Journaliste: bonjour bonjour à tous absolument ravi de vous retrouver pour cette nouvelle conférence organisée par le droit pour moi en partenariat avec le cabinet Derénic le cercle Montesquieu et Le Fèvre d’Alause qui nous accueille dans ces locaux et que nous remercions au passage une conférence intitulée cybersécurité et intelligence artificielle risque protection et conformité des sujets ô combien d’actualité pour les entreprises pour leurs services juridiques on va essayer d’être les plus concret possible donner des conseils pratiques à vous qui nous suivez en ligne vous pouvez d’ailleurs poser vos questions dès maintenant en cliquant en bas de la page de présentation et je poserai ces questions à nos invités nos six spécialistes que je présente immédiatement d’abord Valérie Valais bonjour bonjour vice-présidente du groupe Lacroix un groupe qui conçoit et qui fabrique des équipements électroniques des solutions IoT industriel bonjour également à Yrieix Denis bonjour consultant
Yrieix Denis: en cybersécurité vous avez travaillé à la sous-direction stratégie à l’ANSSI l’Agence nationale de la sécurité des systèmes d’information bonjour à présent à Nicolas Reymond bonjour Bruno le secteur bancaire la BRED directeur des risques data IA c’est le groupe BPCE bien sûr Sophie Duperray bonjour bonjour avocat of counsel au cabinet Derénic les nouvelles technologies n’ont absolument aucun secret pour vous bien sûr et toutes leurs applications juridiques c’est pour ça que vous êtes ici Dr Paul Théron bonjour bonjour Bron ancien expert auprès de l’Union européenne et de l’OTAN ancien titulaire de la chaire cyber résilience de l’armée de l’air et de l’espace une expérience solide donc dans ces domaines du cyber et de l’IA et enfin bonjour à Jean-François Faye bonjour directeur informatique chez April courtier en assurance c’est le numéro 2 français c’est ça exactement basé à Lyon ce sera une discussion en quatre temps nous sommes ensemble pour environ 1h et dem peut-être quelques minutes
Journaliste: de plus nous ferons le point d’abord sur les cadres juridiques existants nous verrons comment on peut se protéger aujourd’hui dans ces domaines de la cybersécurité et de l’intelligence artificielle nous verrons ensuite comment l’IA peut elle-même nous aider à notre cybersécurité et puis enfin pas mal de conseils quelles actions mettre en place concrètement en amont d’une éventuelle cyberattaque pendant une cyberattaque et puis bien sûr à l’issue de de ces de ces attaques on on va commencer tout de suite par le premier point on va débroussailler un peu parmi toutes ces réglementations IA Act NIS 2 le RGPD la réglementation DORA allez on va essayer d’être synthétique Sophie Duperray mais quand même ce qu’il faut savoir aujourd’hui de ces réglementations et et des nouveautés surtout c’est ça qui nous intéresse.
Sophie Duperray: Totalement alors je vais vous faire un petit panorama relativement bref parce qu’effectivement je pense que tout le monde a conscience à la fois de la complexité de la réglementation et puis de cet empilement de normes puisqu’on a beaucoup de choses qui sont entrées en vigueur au cours des dernières années et notamment au plan européen donc à la fois au travers de règlement de directives mais aussi d’actes d’exécution. Alors peut-être commençons par l’intelligence artificielle les choses sont un petit peu plus concentrées on va dire. Donc nous avons ce fameux règlement sur l’intelligence artificielle du 13 juin 2024 qui a commencé à entrer en vigueur. On a première des premières obligations qui sont en vigueur depuis le début de l’année et donc ce règlement a vocation à promouvoir une approche par des risques en régulant les systèmes d’intelligence artificielle et les modèles d’intelligence artificielle à usage général en promouvant des obligations qui sont différentes côté fournisseur et côté déployeur donc entreprise utilisant les systèmes et des obligations qui sont assez variées qui vont de l’obligation de formation à des mises en conformité un peu plus un peu plus larges. Donc on peut dire qu’on a affiné la réglementation on a créé une réglementation complètement dédiée au systèmes d’intelligence artificielle qui vient se superposer à la réglementation existante droit d’auteur secret des affaires et cetera. Donc c’est vraiment une surcouche qui va viser en priorité les systèmes qu’on va considérer comme étant particulièrement à risque susceptible de porter atteinte à la sécurité à la santé des personnes ou aux valeurs de la démocratie et c’est vraiment cette approche-là que l’Union européenne souhaite souhaite promouvoir au niveau enfin mondial. Peut-être sur les points d’actualité donc on a ce fameux règlement qui a commencé à entrer en vigueur qui est d’une complexité inouie et je pense que tout le monde est est d’accord là-dessus. Où en est-on en pratique puisqu’on a quand même besoin d’un certain nombre d’éclairages pratiques d’actes d’exécution et cetera combien même on est sur un règlement européen donc qui nécessite pas de transposition locale. On a des lignes directrices qui sont d’ores et déjà édictées et qui ont été publiées en février 2024 pour savoir qu’est-ce qu’un système d’intelligence artificielle c’est quand même le point de départ et puis pour identifier qu’est-ce que Unia interdite en venant un petit peu préciser concrètement ce qu’il en est dans les dans les principales catégories. Ça reste des premières lignes directrices qui sont partielles on en attend d’autres voilà. On a des choses quand même qui commencent à rentrer en vigueur et puis on a aussi peut-être un point d’attention en tête une des premières obligations déjà entrée en vigueur c’est l’obligation de formation d’acculturation de son personnel justement aux enjeux de l’intelligence artificielle et ça ça concerne tout un chacun fournisseur comme déployeur. On restait un petit peu dans l’expectative de que former comment former ce sur quoi doit porter la formation et là on a eu des éclairages au travers d’une d’une FAQ qui a été publiée par la Commission européenne le 7 mai.
Journaliste: On va on va détailler tout ça avec nos autres invités ça c’était spécifiquement pour pour l’IA après les autres principales réglementations en quelques mots encore?
Sophie Duperray: Alors en terme de cybersécurité pour le coup donc on avait déjà beaucoup de choses d’un point de vue franco-français qui venaient un peu réguler le type de juridiction spécialisée le les cyber la cybercriminalité au sens pénal tout ce qui concernait le volet cyberassurance. Là depuis 2 3 ans on commence à voir émerger donc de nombreuses réglementations. L’Union européenne a privilégié une approche sectorielle ce qui rend les choses un petit peu compliquées. On a donc en premier lieu DORA qui vient réguler donc toute la cyberrésilience sur le secteur financier assurantiel ça c’est un premier point à avoir en tête déjà entré en vigueur le 17 janvier 2025. Donc là on est vraiment dans un chantier de mise en conformité lancé et déjà largement effectif qu’on peut qu’on peut traduire au quotidien pour le secteur banque assurance. Pour les autres secteurs on va notamment avoir en en réglementation et je vais pas tout les citer parce qu’il y en a trop mais NIS 2 clairement est un point d’attention fort en terme d’entité puisqu’on est sur 15000 entités françaises qui sont d’ores et déjà concernées donc clairement en direct et de manière indirecte on aura aussi toutes leurs chaînes de sous-traitant. NIS 2 ça vient concerner majoritairement 18 secteurs qu’on va considérer comme critique hautement critique ça peut être la santé ça peut être l’énergie les secteurs notamment informatiques en l’occurrence. Donc on a des obligations de sécurité qui sont fortes qui sont posées et qui vont concerner donc des entités qu’on considère essentielles ou importantes avec des seuils on pourra y revenir. NIS 2 en l’occurrence n’est pas encore transposé et ça c’est un vrai sujet d’attention c’est que quand bien même la directive devait être transposée avant le 17 octobre ce n’est toujours pas le cas aujourd’hui. Donc on a eu un premier projet de loi qui a été adopté en première lecture par l’Assemblée nationale en mars actuellement en discussion devant le Sénat en Commission clairement on est sur un retard très notable à tel point que les autorités européennes ont mis en demeure la France et un certain nombre d’États au mois de mai pour justement en joindre à cette adoption sous deux mois.
Journaliste: Alors on commence déjà à voir les les quelques imperfections on va dire ou les ou les les problématiques Dr Paul Théron quelques commentaires peut-être pas sur sur chacun de ces textes mais enfin en tout cas sur sur effectivement la les problématiques derrière derrière ces ces textes face à l’IA et face à la cybersécurité alors les disons les imprécisions qui peuvent se traduire par des problèmes après sur le terrain sont relativement nombreuse.
Dr Paul Théron: Un texte comme l’IA Act NIS 2 et cetera est d’une volonté je dirais de transformation à long terme. Bon si si on regarde le texte concrètement vous voyez que la notion de certification de la fiabilité des système d’IA est incluse dans le texte du du règlement sur l’IA. Bon la certification c’est un problème très compliqué. Vous savez aujourd’hui pour certifier un téléphone du point de vue de la cyber il faut un temps notable. Ça c’est en semaine en mois un système un peu compliqué c’est peut-être en année. Donc certifier tous les systèmes d’IA pour leur fiabilité va être un problème gigantesque c’est vraiment colossal. L’évaluation des risques quelle est la méthode? Comment va-t-on faire? Qui va le faire? Quand? Quand vous considérez l’évaluation des risques en matière de cyber vous adressez un problème qui est d’une complexité aujourd’hui de plus en plus grande d’un point de vue technique pour faire l’évaluation du risque. Qu’en est-il avec l’IA? L’IA dont un certain nombre de moteurs si on peut dire fonctionne sans qu’on sache trop comment. Donc voyez enfin pour faire de l’évaluation de de risque on a je dirais des difficultés et par conséquent il y a un besoin de normes de méthodes de de cadres qui précisent ces choses-là et qui qui fassent que d’un état membre à l’autre d’un opérateur à l’autre on travaille à peu près de façon similaire enfin en tout cas avec une une possibilité de reconnaître les résultats des évaluations comme étant fiable juste véridique enfin.
