Le Défi Cybersécurité du 16 février dernier a été consacré à la proposition de loi européenne sur la cyber-résilience. Devant une trentaine de DSI et responsables cybersécurité d’entreprises du Club, dans les magnifiques locaux de Betclic, les équipes du Cyber Campus Nouvelle-Aquitaine et de SERMA ont décrypté les dernières annonces et les enjeux de ce nouveau cadre législatif qui concernera tous les équipements connectés.
Lionel Raffin, Vice-Président Transformation Digitale du Club, et Sandrine Arnaud, animatrice du Défi pour la Région, ont présenté ce nouveau rendez-vous dédié à la cybersécurité. « Le numérique est un levier puissant pour répondre à l’ensemble des transitions de demain, ont-ils rappelé. Mais il augmente la surface d’exposition de l’entreprise. »
Chez Betclic*, qui accueillait la rencontre, la menace est constante. « Les applis mobiles de paris sportifs sont un univers tentant pour les cyber criminels, a témoigné son CTO Benoît Merel, entre l’univers de l’argent et les données personnelles confiées par les joueurs. Nous sommes attaqués tous les jours ! » Les solutions mises en place reposent à la fois sur la sensibilisation des équipes et sur des mesures techniques : protection, monitoring, système d’alertes, security by design, solutions de backup, surveillance du darknet…
Le CRA décrypté par le Campus Cyber Nouvelle-Aquitaine
Philippe Steuer, Directeur adjoint du Campus Cyber Nouvelle-Aquitaine, alerte également : le coût mondial de la cybercriminalité a atteint un montant estimé à 5 500 milliards d’euros en 2021 et plus de 60% des victimes font faillite dans l’année qui suit une cyberattaque ayant détruit leurs données.
C’est pour répondre à cette menace que la Région a souhaité devenir un territoire de confiance numérique, mission menée par le Campus Cyber.
Philippe Steuer était accompagné de Pierre-Marie Madec de SERMA (adhérent du Club) ainsi que de partenaires du Campus membres du groupe de travail sur le sujet : Aurélia Bonneton (KYRON), Romain Allain (CYBER ICS) et Michael Grand (TrustnGo), pour une explication de texte de la future loi.
Qu’est-ce que le Cyber Resilience Act ?
Présenté le 15 septembre 2022, le CRA est un nouveau cadre au niveau européen, en cours de finalisation d’ici l’été 2023. Il n’existait pas de cadre uniformisé en Europe, contrairement à d’autres continents.
Il concernera tous les fabricants de matériel numérique et logiciels traitant des données et en particulier les objets connectés. Il répond aux constats du faible niveau de sécurité de certains produits vendus et du faible niveau d’information des utilisateurs. L’exemple est cité d’un aquarium connecté dans un casino à Las Vegas qui avait servi de porte d’entrée à des cyber criminels.
Quels sont les objectifs du CRA ?
- Améliorer la sécurité des objets et systèmes connectés depuis la conception jusqu’à la mise au rebut.
- Faciliter le respect des règles pour le producteur.
- Offrir plus de transparence sur l’utilisation des produits, les règles de sécurité.
- Permettre de sécuriser tout le cycle de vie des équipements.
Quels équipements sont concernés ?
Sont concernés, tous les équipements connectés de façon directe (réseau Internet) ou indirecte (ports USB) ainsi que les objets compagnons comme les applis mobiles. Sont exclus, les produits déjà couverts par d’autres réglementations (médical, militaire…). Les produits sensibles sont déjà largement sécurisés. Le CRA vise à uniformiser les produits « intermédiaires ».
Quelles seront les exigences ?
A minima, les fournisseurs concernés devront effectuer une analyse des risques. Celle-ci pourra être une auto-évaluation dans un premier temps, même si cette solution est jugée insuffisante.
Par ailleurs, ils seront invités à se certifier. Trois classes de priorités et deux niveaux d’exigences techniques et organisationnelles sont définis. En cas de non mise en conformité dans le délai imparti (un à deux ans), des amendes sont prévues pouvant s’élever à plusieurs millions d’euros.
Le Campus Cyber propose une aide aux entreprises
Les équipes du Campus Cyber sont à la disposition des dirigeants pour répondre à leurs questions et les accompagner. Des outils sont mis en place pour les aider à se mettre en conformité : un kit de sensibilisation et de pédagogie pour les entreprises et leurs personnels, et un kit de mise en conformité pour les guider dans les schémas de certification.
« Cette nouvelle loi présente des difficultés mais offre aussi des opportunités » ont remarqué les intervenants. L’apparition d’évaluations et de labels sécurité va créer de nouveaux atouts concurrentiels, une plus-value pour les marques, qui peut permettre de rentabiliser les investissements. « S’il s’agit de leur argent, les gens seront prêts à payer ! »
| *UN ACCUEIL DE PREMIERE DIVISION CHEZ BETCLIC Adhérent du Club, Betclic, leader du pari sportif en France, a investi un immeuble face à la Cité du Vin à Bordeaux pour accueillir son siège (550 employés, dont 350 ingénieurs, sur les 1000 de l’entreprise, le reste des équipes étant dispatché dans le monde entier). Le groupe qui franchira la barre du milliard d’euros de CA en 2023 « vend du divertissement » comme le décrit son fondateur et dirigeant Nicolas Béraud. Son objectif : construire la meilleure application de jeux ou paris pour ses clients. Le siège est à la hauteur des attentes des collaborateurs : espaces ouverts, lieux dédiés aux micro-réunions d’équipes, déco aux couleurs des sports couverts, télétravail de rigueur… De quoi attirer et fidéliser les meilleurs. Un grand merci à Nicolas Béraud et ses équipes pour leur accueil ! |
