible.
27:56S'entraîner donc,
27:58il faut s'entraîner,
27:58faire des exercices cyber.
28:01Un conseil,
28:02juste rapidement ?
28:03Si j'avais un conseil,
28:04ce serait de se faire
28:05accompagner,
28:06de se faire aider,
28:08si possible des acteurs
28:09locaux tant qu'à faire,
28:10mais de bien se faire
28:11accompagner par rapport
28:13à ça,
28:13de bien découvrir ce monde
28:15si c'est un petit peu
28:16nouveau et de bien
28:18comprendre aussi,
28:19ça c'est très essentiel,
28:20c'est les enjeux.
28:21Quels sont les risques
28:22et les enjeux derrière ?
28:23Il faut démocratiser
28:25la sécurité.
28:27Elle est essentielle,
28:28il faut qu'elle devienne
28:28régulière.
28:29Ce n'est pas forcément
28:30quelque chose
28:30d'hyper contraignant,
28:31mais il faut que ça
28:34devienne normal
28:35et quotidien.
28:36Sans ça,
28:36ça va être compliqué.
28:38Un conseil pour vos pères ?
28:40Un conseil,
28:40je n'en sais rien,
28:41un mot anticipation,
28:43anticipé sur les problèmes
28:46qu'on peut imaginer
28:47à venir de cybersécurité.
28:49Il y a un mot
28:50qu'on n'a pas encore prononcé
28:50aujourd'hui,
28:51alors même qu'on le prononce
28:52à la longueur de journée,
28:53c'est l'intelligence artificielle
28:54et comment se mettre
28:55à l'intelligence artificielle
28:56dans des conditions
28:57de sécurité optimales,
28:59ce qui commence déjà
29:00à être un objet de réflexion
29:01dans mon université.
29:02On en parlait ce matin.
29:04David Marti,
29:04juste très rapidement.
29:06Très rapidement,
29:07je le dis,
29:08il faut parler,
29:10il faut dire,
29:13dénoncer,
29:14ne pas rester seul.
29:16Trop d'entreprises,
29:18voire de collectivités,
29:20quand elles sont attaquées,
29:21essayent de se débrouiller
29:22toutes seules,
29:23voire même de négocier
29:24avec les hackers.
29:25C'est la chose
29:26à ne pas faire,
29:26malheureusement,
29:28parce que ça dessert
29:28tout le monde.
29:29Et donc,
29:30dès qu'on est attaqués,
29:31il faut tout de suite le dire,
29:32s'adresser à des professionnels
29:34de manière à pouvoir
29:35agir assez vite.
29:37Merci beaucoup
29:37à tous
29:38de nous avoir éclairés.
29:40Merci d'avoir partagé
29:41aussi vos retours
29:42d'expérience.
29:43C'était Smartech,
29:44merci à vous
29:44de nous suivre
29:45sur la chaîne.
29:46Be smart for change.
29:47A très bientôt.
29:48Smartech
29:48vous a été présenté
29:49par le Forum
29:50Incyber Europe
29:51et la communauté urbaine
29:53du Creusot-Monceau,
29:54le territoire
29:54de tous les possibles.
Recommandations
28:27
|
À suivre
28:04
28:47
28:28
41:58
54:57
28:54
28:46
28:31
28:36
15:35
24:58
27:49
28:15
28:58
28:41
29:08
28:25
27:26
28:40
28:44
17:46
28:54
19:11
56:38