Journaliste: Et puis et puis là vous parlez à l’échelle de l’Union européenne mais…
Dr Paul Théron: Oui exactement mais les ces questions-là elles se posent à des niveaux bien bien plus importants en en en parlant simplement de de l’OTAN l’Alliance atlantique. Voilà on a des des pays qui qui viennent d’ailleurs tout le monde voilà tout le monde tout le monde est concerné. J’ai j’ai été à l’origine de du texte de du Cyber Acte de 2019 sur la certification quand quand la la DG Connect a repris les les travaux qu’on avait fait dans notre groupe d’experts ils ont fait un texte qui est très très bien mais quand vous réfléchissez à ce que ça signifie je reprends à dessin le thème de la certification parce que il est présent là avec l’IA vous avez dans le futur internet des objets des milliards d’objets qui vont être connectés. Ça veut dire au moins des millions de types d’objets à certifier. Et c’est ça le sens des règlement européens ou des directives européennes c’est pousser les gens à aller vers le mieux. Donc ça veut dire que on va obliger à la certification mais ça veut dire combien de personnes sur terre vont-elles devoir travailler à faire de la certification? C’est un c’est une tâche tellement immense ça veut donc dire qu’il faut inventer aussi des nouvelles méthodes il n’y a pas que des standards il n’y a pas que des complément d’instruction il y a des développements à réaliser derrière la production de ces textes réglementaires directives en tout genre et cetera. C’est c’est le début d’une très longue histoire sera très compliqué et on verra tout à l’heure si si l’IA justement peut nous aider dans ces domaines.
Journaliste: L’internet des objets c’est votre domaine Valérie Valais au sein du groupe Lacroix on va essayer d’être pas trop anxiogène quand même hein malgré toutes ces difficultés quelles sont les attentes des entreprises par rapport à à l’évolution de cette réglementation extrêmement touffue on l’a dit et parfois imparfaite?
Valérie Valais: Je dirais que enfin les entreprises et les juristes en particulier en entreprise ont ont une tâche phénoménale puisque on doit faire face à une enfin ça a été dit un nombre de textes assez conséquents qui sont en effet parfois complexes notamment le règlement IA. Donc ça ça demande beaucoup de travail de notre part. Nos attentes c’est bah sans doute une réglementation qui soit plus justement clarifiée avec les lignes directrices les actes délégués qu’on attend sur pas mal de sujets notamment sur l’IA Acte qui qui aident les entreprises à mieux comprendre les tenants et aboutissant des réglementations et je pense que c’est fondamental pour des groupes qui ne sont pas très importants et puis on peut même aller jusqu’aux PME qui qui elles doivent souffrir énormément face à à ces textes qui sont qui sont oui difficiles à appréhender. Et en outre même si nous on les appréhende dans nos groupes on peut être face à des prestataires ou des fournisseurs qui eux-mêmes n’ont pas connaissance de ces textes ou ne les ont pas bien appréhendés.
Journaliste: Aujourd’hui c’est encore compliqué en fait de de mettre tout ça en en pratique?
Valérie Valais: On essaie de par exemple si je reprends l’IA Acte on essaie dans nos contrats d’ores et déjà de tenir évidemment compte de cette réglementation et de définir les rôles et les obligations de de chaque partie selon qu’il est fournisseur distributeur utilisateur et cetera mais ça reste quand même très complexe.
Journaliste: Au sein du groupe Lacroix l’usage de l’IA est totalement démocratisé à tous les étages dans tous les services vous diriez qu’il a eu il y a eu une progression très nette là ces derniers mois en interne vous voulez dire du coup?
Valérie Valais: Démocratisé je ne sais pas. En fait on est comme toutes les entreprises c’est-à-dire que enfin les les collaborateurs utilisent l’IA. Ce qui est important c’est quand on utilise une IA en interne c’est de d’avoir conscience que l’IA elle va se générer enfin elle va elle va se développer grâce aux données qu’on lui apporte et donc toute la difficulté c’est finalement de former et de faire comprendre à nos collaborateurs que il était important de ne pas mettre des données confidentielles des données des données sensibles sur sur l’IA pour que ce soit même dans les dans les prompts en fait hein que que l’on fait puisqu’on sait que l’IA se nourrit de cela. Donc chez Lacroix comme ailleurs en fait le le comment dire la priorité c’est de renforcer la gouvernance des données de de s’assurer que les donc les collaborateurs aient compris et compris ce que ce qu’il en était de faire en sorte de de mettre en place une charte interne de l’utilisation de l’IA et parce que on sait aussi que certaines personnes se restreignent à utiliser l’IA parce qu’on peur de cela. Donc si on cloisonne éventuellement avec un IA interne par exemple une IA interne pardon on peut aussi sécuriser un peu mieux les choses.
Journaliste: On poursuit notre panorama après la défense après l’internet des objets on va dans le secteur bancaire avec vous Nicolas Reymond comment vous réagissez à ce que vous venez d’entendre d’un point de vue d’un point de vue légal hein d’un point de vue réglementation? Est-ce que un assouplissement des règles une simplification des règles est nécessaire?
Nicolas Reymond: Alors on entend effectivement beaucoup en ce moment parler de simplification de de dans tout un tas de réglementations. On a beaucoup parlé ces dernières semaines de simplification du RGPD. Bon les projets qui sont en cours sont pas tant de simplification que que de l’affichage orienté vers vers une certaine catégorie d’entreprises les plus petites en l’occurrence mais on voit quand même qu’il y a un mouvement de demande de simplification dans la réglementation et on a un petit peu la enfin moi j’ai un petit peu la crainte que par rapport à tout ce qu’on attend de clarification vis-à-vis de la déclinaison de l’IA bah ça ralentisse justement ce processus puisque on l’a dit he on a on attend des normes on attend des lignes directrices et on a déjà du retard dans un certain nombre de domaines par rapport à ça parce que justement on souhaite malgré tout essayer de simplifier et bah du coup on a besoin vraiment de de visibilité par rapport à par rapport à tout ça pour le mettre en œuvre parce que l’IA on l’utilise aujourd’hui et on a besoin de l’encadrer dès aujourd’hui sans attendre encore des des mois et des années des clarifications. Donc ça c’est un premier premier élément. Après je rebondis sur ce que disait Dr Paul Théron sur on est au début euh 1978 la protection des données ça fait 50 ans bientôt on voit que la maturité commence à s’être un petit peu améliorée depuis quelques années grâce au RGPD mais l’IA c’est vraiment le tout début effectivement et on a un besoin de clarification mais aussi de maturité de tous les acteurs que ce soit les fournisseurs les déployeurs effectivement définir déjà ce que ce qu’est ce qu’est ce qu’IA existe ce qu’IA et et et bien comprendre cette histoire de rôle des acteurs. On s’est bagarré avec nos fournisseurs pendant des années en 2018 pour définir ce que c’était qu’un sous-traitant. Je pense qu’avec l’IA on a encore de beaux jours devant nous pour le rôle des différents les différents rôles définis dans le règlement effectivement.
Journaliste: Alors on a déjà quelques questions qui nous qui nous sont parvenues de de personnes qui effectivement suivent cette conférence. Une question sur les droits d’auteur c’est c’est vous qui l’évoquiez tout à l’heure Sophie Duperray l’IA Act prévoit-il des mécanismes pour préserver les droits d’auteur? Comment concilier la protection des données personnelles avec l’essort de l’intelligence artificielle?
Sophie Duperray: Alors l’IA Acte ne prévoit pas directement de mécanisme de protection du droit d’auteur on est vraiment sur une réglementation de conformité produite. Les deux seuls éléments qui enfin qui figurent dans le dans la réglementation concernent vraiment les modèles d’IA usage général donc ça va concerner majoritairement les IA génératives pour imposer aux fournisseurs une transparence des sources et également la prise en compte justement de mécanismes de protection des droits d’auteur. On reste sur deux principes généraux de mise en conformité mais qui ne sont pas du tout déclinés à date. Point d’attention à avoir côté justement fournisseur de ces modèles l’adhésion à des codes de bonne conduite suppose enfin permet une présomption de conformité à la réglementation. Ce code là il est en discussion aujourd’hui il est comme tout le reste en retard. Normalement il devait être publié et adopté en mai pour une entrée en vigueur donc des dispositions en août. On est toujours on a toujours pas d’adoption et surtout la dernière version qui a été publiée semble démontrer un petit recul donc une transparence limitée des sources où on rentre relativement peu dans le détail et également davantage d’obligation on va dire de moyens sur le respect des droits d’auteur ce qui fait que aujourd’hui on a quand même toute une série d’associations d’auteurs qui ont fait des appels pour revenir en fait sur sur le contenu de ce code. Le Sénat français a également publié une opinion politique au mois de mai vraiment appelant les autorités européennes à ne pas adopter le code en l’état puisque ça entraînait finalement un retour en arrière et des risques en terme de protection des droits d’auteur. Donc ce sujet-là est clairement discuté c’est sur la table.
Journaliste: Autre question Yrieix Denis de quelle manière l’extension des obligations de cybersécurité aux prestataires dans le cadre de NIS 2 dans le cadre de la directive NIS 2 influence-t-elle les relations avec les entités soumises? Pas une question très simple.
