La directive NIS 2 est aux portes des ETI. Avec 18 secteurs d’activité concernés et une chaîne de responsabilité qui s’étend désormais aux sous-traitants, la cybersécurité change d’échelle. Si la France accuse un retard de transposition par rapport à ses voisins européens, l’Union Européenne accentue la pression. Pour décrypter cette mutation, le Club des ETI de Nouvelle-Aquitaine et et l’Université des ETI ont été reçus le 11 décembre par les équipes de Betclic pour un Défi dédié à la cybersécurité.
Xavier Guéry, Chief People Officer de Betclic, a parfaitement résumé en ouverture l’enjeu de nos transformations actuelles : « La question de notre évolution réside souvent dans ce qui n’est pas visible au départ. » Pour mettre en lumière des risques souvent impalpables, une table ronde a donné la parole à trois ETI déjà engagées dans des programmes cyber : FMS, Serma et Cheops Technology.
La nouvelle réalité de la menace : « On devient paranoïaque »
Les retours de FMS, qui a dû reconstruire sa stabilité après une cyber-attaque en 2020, et de Serma, sont unanimes : la menace s’est industrialisée et diversifiée (ingénierie sociale, demandes de transactions frauduleuses). Trois dimensions sont à prendre en compte.
- Le facteur humain et l’IA : L’IA permet désormais aux attaquants d’affiner leurs techniques, rendant le phishing (hameçonnage) redoutable de crédibilité. L’impact psychologique sur les équipes est réel, comme le souligne un intervenant :
« On devient paranoïaque quand on reçoit des mails légitimes, tant il y a de bonnes cyberattaques. »
- La fracture technologique : Morgan Brianto, Responsable GRC de Serma, a souligné ce point crucial pour nos industries. Les systèmes d’exploitation sont souvent anciens et impossibles à mettre à jour, créant des vulnérabilités structurelles. Par ailleurs, si l’informatique de gestion est aujourd’hui correctement protégée, l’informatique industrielle reste un « ventre mou ».
- Le défi de la croissance : Pour Tanguy Parton, DSI de FMS, une croissance rapide complexifie la gestion des accès (entrées/sorties de salariés par exemple). La solution passe par une sensibilisation constante et une solide communication interne pour expliquer les processus.
L’IA : une maturité technologique qui dépasse l’organisation
L’Intelligence Artificielle est perçue comme un vecteur incontournable de productivité, mais aussi de risque majeur, celui d’une « shadow IT » : malgré la mise en place de chartes IA, des collaborateurs peuvent continuer d’injecter des données sensibles dans des IA génératives publiques. Le risque de fuite de propriété intellectuelle est immédiat. Autre constat : Vincent Gagoyan, Practice leader Cybersécurité chez Cheops Technology, a relevé le décalage flagrant entre l’avancée de la technologie et la maturité des organisations. Si la curiosité est là, le niveau de maturité des entreprises reste faible et le sujet est parfois abordé comme un « fourre-tout ».
Alors quelle réponse stratégique ? Bloquer l’usage n’est pas une solution, au risque de tuer la productivité. Il faut en revanche structurer. FMS a ainsi lancé un projet IA interne pour encadrer les usages, tandis que Serma anticipe déjà le besoin futur d’IA défensives pour contrer les attaques générées par IA.
Gouvernance et normes, loin du « washing »
Face aux failles techniques, la gouvernance devient le meilleur rempart. Une idée forte a émergé des débats : si elles semblent contraignantes, certaines normes de sécurité permettent de pallier les défauts techniques par une bonne gouvernance.
L’exemple du parcours ISO 27001 mené chez FMS est structurant pour toute ETI souhaitant monter en gamme. Loin d’être un simple macaron commercial, « il a conduit à une restructuration profonde de l’organisation et une évolution de la maturité en interne », a relevé Tanguy Parton, DSI de FMS. Preuve de cette maturité, le Responsable Sécurité SI n’est plus rattaché à la DSI mais opère de manière neutre pour pouvoir challenger toutes les fonctions de l’entreprise.
A noter : si ISO 27001 permet de choisir un périmètre restreint pour commencer, elle constitue la meilleure préparation pour NIS 2, qui imposera une vision beaucoup plus large.
Souveraineté et Cloud Act : sortir de la naïveté
Sur la souveraineté numérique, le discours de Cheops Technology et de Serma a eu le mérite de la lucidité : la souveraineté à 100 % est impossible dans un monde interconnecté !
Par ailleurs, la gouvernance de la donnée prime tout. Avant de parler de souveraineté, il faut savoir où la donnée est stockée… une cartographie est indispensable ! La stratégie recommandée par Cheops Technology est de cibler ses actifs les plus sensibles pour concentrer les efforts de souveraineté sur ces derniers. De son côté, Serma pousse la logique jusqu’à développer des solutions internes pour ses besoins critiques afin de limiter la dépendance aux tiers…
Pour conclure, les participants ont rappelé que la cybersécurité doit quitter le seul bureau du technicien pour s’asseoir à la table du Comité de Direction. Quant à la question du budget, la réponse est pragmatique : « Le budget cyber est souvent un point sensible, mais le coût de ne pas le faire peut être plus important ! »
| Une offre d’accompagnement de la Région Nouvelle-Aquitaine avec l’ANSSI La Nouvelle-Aquitaine a été une des premières régions à rejoindre la plateforme officielle 17cyber.gouv.fr ! Un guichet unique de signalement et d’assistance aux victimes de cybermalveillance, ouvert 24h/24 et 7j/7, qui les oriente vers un service d’analyse et d’accompagnement technique. Il résulte d’un travail commun entre la Région, le Campus Cyber Nouvelle-Aquitaine et les services de l’Etat. Rendez-vous sur https://17cyber.gouv.fr/ |
| Atelier : Souveraineté de la data Les participants ont travaillé sur le cas pratique d’un directeur commercial export en mission de développement en Chine. En s’immergeant dans cette situation, ils ont dégagé des clés de compréhension de la souveraineté et du cadre législatif, listé les risques à chaque étape, et établi une feuille de route et des bonnes pratiques (protection du matériel, chiffrement des données et des échanges, utilisation de canaux sécurisés, VPN…). Merci aux partenaires de l’Université des ETI : Stéphane Caumont et Vincent Gagoyan (Cheops Technology), Lionel Lepouder (KSI Partner) et Christophe Sciascia (OnePoint) pour l’animation de l’atelier. |
| Atelier : Cloud et sécurité L’atelier a dressé un panorama du Cloud : concept, différents types, notations de Cloud de confiance, opportunités, freins et limites. Chacun a pu échanger ses questionnements et se situer dans son adoption et ses propres défis. Enfin, le groupe a défini ensemble les mesures à prendre en termes de cybersécurité. Merci aux partenaires de l’Université des ETI : Camille Carré-Ravel et Cristbel Gonzalez Rojas (Deloitte) et à Jérôme Castand (Deloitte) pour l’animation. |
| Atelier : Impact de l’IA Pour comprendre comment l’IA transforme le paysage de la cybersécurité, deux groupes ont travaillé l’un sur les stratégies d’attaque IA et l’autre sur les stratégies de défense IA via des exemples concrets. Un échange a permis ensuite de se défier en confrontant les différentes stratégies. De vrais exemples d’attaques utilisant l’IA ont ensuite été présentés. Merci aux partenaires de l’Université des ETI : Gaëtan Randrianasolo (Ecole 42 Angoulême), Romain Clair et Fabrice Vincent (Simplon) pour l’animation. |
Intéressés par les restitutions des ateliers et les accompagnements proposés par l’Université des ETI ? Contactez-nous !