Yrieix Denis: Non il y a beaucoup il y a beaucoup de mots et beaucoup et beaucoup de concepts mais pour y répondre Jacques si je rebondis un peu tout ce qui a été dit. Moi j’aurai une démarche qui va vous surprendre mais qui sera l’inverse de la démarche de conformité. Donc NIS 2 m’arrive dessus je vais pas avoir une démarche de conformité du tout. Il faut que je comprenne d’abord pourquoi est-ce que on a écrit ces textes de loi? C’est pour se protéger. Donc mon principal objectif c’est de me protéger. On parle du RGPD c’est un texte qui est très long il faut faire 2 3 ans de master pour le maîtriser. On peut se concentrer sur l’article 32 c’est l’obligation de de sécurité qui est doit être à la mesure du risque encouru. Donc on doit se poser des questions très simples c’est quel est mon risque? Il y a plusieurs façons de le faire. Mon risque je peux le connaître avec mon un audit d’exposition externe. Qu’est-ce qu’on peut savoir en un quart d’heure sur mon dirigeant et mon COMEX? En combien de temps je trouve son numéro de téléphone sur Darknet son adresse personnelle et d’autres éléments qui pourraient me permettre de faire de l’usurpation d’entité. Deuxième question que je me pose c’est quel est mon historique des attaques? Alors les quand on discute avec un dirigeant d’entreprise ou un DSI ou des employés on se rend compte que il y a des tentatives régulières de fraude au président. La stagiaire vient d’arriver et puis elle reçoit un mail très bien écrit de la part de son patron. Alors soit le mail a été carrément usurpé parce que des configurations du DNS ont été mal faites ou oublié soit c’est un mail qui est très proche et souvent le soit le stagiaire va obéir à l’ordre qu’il lui est donné qui peut être très variable selon les cas soit il va se méfier. En tout cas vous avez toute une accumulation d’entreprise à 5 10 15 ans vous avez en fait un historique très long. Moi j’avais le cas assez amusant d’un dirigeant qui ne savait pas qu’il avait eu un un ransomware 7 ans avant son arrivée en poste et c’est le DSI qui était la mémoire de la boîte qu’il savait. Donc on commence par son historique son exposition externe et après on se pose la question qui m’en veut? Qui veut détruire mon entreprise me voler mon idée mais mon idée ma propriété intellectuelle? Qui veut exfiltrer les mails de mon COMEX par exemple? Et alors là effectivement c’est toute une acculturation qu’il faut se faire parce que les entreprises en ont pas l’habitude mais 90 % des services de renseignement étrangers font du renseignement d’affaires et ils ont 100 200 300 400 500 personnes qui passent leur journée sur LinkedIn à se dire quelle boîte on va aller attaquer pour plein d’objectifs différents. Et puis vous avez aussi les groupes privés vous avez près de 1000 groupes privés 1500 si on écoute Microsoft qui qui rassemble entre 5 10 15 20 personnes 100 pour certaines aussi et donc tous ces groupes là pèsent sur moi et il faut savoir pourquoi et dans quel cas. Donc je suis dans le secteur bancaire j’ai beaucoup plus de menaces que si je suis dans le secteur des mettons de du retail et pourtant dans retail aussi je vais être attaqué parce que on peut ne même pas vouloir me cibler mais comme on achète des mails sur le Darknet en masse pour après les les attaquer de manière opportuniste je suis même attaqué par des grands groupes sans être une banque finalement. Donc je partirai comme ça. Donc qu’est-ce qui va poser sur moi lorsque je suis désigné comme NIS 2? Beaucoup de problèmes. Donc pour commencer par les premiers c’est sans servir pour se sécuriser. Donc la réponse est est oui il y a bien des des obligations et ça et ça a des conséquences effectivement sur les partenaires.
Journaliste: Peut-être un commentaire sur tout ce qui vient d’être dit Jean-François Faye avant qu’on passe justement à la à la deuxième partie de notre discussion sur sur les les façons de se protéger dans ce domaine de la cybersécurité et de l’intelligence artificielle.
Jean-François Faye: Donc on voit effectivement que le cadre réglementaire il est à la fois assez ancien sur certains aspects et et très nouveau sur d’autres et que donc forcément le le temps de se l’approprier et de passer j’ai envie de dire de la théorie à la pratique dans l’entreprise bah il y a un peu de un peu de travail à faire et ça va prendre un petit peu de temps. La difficulté c’est que comme ça a été dit à l’instant les groupes d’attaque eux ne prennent pas de pause et nous donent pas forcément ce ce temps-là. Donc il faut maîtriser le facteur temps aller vite. Il y a une dimension technologique dont on parlera j’imagine dans quelques instants qui est aussi importante à prendre en compte à la fois sur l’aspect des textes mais aussi encore une fois dans dans la pratique. Et puis il y a un certain nombre de réponses qui peuvent être apportées on en parlera aussi pour à la fois essayer de se conformer aux exigences réglementaires mais surtout essayer de protéger nos entreprises parce que au-delà de l’obligation réglementaire j’ai envie de dire que notre première obligation c’est d’assurer la pérennité de nos entreprises et là aussi il y a beaucoup à dire et beaucoup de travail tant du côté des pouvoirs publics pour accompagner les petites entreprises qui ont moins de moyens de se protéger que pour diriger les efforts des des grandes entreprises parce qu’effectivement les menaces sont tellement plurielles que on peut se perdre là aussi dans les les travaux pour essayer d’y répondre.
Journaliste: Alors on va maintenant essayer de voir effectivement comment les entreprises le secteur privé au-delà de toute cette réglementation peut se protéger lui-même se prémunir des risques réagir après une cyberattaque et même avant une cyberattaque c’est c’est ça aussi l’idée Yrieix Denis parlez-nous de ce concept d’hygiène numérique.
Yrieix Denis: C’est un concept qui est assez ancien et qui a été repris par l’ANSSI en 2017. En fait la plupart des services qui étaient en charge de la remédiation de l’intervention sur des incidents s’est rendu compte que dans 3/4 des cas et le privé le confirme largement l’origine des attaques enfin la ce qui a permis que les attaques réussissent ce sont des oublis dans les mesures de base. Ces mesures de base elles sont quand même assez nombreuses. On a recensé 42 principes 42 mesures vous en avez deux trois à l’intérieur donc ça fait une centaine de mesures mais ça donne un cadre très lisible et c’est vrai que lorsque j’interviens chez un client en général les 3/4 des problèmes se situent dans ces 42 mesures qui sont soit mal comprises soit appliquées mais pas de manière intégrale soit tout simplement oubliées ou inconnues. Donc l’hygiène numérique c’est en fait si on prend le RGPD ce serait c’est quelque chose de majeur ça serait un peu un régime. Le RGPD comment est-ce que je fais pour ne pas prendre trop de données et quand j’en ai j’en ai besoin prendre le minimum et les protéger? Et puis l’hygiène numérique serait plutôt un programme de musculation. C’est une fois que j’ai des données je dois les protéger. Donc je j’ai un programme en 42 42 types d’exercices physiques on va dire qu’il faut que j’adresse pour avoir une entreprise ou un groupe une organisation qui soit résiliente et ben moi j’invite vraiment les auditeurs à aller regarder ce guide d’hygiène numérique de l’ANSSI de 2017. Il vous permettent de mettre des choses très concrètes et du coup de nourrir votre engagement pour votre besoin de conformité avec des choses concrètes à mettre en face finalement. Et la première mesure elle est très simple elle peut être surprenante mais c’est former la DSI former les administrateurs réseaux parce qu’en fait on a on pense que les informaticiens leur cœur de métier c’est la sécurité c’est absolument faux. Le cœur du métier de l’informaticien c’est un métier qui est extrêmement complexe qui est une science un peu trop méprisée en France d’ailleurs parce qu’il y a il semble qu’il y a pas d’agrégation en informatique en France qui est un peu curieux mais en tout cas où il n’y avait pas pendant très longtemps. C’est un métier qui est très complexe et la sécurité c’est autre chose pour ça que le RSSI est différent du DSI. Et donc cette première mesure c’est de voir est-ce que ceux qui sont en charge de l’informatique connaissent ces fondements et après vous avez les 42 autres que je vous listerai avec grand plaisir.
Journaliste: Pas une autre fois peut-être Yrieix Denis ce ce manque de stratégie hein que que l’on peut évoquer Dr Paul Théron ce manque parfois de vision globale qu’on évoquait à l’instant dans les entreprises il y a des trous dans la raquette oui un un manque de de personnel dédié des un sous enfin en tout cas ce sujet sous-staffé dans dans les entreprises?
Dr Paul Théron: Alors les trous dans la raquette sont très nombreux en fait j’allais dire qu’il y a un immense trou dans la raquette peut-être même pas de cordage du tout l’époque de Roland Garros ça tombe bien. Bon le le premier et ça a été constaté par des études je pense une étude en particulier de 2019 en Grande-Bretagne les conseils d’administration pour commencer par le haut sont très peu intéressés par la cyber. L’étude en question commanditée par le gouvernement britannique montrait que seulement un tiers des entreprises de toutes les tailles et de tous les secteurs un tiers seulement des entreprises avait un membre du conseil d’administration qui s’intéressait à la cyber ça commence donc très mal et quand il regardait dans cette même étude le domaine des télécoms informatiques une entreprise sur deux seulement avait une personne membre du conseil d’administration s’intéressant à la cyber. Donc ça commence mal. Ensuite une étude de Cisco de 2019 aussi mais on a des études plus récentes de KPMG Splunk et cetera montrait que une alerte cyber sur deux ne faisait l’objet d’aucun traitement. Donc imaginez qu’on joue au loto avec une chance sur deux de gagner nous ne serions pas ici nous serions tous millionnaires et richissimes. Bon donc si vous voulez il faut comprendre que oui il y a un manque d’appétit pour ce sujet qui n’intéresse pas beaucoup les conseils d’administration il faut le dire. Il y a des difficultés pratiques qui tiennent au manque de personnel au manque de compétences qui tiennent aussi à la complexité de l’outillage cyber. La récente étude de Splunk dont le rapport a été publié il y a quelques quelques jours montre que un très grand nombre de spécialistes cyber qui travaillent dans ce qu’on appelle les centres d’opération de sécurité les les SOCs considèrent que l’outillage est tellement complexe que c’est difficile de traiter les alertes. Ces outils sont hétérogènes il y a des silos. Donc il y a des problèmes d’organisation des problèmes de management des problèmes d’outillage des problèmes de normes enfin tous les problèmes se cumulent et on imagine que l’IA se rajoutant à la cyber le problème ne va faire que s’amplifier d’une manière terrible. Donc aujourd’hui on a intérêt à avoir une gouvernance conjointe et de la cyber et de l’IA parce que les deux sujets convergent. Ça me paraît absolument fondamental.
Journaliste: Valérie Valais au sein des entreprises il y a une difficulté qu’on qu’on a aussi évoqué en filigrane tout à l’heure c’est c’est les usages de de l’IA par les salariés en interne avec la la fuite d’information confidentielle des informations parfois parfois sensibles une difficulté parfois à à cloisonner les outils au sein de l’entreprise?
Valérie Valais: Oui tout à fait en effet on l’a évoqué tout à l’heure et peut-être avant de reprendre ce sujet je voulais juste rebondir sur ce que disait Dr Paul Théron sur le fait que les COMEX étudient quand même les problèmes de cybersécurité et peut-être pas tous mais tous nous le faisons typiquement c’est bien. Voilà donc bon c’est ça doit sans doute être encore perfectionné mais mais je pense que c’est un sujet qui est vraiment de plus en plus pris au sérieux par les entreprises puisque malheureusement de plus en plus d’entreprises sont sujettes à des cyberattaques.
Journaliste: Quoi qu’il en soit la la surveillance effectivement de la fuite de…
Valérie Valais: Oui oui tout à fait tout à fait. Je pense que enfin je le disais tout à l’heure c’est important que les collaborateurs comprennent quelle est une bonne utilisation de l’IA comment l’utiliser correctement et que on prenne le temps de gouverner donc cette cette utilisation parce que on se rend compte que dans certaines entreprises finalement s’il n’y a pas de charte de charte d’utilisation de l’IA par exemple les personnes peuvent être amenées à ne pas dire qu’elles utilisent de l’IA et du coup c’est comme ça aussi qu’on qu’on peut avoir des failles de sécurité qu’on ne va pas pouvoir contrôler puisqu’on en aura on en aura pas la connaissance. Donc ce qui est important pour éviter en effet des fuites de données sensibles des violations de données personnelles tout ce qu’on peut voir en fait lorsqu’on met des informations sur des LLM hein large language model tel que Chat GPT on voit que comme je le disais tout à l’heure l’IA va se nourrir de toutes les données qu’on donne. Donc si on met des informations qui ne sont pas publiques sur ces LLM c’est dangereux.
Journaliste: Ça peut aussi amener à des personnalisations de cyberattaque hein des spear phishing par exemple c’est c’est-à-dire que le le pirate connaissant des des informations confidentielles va mieux cibler son attaque.
Valérie Valais: Tout à fait parce qu’en fait on sait que l’IA va nous permettre en tant qu’entreprise de d’automatiser les les failles enfin ou de détecter de manière plus automatique des failles ou des des attaques qui arriveraient mais de la même manière pour un pour un pirate ça va l’IA va l’aider aussi à personnaliser finalement les cyberattaques qu’il pourrait vouloir faire vis-à-vis d’une entreprise. Donc sensibiliser les utilisateurs à une bonne utilisation de l’IA c’est fondamental mettre en place des politiques pour encadrer donc l’utilisation de cet IA peut-être c’est vrai qu’on privilégierait plutôt des IA internes qui vont permettre de cloisonner finalement l’utilisation qui est faite des données qui permettront peut-être aussi d’être plus moins consommatrice consommatrice.
Journaliste: Alors c’est d’ailleurs l’objet d’une des questions qui est qui nous est posée l’intérêt d’une IA internalisée est-elle pertinente pour la protection de nos données?
Valérie Valais: Oui je le pense. Alors pour les raisons que je viens d’évoquer hein éviter les fuites de données sensibles de données confidentielles de données personnelles et et en effet si on si on a une IA qui est enfin qui n’est pas donc sur le cloud ou qui va pas générer des données qui proviennent de de tous les endroits et qui sera elle sera a priori moins consommatrice en effet moins énergivante.
Journaliste: Jean-François Faye dans l’entreprise il y a aussi parfois quelques mélanges hein entre la vie professionnelle et la vie personnelle le téléphone parfois il y en a bah il y en a qu’un seul.
Jean-François Faye: Exactement. Alors ce qui est très intéressant dans ce qui était dit précédemment c’est que on voit que derrière des sujets qui sont des sujets technologiques a priori la cybersécurité l’intelligence artificielle en fait on parle beaucoup d’humain c’est un peu un peu caché et pourtant et dans les risques alors ce ne sont pas les seuls mais ce sont des risques des risques importants il y a beaucoup d’aspects humains. Alors le premier vous venez de le citer c’est aujourd’hui la frontière qui est de plus en plus tenue entre le monde personnel et le monde professionnel. Donc vous avez eu à une certaine époque dans les entreprises la vague du bring your own device donc où chacun pouvait amener son matériel donc son PC son Mac peu protégé pas protégé très protégé un peu tous les cas de figure ce qui est le cauchemar des des DSI. Vous avez un peu le même phénomène aujourd’hui avec les téléphones portables. Donc cette frontière entre le monde personnel et le monde professionnel c’est assez compliqué pour maîtriser la sécurité.
Journaliste: Donc vous vous recommandez d’arrêter tout ça?
Jean-François Faye: Non en fait ça ça serait trop facile de d’interdire et d’espérer que d’abord les consignes sont strictement appliquées point numéro 1 et puis point numéro 2 c’est aussi un frein ça serait un frein à l’évolution dans l’entreprise. Il y a également un certain nombre de d’évolutions ou de progrès qui sont réalisés parce que aussi on est capable d’amener de la sphère personnelle un certain nombre d’éléments dans la sphère professionnelle mais ça nécessite de repenser la manière dont on aborde la sécurité du système d’information parce que ça ouvre à de nouveaux risques. Et puis également les techniques d’attaque se sophistiquent grâce à la technologie et exploite bah des défaillances humaines. Alors le fishing qu’on connaît depuis longtemps reste une arme assez efficace alors ça passe ça a été dit hein par de l’ingénierie en amont de la part des des groupes malveillants pour recueillir des informations et rendre leur sollicitation critique mais aujourd’hui avec l’intelligence artificielle les attaques se sophistiquent à la fois dans le domaine de la voie et il y a un exemple récent avec une escroquerie de 35 millions de dollars dans une entreprise par limitation de la voie du président de de l’entreprise qui a fortement crédibilisé l’attaque et déclenché du coup malheureusement le le le paiement. Et puis aussi avec les deep fake avec avec l’image. Dans un monde où la visio a pris plus de place après le Covid bah forcément c’est aussi un vecteur d’attaque mais je le répète c’est l’aspect humain qui est qui est exploité et donc ça met en avant toute l’importance de devoir former ses équipes et communiquer régulièrement parce que les attaques les plus efficaces ne sont pas forcément les plus sophistiquées elles passent parfois par des vecteurs assez simples et donc le premier rideau de défense c’est le rideau humain.
Journaliste: Ah Arsène Lupin a fait des émules sans doute Yrieix Denis comment faire par exemple Chat GPT? Comment est-ce qu’on fait pour gérer nos archives ou les archives des salariés dans Chat GPT? Est-ce qu’il faut supprimer systématiquement dès qu’on fait une recherche?
Yrieix Denis: C’est une question complexe aussi mais je penserai déjà par le premier point c’est un consultant qui travaillait dans le secteur bancaire qui me disait déjà le premier danger de Chat GPT ou de l’IA en général c’est sa mauvaise utilisation sans et donc c’est le gâchi des budgets. Il évoquait dans la mission à laquelle il était 80 % du budget d’implémentation via IA jeté par les fenêtres. Premier risque déjà financé il est avant même que vous l’ayez installé c’est vous avez fait n’importe quoi avec. C’est compliqué à installer c’est de la transformation d’entreprise donc et d’organisation et de gouvernance et puis des métiers bon peu importe mais et ensuite vous avez forcement raison la le risque principal c’est toutes les données que je donne dedans. Donc il faut faire un tri entre ce que j’ai le droit de mettre il y a une vraie formation en conformité à avoir qui est majeure ce que j’ai le droit de mettre ce que ce qu’il est pertinent de mettre c’est un vrai choix à faire et puis il faut imaginer que demain on n’y a plus accès ou que quelqu’un d’autre y a accès effectivement et qu’est-ce qu’il peut faire à partir de ce qu’il aurait pris? Et donc effectivement on peut réfléchir à une bonne gestion des archives donc ça c’est très RGPD assez simple finalement.
Journaliste: Et est-ce que par exemple si je fais une recherche où je mets des données potentiellement sensibles et que je la que je supprime ma recherche 10 minutes après est-ce que ça est-ce que ça reste quand même est-ce que ça peut être exploité par…?
Yrieix Denis: Bon déjà il faut pas faire confiance à une entreprise privée lucrative qui même vous assure qu’elle va supprimer les la journalisation de vos activités. Donc ça ne sera jamais supprimé ça appartient déjà à une entreprise étrangère. En revanche ça vous fait moins de trac ou moins de preuves si jamais enfin de preuves de de de de données qui pourraient être utilisé contre vous si jamais quelqu’un prenait accès prenait l’accès. Mais Chat GPT par exemple c’est tout le monde l’utilise en entreprise parfois c’est de manière un peu cachée c’est du shadow IT. Il faut déjà s’assurer que tout le monde a activé le MFA donc la double notification par exemple qui est déjà une bonne barrière avant de de perdre son son compte. Je vais juste rebondir aussi sur les questions des téléphones qui était hyper intéressante que vous souviez Jean-François Faye le téléphone c’est un cas qui est assez surprenant que ce soit un téléphone pro ou personnel il est très rare que je rencontre quelqu’un quel que soit son poste qui a un antivirus dessus. Et alors quand il a un antivirus c’est encore plus rare qu’il qu’il ait un logiciel anti-logiciel espion qui existe aujourd’hui. Quand il est développé il y en a un qui a été développé par le fond In-Q-Tel qui dépend de enfin qui est plus ou moins lié aux services de renseignement américain mais qui pour le privé et puis il y a d’autres concurrents privés qui ne sont n’émanent pas de services de la défense mais peu importe. Ces logiciels ont été créés aussi pour défendre des journalistes par exemple ou des présidents d’entreprise. Et puis vous descendez et finalement là il y a moi je recommande à certains de mes clients tous les métiers vous avez une version freemium que tout le monde peut utiliser vous avez un scan par mois et vous pouvez vérifier si vous avez un logiciel espion sur votre téléphone. Alors ils y sont pas tous vous aurez pas forcément la dernière version de Pegasus mais vous aurez quand même peut-être 90 % de ce qui existe et ça c’est un peu surprenant de se dire que on n’a pas cette habitude du tout en France de protéger son téléphone. On pense soit à tort que Apple qui est une qui est une bonne marque effectivement a une sécurité qui est intégrée c’est faux elle a plein de dispositions mais elle est insuffisante. Soit on imagine que l’antivirus est inutile. Non il est utile il peut vous un antivirus classique va vous empêcher d’aller sur un lien frauduleux par exemple ce qui est très pratique qui va arrêter certaines connexions qui sont qui ne dépendent pas de vous qui ont été automatisées et puis les autres vont pouvoir vérifier pas un infostealer sur votre téléphone ou un équivalent.
Journaliste: Voilà on va donner la parole à Nicolas Reymond dans le domaine bancaire mais pas que dans le domaine bancaire hein on sait qu’il y a cette relation avec les fournisseurs hein de de logiciel censé pouvoir nous nous protéger avec des solutions présentées comme très innovantes souvent à bas prix enfin en tout cas au plus bas prix possible mais pas toujours capable d’assurer notre sécurité et notre conformité.
Nicolas Reymond: Oui c’est un c’est un enjeu important effectivement parce que bah dans la banque on a un historique en matière de cybersécurité qui est qui est assez ancien et et les banques sont plutôt robustes en la matière mais elles sont pas très agiles. Donc on a tendance à faire appel à beaucoup de petites entreprises innovantes qui vont être beaucoup plus agiles que nous mais est-ce que ces entreprises ont les moyens de garantir la sécurité des services qu’elles nous délivrent? Ça c’est c’est toute la question et on y est confronté au quotidien effectivement. On doit accompagner et et on on revient sur les sujets réglementaires mais c’est tout l’objet aussi de DORA hein on doit accompagner nos fournisseurs et et être bien sûr que nos fournisseurs sont capables de nous délivrer des services résilients et sécurisés même si c’est des petites entreprises innovantes et et là on a des enjeux qui sont forts parce que on a des grands groupes qui sont très bien protégés et les groupes d’attaquants le savent ils attaquent jamais en frontal un gros une grosse entreprise parce qu’elles peuvent passer en direct par contre les attaques se font par rebond. On attaque un petit fournisseur et par rebond on va pénétrer dans l’entreprise. Donc là on a des gros enjeux pour accompagner effectivement nos fournisseurs quel que soit leur taille en matière de de cyber.
Journaliste: Ça complique la donne ça quand même hein je veux dire que quand on est un grand groupe et qu’on a 50 ou 100 prestataires ou fournisseurs au moins au moins au moins pour pour une grande banque. Comme l’a vu Jean-François Faye ce problème économique hein là qu’on qu’on entend hein le problème aussi c’est que c’est que le si la préoccupation n’est pas totale au sein des que ces investissements ne génèrent pas de chiffre d’affaires hein ça coûte de l’argent plutôt que ça en rapporte en tout cas dans un premier temps.
Jean-François Faye: Ouais absolument. Alors on l’a bien vu dans l’échange entre Dr Paul Théron et Valérie Valais il y a une forme de schizophrénie aujourd’hui c’est-à-dire que parfois certains ne pressent pas cette menace comme étant une menace prioritaire et en même temps il y a une enquête qui est faite par le groupe Allianz groupe d’assurance tous les ans et depuis 4 ans le risque cyber est le risque qui est ranqué numéro 1 par les décideurs dans le monde hein c’est une enquête qui est faite au niveau mondial. Donc il y a une prise de conscience. En revanche la difficulté c’est de la prise de conscience à l’action et effectivement le frein c’est qu’on parle d’une menace qui est intangible et sur laquelle si on a besoin de faire un certain nombre d’investissement il y a pas de retour sur investissement immédiat évident patent. Alors il peut y en avoir de manière indirecte parce que je pense que vis-à-vis de ses clients et de ses donneurs d’ordre il y a une vraie valeur à pouvoir démontrer qu’on est vertueux en matière de de sécurité mais ça reste plutôt intangible donc pas forcément très simple à valoriser. En revanche aujourd’hui je pense qu’il faut considérer le besoin de faire ces investissements plutôt comme un un proxy comme un ticket d’entrée pour pouvoir opérer sur un sur un marché. La difficulté ça a été ça a été dit déjà une une première fois c’est le une forme d’inégalité parce qu’on a besoin de mobiliser des moyens le le premier étant la compétence hein ça a été dit tout à l’heure la première des règles c’est de former ses équipes en particulier ses équipes informatiques. Donc il faut mobiliser des moyens et là où les grandes entreprises effectivement ont la capacité à se mobiliser avoir des systèmes de sécurité assez sophistiqués mobiliser beaucoup de compétences et beaucoup d’énergie c’est plus compliqué pour les les entreprises de taille moyenne et les petites les petites entreprises dans un environnement où il y a 2 ans il y a une évaluation qui avait été faite il manquait 7 millions de professionnels de la sécurité dans le monde. Donc avant de pouvoir combler cet écart bah c’est c’est compliqué et c’est peut-être aussi un peu plus compliqué d’attirer quand on est une une petite entreprise que quand on est une une grande entreprise qui peut proposer des moyens qui peut proposer un projet plus sophistiqué.
Journaliste: Et et vu vu l’enjeu collectif hein puisque les les difficultés sont entremêlées entre les petites et les grandes entreprises est-ce que il faut que les pouvoirs publics s’en emparent et aident les petites entreprises donnent je sais pas moi des des crédits d’impôts à une petite entreprise qui se mobilise sur ces sujets?
Jean-François Faye: Alors à titre personnel je je le pense effectivement. On est dans un pays où 90 % du tissu économique hein est fait de de petites et et moyennes entreprises. Donc c’est vital pour l’avenir du pays d’accompagner les les petites et les moyennes entreprises. Ça a été aussi très bien dit c’est souvent le maillon faible par lequel les attaquants rentrent dans les entreprises. Il y a quelques semaines il y a une attaque qui a paralysé tout un pont du secteur bancaire dans le domaine de la gestion de patrimoine notamment et l’attaque est venue d’une défaillance sur un matériel de visioconférence géré par un sous-traitant. Donc on voit que l’accompagnement des opérateurs de plus petite taille est effectivement absolument crucial et que c’est aussi la pérennité des grandes entreprises qui passe par la solidité en matière de de cybersécurité et donc l’accès à certains moyens de compétences moyen technologique et que probablement l’État a un rôle à jouer pour faciliter tout ça.
Journaliste: Dr Paul Théron on imagine que dans le secteur de la défense on est très bien averti hein vu les les enjeux de survie hein même à la fois pour les entreprises et puis et puis la la on va dire la mission hein de de ces de ces entreprises la technologie elle est pas forcément évidente à maîtriser les les outils sont extrêmement complexes.
Dr Paul Théron: Alors la situation il y a encore quelques années n’était pas du tout brillante. Je crois que c’est en 2017 qu’un un rapport américain du gouvernement américain ayant fait la revue de la cybersécurité des matériels militaires a montré qu’elle était lamentable. Mais ça on le savait déjà puisque vous savez les le matériel militaire est planifié sur des périodes de développement de 20 ans 30 ans parfois. Donc ce sont des des très bons projets la cyber n’existait pas quand on a lancé les projets de d’équipement qui existait ou qui existe aujourd’hui. Donc aujourd’hui il y a une problématique effectivement de mise à niveau. Cela dit dans les entreprises de défense la question je dirais ne se pose plus parce que les processus de depuis la spécification jusqu’à la mise en œuvre et la maintenance des matériels ont été modifiés pour intégrer la cybersécurité absolument à tous les stades. Et donc il y a dans les processus de projet si vous voulez un système de gate de barrière si on n’a pas pris en compte sérieusement la cyber le projet retourne à la casse départ vous voyez. Donc c’est du très sérieux et pareil pour la validation des systèmes on valide aussi leur cybersécurité. Néanmoins il est évident que sur les terrains d’opération il n’y a pas de spécialiste cyber. Donc une fois que vous êtes dans un char dans un jet fighter ou avec votre fusil connecté vous êtes démuni en cas de cyberattaque et tout le monde n’est pas n’est pas capable de réagir mais c’est c’est même impossible en plus de ça vous êtes en général dans le feu de l’action donc vous ne pouvez pas faire de la cyber et puis traiter la situation adverse donc c’est délicat. Mais un effort absolument considérable et mondialement a été fait. Donc on a aujourd’hui de moins en moins de de problèmes et tous les systèmes modernes d’armement incluent évidemment la cyber depuis la spécification jusqu’à la maintenance. Dès aujourd’hui enfin on sait que des avions ont été cloués au sol parce que pendant la maintenance on quelqu’un a mis la clé USB qu’il fallait pas là où il fallait pas voyez. Donc ça on le sait mais c’est intégré. Ça veut pas dire qu’on est totalement immune mais vous nous rassurez quand même.
Journaliste: L’attaquant est diabolique quand même voilà Valérie Valais on va on va revenir au conseil hein pour tous ceux qui nous écoutent en ce moment en direct ou en replay bien sûr en cas de cyberattaque quels sont les les conseils concrets? Une cellule de crise des réunions quotidiennes des retours sur un sur incident? Bon on pourrait en s’y dépliner les les principaux.
Valérie Valais: Je dirais que alors si on ne l’a pas préparé en amont ce qui est quand même ce qui reste une très bonne pratique mais on on sait tous que ce n’est pas forcément la priorité dans les entreprises, confère ce que disait Jean-François Faye tout à l’heure, la première chose c’est évidemment d’endiguer la cyberattaque d’un point de vue IT et donc de cloisonner enfin de d’isoler les systèmes qui ont été attaqués. Et ensuite mettre en place une cellule de crise dans laquelle on aura le DSI la direction générale la direction juridique la communication avec donc nous on a eu une cyberattaque il y a 2 ans donc c’est ce qu’on a mis en place on avait des calls en effet tous les jours ça permet de vraiment suivre l’évolution de la cyberattaque et des différentes actions qui sont menées s’assurer que qu’on fait tout correctement faire une main courante c’est-à-dire qui va permettre de tracer tous les toutes les actions tous les événements qu’on met en place et évidemment préserver les preuves donc conserver les preuves qui sont liées à la cyberattaque des copies des disques durs des choses comme ça journal de connexion et cetera. Et s’il s’agit d’un ransomware donc où on demande une rançon il est vraiment préconisé de ne pas payer la rançon tous les experts le disent. Et ensuite chose très importante également respecter les délais de notification c’est-à-dire qu’on est contraint par certains délais notamment donc déposer plainte au commissariat ou à la gendarmerie dans un délai de 72 heures ce qui va nous permettre notamment d’être indemnisé par l’assurance si toutefois on a une assurance cyber ce qui n’est pas toujours le cas. On a ce même délai de 72 heures qui va s’imposer si on a des violations de données personnelles on va devoir notifier l’ACNIL par rapport à cette violation. C’est important de noter que il y a aussi une évolution de la loi enfin c’est je crois c’est dans NIS 2 hein qui a réduit le délai à 24 heures dans certains cas. Et il y a aussi certaines déclarations qui doivent être faites pardon à l’ANSSI notamment pour les OIV. Donc il y a différents délais qui sont applicables et qui sont importants de de noter d’avoir en tête surtout parce que ils sont très courts ils peuvent être différents aussi dans les autres pays si la cyberattaque a une une dimension internationale. Il faut vraiment c’est mieux de se renseigner avant de savoir quels sont les délais c’est mieux de s’entraîner.
Journaliste: Je vais vous redonner la parole on on va parler au courtier en assurance dans un son avocat en cas d’attaque les délais effectivement de de notification mettre les experts dans la boucle préserver les preuves disait Valérie Valais et communiquer.
Sophie Duperray: Totalement. Avocat donc c’est vrai que Valérie a a largement détaillé ces éléments-là mais clairement l’implication des juristes à fortiori des avocats est importante notamment pour le dépôt de plainte on l’a dit 72 heures c’est court et puis pour la gestion de ces multiples notifications puisque encore une fois avec l’empilement des textes on est amené à notifier des incidents à différentes autorités dans des délais qui sont particulièrement courts et donc peut-être la petite actualité à avoir en tête c’est celle de NIS 2 la première notification elle est dans les 24 heures on en a une deuxième dans les 72h et encore une un mois après. Ça vient se superposer aux obligations de notification CNIL et et les autres auprès de l’ANSSI. Donc clairement ces éléments-là ils sont à avoir en tête et la coordination avec les avocats est importante puisque si on est sur notamment une un incident de sécurité qui va toucher aux données de l’entreprise avec potentiellement des pertes de données ou des violations de données divulgation et cetera qui peuvent impacter sa client enfin sa clientèle ses fournisseurs et cetera ça peut aussi être important d’impliquer en amont l’avocat puisqu’en fait on a des recours derrière et des risques de recours contentieux qu’il était important d’anticiper.
Journaliste: Les assurances ah oui il faut s’assurer faut s’assurer bien sûr pour pour éviter les pertes économiques trop importantes voilà quels sont les process à mettre en œuvre avec son assurance?
Jean-François Faye: Alors le le point qui vient d’être souligné lors des deux dernières interventions il est fondamental c’est le côté pluridisciplinaire de la gestion d’un incident de sécurité. C’est tout sauf uniquement le sujet de l’équipe informatique ou de l’équipe du business mais c’est très important d’impliquer toutes les c’est pas moi il toutes les prenantes va gérer. Donc le juridique la communication effectivement sont clés pour organiser la réponse. Alors maintenant sur un un plan plus assurantiel effectivement je pense que c’est aussi très important d’impliquer son courtier très tôt au moment de de l’attaque pour deux raisons. La première raison c’est que le courtier va vous donner et c’est en particulièrement vrai pour les les petites et les moyennes entreprises va vous donner accès à un écosystème de partenaire qui va vous aider dans la réponse à incident la restauration de votre système d’information. Aujourd’hui les courtiers les plus affutés sur le sujet ont vraiment mis en place un réseau de partenaire qui peut vous aider parce que en cas de cyberattaque la donnée la plus importante c’est le temps hein c’est une course contre la montre et donc avoir des partenaires de qualité avec un accès rapide c’est absolument fondamental et le courtier peut vous aider sur ce premier sujet. Le deuxième sujet ça a été dit il y a aussi tout un formalisme qui existe dans le cadre d’une attaque c’est-à-dire qu’on doit mettre en place une main courante on doit être capable de tracer tout ce qui se passe il y a effectivement la protection d’un certain nombre d’informations pour pouvoir permettre ce qu’on appelle le forensic donc à la recherche de de la cause le traitement de la cause la recherche en responsabilité puisque derrière souvent il y a un enjeu autour de la responsabilité de la cyberattaque hein par quel trou dans la raquette même si parfois il y a pas de cordage donc le trou est le trou est énorme mais par quel trou les attaquants ont pu passer. Donc le le rôle du du courtier va être aussi d’accompagner sur ce travail de formalisation qui est absolument primordial pour la suite du traitement de l’attaque. Et puis enfin il y a l’aspect couverture du risque financier avec deux aspects un être en capacité justement de financer la réponse à à l’attaque donc avoir accès à ses ressources et avoir un financement dans le cadre de sa protection et puis dans un 2e temps par rapport à l’impact de la cyberattaque va pouvoir se faire rembourser par les compagnies d’assurance et donc le rôle du courtier c’est aussi bah de plaider la cause de l’entreprise qui a été victime et puis de l’aider à monter le dossier correctement. On est évidemment plus en facilité de le faire quand on est accompagné par des gens qui ont cette connaissance cette compétence cette expérience.
Journaliste: Alors justement question qui nous parvient à l’instant très peu d’assureurs proposent de couvrir le risque cyber lorsque là cela lorsque cela est possible c’est très compliqué nous dit cette personne qui qui nous écrit existe-t-il des compagnies spécialisées?
Jean-François Faye: Alors c’est un c’est un très bon point il y a effectivement d’abord des courtiers he les courtiers sont des des distributeurs mais aussi qui amènent toute une dimension de conseils qui sont effectivement spécialisés dans dans ce domaine parce que tous les courtiers ne le proposent pas et il y a effectivement des compagnies d’assurance qui sont spécialisées dans ce risque. Il y a eu un mouvement c’est-à-dire qu’il y a quelques années c’était un marché naissance c’était très difficile de lui donner une valeur économique donc les tarifs étaient un peu un peu décorrélés de la réalité du risque donc il y a un certain nombre de compagnies d’assurance qui ont perdu beaucoup d’argent quand les sinistres ont commencé à augmenter donc qui se sont retirés de ce marché qui était pas arrivé à maturité et puis il y a un certain nombre d’acteurs qui sont revenus depuis quelques années sur ce marché mais avec une politique 1 de l’évaluation du risque qui s’est fortement amélioré qui s’est entre guillemets sophistiqué et puis avec une tarification du risque qui est plus en rapport avec la réalité. Du coup alors peut-être que l’aspect un peu difficile rébarbatif presque dans l’évaluation du risque qui est souligné par la question c’est vrai que il existe parce que du coup que ça soit le courtier ou la compagnie d’assurance bah va poser beaucoup de questions alors technique mais pas uniquement hein sur la gouvernance de l’entreprise sur la manière dont vous abordez les risques les sous-traitants avec lesquels vous vous travaillez leur niveau de couverture. Donc c’est vrai que ça nécessite de de pouvoir apporter beaucoup de réponses pour évaluer le le risque correctement et pouvoir lui apporter une réponse en terme de couverture qui correspond. Un marché à réguler.
Journaliste: Yrieix Denis par rapport à tout ce qu’on vient de dire il faut s’entraîner hein il faut s’entraîner à l’avance quelles sont les méthodes quelles sont les choses à faire pour pour s’entraîner et à mettre en place pour analyser ces risques et réaliser des tests techniques?
Yrieix Denis: Il faut faut être convaincu d’une chose c’est que la seule différence qui entre une entreprise qui subit une attaque et qui s’en sort bien et celle qui s’en sort pas très bien la seule unique c’est pas la taille c’est pas le secteur c’est sa préparation c’est la seule et unique différence avérée par des études en Angleterre notamment sur beaucoup de cas. Vous êtes préparé c’est très enfin c’est comme si vous ne vous prépariez pas à monter sur un ring pour faire un match de 3 minutes de boxe anglaise et vous êtes pas préparé vous allez pas tenir plus de 4 secondes c’est pareil pour une cyberattaque qui peuvent durer des mois et il y a beaucoup d’entreprises qui peuvent vraiment pas enfin ça peut les achever lorsqu’elles ont un problème de trésorerie qui est important ou des difficultés ou ça peut les pénaliser sur le très long terme et puis même sur pour les ressources humaines c’est très pénalisant enfin c’est très épuisant c’est stressant des gens qui ont des loyers à payer il y a des plein de choses à faire et donc par respect pour ces salariés il faut se préparer. Et puis j’allais dire aussi on parlait de de qui qui était sensible à la préparation quand vous vous adressez à un mandataire social c’est très différent il a du temps lui ça le concerne parce que pénalement il est responsable. Lorsque vous vous adressez aux actionnaires pour des petites entreprises familiales c’est très différent vous avez pas le même son de cloche hein sur le l’importance de se préparer ou l’urgence s’amettre de prendre des bons assureurs et cetera. Donc c’est peut-être aussi les bons interlocuteurs à aller voir c’est qui est vraiment concerné. Donc ce mandataire social les actionnaires aussi entendent leur point de vue. Ensuite il y a des métiers qu’on entend quasiment jamais et qu’il faut rassembler c’est les les DAF justement pour faire cette quantification financière du risque. Je me rappelle d’une mission dans laquelle en fait je m’étais rendu compte à la fin à la fin de la mission que le DAF était pas du tout sensibilisé bon bah la mission était ratée. Donc on a prolongé la mission pour qu’elle réussisse et la fin de ma mission n’était que le milieu finalement. Vous devez mettre des métiers qui sont concernés autour de la même table et puis vous créez effectivement ce que l’on a déjà dit mais il faut créer une cellule de crise. Généralement il y a pas de gouvernance. Donc vous créez deux cellules il y a une cellule de crise et puis il y a une gouvernance RGPD cyber. Et cet entraînement va consister déjà à parler le même langage ce qui n’est pas simple. Un juriste est fondamental. Parfois il a rédigé la charte informatique et puis vous allez être surpris de vous rendre compte que le le nouveau DSI n’a même pas lu la charte informatique. Il l’a signé hein mais il l’a même pas lu il sait même pas à quoi il s’est engagé. Et puis par ailleurs le juriste ne sait pas forcément très bien toutes les considérations techniques sur lesquelles il s’est engagé au nom du mandataire social de l’entreprise. Donc il faut que tout le monde parle le même langage. Alors ça peut passer par une sensibilisation. Moi je forme des gens qui sont aussi bien du niveau des que des métiers. Tout le monde a un point de vue majeur sur la sécurité de l’entreprise et une fois vous avez formé tout le monde sur les mêmes enjeux autour de plein de cas différents des cas fondés sur des scénarios d’attaque par exemple l’historique de l’entreprise les gens parlent le même langage ils savent de quoi ils parlent et ils savent surtout quel est le cahier des charges qui pèse sur eux. Donc en général la première demi-heure tout le monde veut partir en courant et on les comprend parce que ça demande beaucoup de boulot. Quand on a compris que c’était intéressant que c’était une démarche de résilience comme vous disiez Jean-François Faye que c’était voilà un programme de musculation et et un régime avec le RGPD quand on rentre dans le jeu ça devient un super défi organisationnel hein managérial et on peut faire un un plan sur 1 an 2 ans 3 ans. Moi le cas qui m’amuse c’est quand des clients m’appellent et me proposent de gérer leur conformité en 3 semaines moi je leur dis que je ne fais pas de conformité que je fais de la sécurité et que ça prendra 1 an 2 ans 3 ans 10 ans j’en sais rien et qu’en fait c’est pas un truc qu’on peut il y a surtout des boîtes qui font ça très bien en 3 semaines hein j’en suis sûr mais quand on regarde le sérieusement il faut il faut un peu plus de temps.
Journaliste: Valérie Valais après la pluie vient le beau temps normalement il y a un retour à la normale après après une attaque. Qu’est-ce qu’on fait après une attaque quand on a effectué toutes ces démarches auprès de son avocat de de ses assurances quand on a réglé au moins provisoirement le problème?
Valérie Valais: Je dirais d’un point de vue technique mais bon d’autres personnes autour de la table diront mieux que moi mais on va faire une remise en service progressive et contrôlée auditer les systèmes pour s’assurer qu’il n’y a pas de faille de sécurité mettre en place les outils qui nous manquaient peut-être mettre à jour les logiciels enfin s’assurer que que tout est tout est correct d’un point de vue technique mettre en place des bonnes pratiques par exemple de mot de passe. J’ai vu dans certaines dans certaines entreprises où c’était devenu très pénible en fait après une cyberattaque parce qu’en fait il y avait eu tellement de mesures mises en place notamment dans la gestion des mot de passe que au quotidien ça ça pouvait être un peu pénible les doubles authentifications et cetera mais bon c’est quand même souvent la clé du succès. Et puis je pense et ça a été dit hein si enfin c’est de faire ce processus de formation d’initiation des personnes des collaborateurs de manière systématique enfin ou régulière en tout cas. Vous l’aviez dit Yrieix Denis en fait les c’est souvent des failles qui sont qui sont très très simples en fait par lesquelles par lesquelles passent les cyberattaquants donc donc c’est important d’être de former nos collaborateurs aux bonnes pratiques au quotidien et d’avoir des chartes.
Journaliste: Et puis l’aspect communication aussi hein l’aspect communication en interne et en externe dont dont on parlait tout à l’heure pour rassurer aussi ses ses partenaires.
Valérie Valais: Tout à fait mais ça ne vient pas forcément à la fin parce que si la la cyberattaque pardon a lieu au jour J on va devoir communiquer souvent à J + 1 + 2 3 et cetera selon le type d’attaque selon le type de de données violé ou qui ont fuité. Et donc tout ce sera très dépendant du cas d’espèce mais il est possible en effet de devoir faire des communications auprès de nos clients fournisseurs ou autres parties prenantes et auprès du public notamment si on est un groupe côté c’est important. Donc tout ça va être évidemment adapté au cas d’espèce on peut pas avoir de de propos généraux là-dessus mais c’est un c’est quelque chose de très important.
Journaliste: Nicolas Reymond au sein de votre banque il y a des tests réguliers qui qui sont mis en place justement une politique de changement de de mot de passe de double authentification enfin voilà ce sont des choses qui sont évaluées et réévaluées extrêmement régulièrement?
Nicolas Reymond: Alors plusieurs plusieurs sujets là-dedans et évidemment les politiques sont les politiques notamment d’authentification de mot de passe sont très strictes au sein de la banque évidemment. Après je crois que c’est un peu le fil rouge de depuis le début de notre échange je crois que c’est l’humain qui est au cœur de tout. C’est l’humain qui est au cœur des sujets de vulnérabilité mais aussi de réaction et je crois que le sujet principal c’est ça c’est la formation l’entraînement permanent. Alors deux exemples par rapport à ça l’humain c’est le maillon faible souvent parce que même si les attaques sont de plus en plus sophistiquées la majorité des attaques reste très simple et c’est un simple mail qui arrive à la bonne personne au bon moment et qui déclenche la cyberattaque dans une très large majorité des cas. Et comment on se prémunit là contre? Moi j’ai l’habitude de dire c’est quelque chose qui peut arriver à tout le monde même moi je peux me faire avoir je suis aguéri ça fait des des années des années que je suis dans ce domaine je pense qu’un jour je peux me faire avoir en cliquant sur un mauvais mail il y a aucun problème. Ce qui est important c’est que ce soit la masse des collaborateurs qui soient entraînés qui soient habitués à réagir parce que les attaques sauf si elles sont extrêmement ciblées en général elles arrivent avec un petit peu de de signaux faibles. On a quelques dizaines de mails qui arrivent et si parmi ces dizaines de mails qui arrivent on a un collaborateur qui tout de suite le voit et le signale et ben c’est la mécanique de réaction qui se met en marche et qui va protéger le collaborateur qui sera peut-être un peu moins bien réveillé ce jour-là et qui aurait pu se faire avoir. Donc l’humain c’est le maillon faible mais c’est aussi la première ligne de défense. Donc ça c’est sur la partie attaque et sur la partie comment on réagit bah là c’est la même chose hein c’est des entraînements des entraînements des entraînements. Une cellule de crise qui s’est jamais réunie avant un incident ça commence mal voilà. Et des exercices de crise il faut en faire en faire et en refaire quoi ça c’est la clé.
Journaliste: Et des au-delà de la de la cellule de crise il y a aussi des des des réunions régulières avec les avec les salariés pour les les prévenir de de ces risques les les former?
Nicolas Reymond: Ah oui oui on a tout un programme effectivement de de sensibilisation. Le le premier de nos programmes c’est un programme de sensibilisation au fishing où les collaborateurs reçoivent une quantité incroyable de faux mail de fishing qu’on aimait nous-même et pour les entraîner à réagir à tout types de fishing et les le les habituer justement à signaler les fishings et on mesure aussi bien le taux de réponse de personne qui s’est fait piéger que le taux de personne qui nous a prévenu parce que c’est un indicateur qui est fondamental. La bonne réaction des utilisateurs vis-à-vis du fishing et c’est un des entraînements effectivement très récurrents. Ça veut dire qu’il faut se préserver du temps dans les agendas pour pour préparer ces attaques.
Journaliste: Sophie Duperray on va revenir quelques instants au travail des avocats et notamment en amont hein dans dans la préparation des contrats c’est quelque chose de de fondamental pour les pour les entreprises?
Sophie Duperray: Oui parce que c’est un volet qu’on a absolument pas abordé jusqu’à présent. Donc on a ce volet réaction et entraînement on a aussi le volet prévention et le volet prévention passe aussi par du juridique donc que ça soit au sein de la direction juridique comme des avocats et notamment dans le fait au regard des vulnérabilités qui sont offertes par la chaîne de sous-traitance de gérer en fait tous ces risques d’un point de vue contractuel. Ça implique voilà de de reporter sur ces sous-traitants et sur ses prestataires un certain nombre d’obligations de sécurité qu’il est important de formaliser contractuellement de la même manière pour la notification formaliser clairement les obligations de report des incidents de sécurité des sous-traitants vers le donneur d’ordre. Tout ça c’est des éléments qu’il est nécessaire de contractualiser et puis plus sur l’aspect on va dire sécurité et mesure de sécurité il est aussi important de décliner contractuellement ce qu’on attend vraiment en terme de mesure de sécurité de la part de ces sous-traitants au travers d’annexes et cetera. Ça cet élément là il est important de l’avoir en tête.
Journaliste: Je vous lis deux réactions qui nous sont parvenues internaliser l’IA c’est joli mais il faut être prêt à mettre un mouchoir sur l’aspect écologique et financier une c’est gourmand voilà c’est un commentaire. Autre autre commentaire que que je lis conclusion de ce que j’entends les bandits auront toujours une longueur d’avance sur les policiers voilà avec un petit smiley avec voilà quelqu’un qui pleure.
Yrieix Denis: Je je je veux bien réagir à la première réaction parce que je trouve que c’est anti c’est c’est pas forcément que ça l’IA internalisée ça peut être une IA qui est spécialisée qui est petite. On parle beaucoup des LLM mais on commence à parler des petits modèles aussi qui sont spécialisés et justement je pense que même en terme de d’impact environnementaux on a tout intérêt à développer un petit modèle interne spécialisé pour une tâche dédiée que d’utiliser les modèles Open AI pour faire la même chose parce qu’il sera beaucoup plus gourmand et peut-être moins efficace.
Journaliste: Une question plus technique alors là je je sais pas qui va pouvoir répondre mais écoutez bien la notification des incident réglementaire DORA s’applique-t-elle lorsqu’il n’y a pas de fonction critique et importante? Si oui s’agit-il du simple accès malveillant au système d’information de l’entité financière ou s’étend-il à l’accès malveillant au sein des des prestataires? Faut demander à la CPR non? Aidez-nous Yrieix Denis c’est trop complexe pour moi voilà la la notification des incidents réglementaires DORA s’applique-elle lorsqu’il n’y a pas de fonction critique et importante?
Yrieix Denis: J’ai d’excellents anciens collègues à l’ANSSI qui seront ravis de répondre ils sont très joignables et ça me permet de rebondir sur ce qu’on disait sur l’action de l’État. En fait elle existe je défendre mon ancienne agence il y a beaucoup de choses qui sont faites pour les entreprises. Il y a mes services sécurisés qui ont été lancés il y a cybermalveillance.gouv.fr faire qui a une action qui est très large auprès de toutes les entreprises pour des questions complexes. On peut demander à tous les experts sectoriels de l’ANSSI et puis vous avez aussi la BPI et les régions qui ont des financements pour les entreprises de plutôt les PME mais TPE PME voilà se se faire aider par des experts.
Journaliste: On va en arriver à notre troisième point de de cette discussion on a pas mal parlé des difficultés des problèmes que peuvent poser l’IA dans les entreprises mais l’IA peut aussi aider à préserver la cybersécurité c’est ce qu’on va voir d’abord avec vous Dr Paul Théron il y a grâce à l’IA des systèmes de de remontée d’alerte en utilisant des agents d’IA.
Dr Paul Théron: Alors oui bien sûr ça existe assez largement maintenant. Ce qu’on appelle les endpoint detection systems EDR ou EDR reaction sont à base d’agents avec de l’IA dans ce qu’on appelle les SOCs les Security Operation Centers et puis les la couche un peu en dessous qui enfin un constituant qui s’appelle le SIEM on a de l’IA parce que la masse des données est telle que il faut bien les agréger les les corréler et cetera. Bon c’est bien c’est bien ça a des limites aussi. Tous les tous les informaticiens enfin spécialistes de la sécurité savent aussi que l’IA génère des faux positifs c’est-à-dire des fausses alertes et puis des faux négatifs c’est-à-dire des fausses pas alertes vous voyez? Donc après l’humain doit revenir dans le jeu. Maintenant ça c’est pour le cas des entreprises des institutions publiques telles que nous les connaissons c’est-à-dire que si on on est chez April chez BNP Paribas BRED on sait la configuration des systèmes on peut mettre en place un SOC avec des des gens qui supervisent la cybersécurité des systèmes. Maintenant projetez-vous dans un monde un peu différent qui est celui qui arrive là dans les années qui viennent le taxi volant le futur champ de bataille avec des des robots qui vont combattre des robots et engager le combat tout seul sans ordre du du commandement on est plus très très loin là non mais mais non mais non exactement c’est bien ça le drame presque voilà. Et tous les éléments de de la vie courante y compris les télécoms mobiles avec la 6G enfin déjà la 5G c’est ultra complexe comment voulez-vous qu’un opérateur humain ait encore dans ces contextes là la capacité à intervenir pour surveiller la cyber réagir? Les choses vont aller tellement vite à une telle échelle avec une telle intelligence et complexité que il sera dépassé tout de suite.
Journaliste: Donc donc il y a que l’IA qui peut nous défendre?
Dr Paul Théron: Oui alors ça c’est ça fait partie des travaux que j’ai fait à la fois dans la chaire de de l’armée de l’air et de l’espace et et à l’OTAN. Aujourd’hui il faut reconcevoir complètement le paradigme de la cyberdéfense c’est-à-dire que l’homme va être hors de la boucle de la cyber parce qu’il pourra plus. C’est c’est tout on on est limité et il faut accepter le fait qu’on soit limité ça bouleverse beaucoup.
Journaliste: Et expliquez-nous concrètement comment l’IA peut nous aider par exemple vous parliez des taxis volants ou des ou des voitures autonomes dans les futurs smart city les villes intelligentes?
Dr Paul Théron: Très bon exemple aussi. Ben voilà vous êtes à bord d’un taxi drone vous êtes en vol au-dessus de Paris et puis pour tout un tas de raisons une cyberattaque a lieu vous êtes passager vous n’êtes pas cyber informaticien spécialiste vous voyez. Donc vous ne savez pas quoi faire. Donc la cyberattaque va réussir avec potentiellement des attaques catastrophiques et il n’y aura personne peut-être dans certains cas pour communiquer avec le système et en temps réel résoudre et à la vitesse du vol de votre taxi l’attaque. Donc tout ça va se faire par des agents qui seront intelligents et qui seront autonomes et qui seront embarqués dans tous les systèmes. Ça ira de votre brosse à dents connectée à à ce taxi drone en passant par tous les matériels du champ de bataille ou ou de la vie courante. Si vous avez de la home automation à frigo connecté il y aura aussi des agents comme ça partout et dans les réseaux de com et cetera et et le but de ces de ces agents sera de détecter sur leur périmètre et en meut ils travailleront ensemble les attaques qui se produiront et avec une intelligence qui est beaucoup plus que l’intelligence artificielle d’aujourd’hui une intelligence bien supérieure qui ressemblera à l’intelligence humaine avec plus de puissance de calcul si je puis dire ils résoudront les attaques. Ça veut pas dire qu’ils ne se tromperont jamais qu’ils réussiront toujours on le sait mais de toute façon l’homme sera dépassé dans ces contextes. Donc on aura un autre problème à la fois juridique enfin je me tourne vers l’avocate n’est-ce pas? Là les c’est le début des problèmes voyez. Bon.
Journaliste: Avant de donner la la la parole à l’avocate et et peut-être aussi à l’assureur si on porte un un regard international sur l’utilisation de l’IA dans ce domaine de la cybersécurité est-ce que les Européens sont totalement en retard par rapport aux autres grandes puissances de la planète ou est-ce que est-ce que des progrès importants ont été effectués?
Dr Paul Théron: Des progrès importants sont effectués tous les jours hein en Europe. Maintenant évidemment les fournisseurs de technologies sont beaucoup américains chinois et puis il faut pas oublier le Moyen-Orient aussi qui investit beaucoup dans ces domaines. Donc partout on progresse mais si vous voulez l’appétit pour la recherche et le développement de ces futures technologies cyber comme IA n’est pas le même selon les zones. Aux États-Unis on met facilement quelques dizaines de millions de dollars sur la table pour créer un écosystème en France quand on a 100000 € on est très très content voyez. Donc on joue pas sur le même pied.
Journaliste: Donc la la lutte est illégale quoi. On est toujours un peu suiveur quoi en Europe et notamment en France. Enfin Sophie Duperray d’un point de vue juridique confié à l’intelligence artificielle la la responsabilité de nous protéger elle-même contre tous ces risques?
Sophie Duperray: Alors factuellement je pense que on a déjà eu le les développements c’est indispensable. Après les aspects juridiques posent vraiment la question de la responsabilité à savoir que se passe-t-il quand l’IA des failles ne produit pas des résultats conformes n’identifie pas l’attaque qui finalement a la responsabilité de tout ça. Clairement on a une responsabilité en qualité d’utilisateur. La personne qui donc déploie l’IA au sein de son entreprise conserve finalement la responsabilité opérationnelle et peu importe que la défaillance provienne d’une IA ou d’un humain elle gardera cette responsabilité première. Après de manière plus générale ça pose vraiment la question de la responsabilité des éditeurs fournisseurs de ces systèmes d’intelligence artificielle et donc aujourd’hui l’appréhension de la réglementation de ces problématiques là reste relativement limitée. On voit bien que les mécanismes de droit commun que ça soit de la responsabilité contractuelle comme délictuelle pour faute sont enfin difficilement mobilisables puisqu’il sera difficile d’apporter la preuve d’un manquement du fournisseur d’intelligence artificielle. L’erreur existe toujours et d’un point de vue réglementaire et d’évolution de la réglementation on voit qu’on a quand même une appréhension qui est assez limitée. On a la responsabilité des produits défectueux qui vient d’être adapté et qui prend en compte ces éléments-là mais vraiment quand ça touche à un défaut de sécurité et c’est pas foncièrement applicable entreprise pour le reste. L’Europe a déprogrammé la directive qui devait s’appliquer sur la responsabilité de l’IA donc on voit bien qu’on est encore en phase de maturation sur ces sujets.
Journaliste: Jean-François Faye est-ce que les assureurs ils vont suivre si on enlève à à l’humain ses responsabilités qu’on les qu’on les confie à des machines ou à des logiciels?
Jean-François Faye: Alors je ne sais pas lire le futur donc je vais avoir du mal à répondre à votre question. Ce qui est certain c’est que un on voit que le sujet est complexe et ça amènera beaucoup de débats mais de j’ai envie de dire que l’appétit va être un peu fonction de l’aspect économique du sujet c’est-à-dire que évidemment si ça constitue un un marché rentable évidemment qu’un certain nombre d’entreprises privées s’y intéresseront et pourront plutôt que d’embaucher 10 Yrieix Denis on préfère embaucher une machine. Alors ça ça soulève aussi tout ce qui a été dit soulève aussi un sujet de temporalité enfin on en a parlé à plusieurs reprises dans le débat mais effectivement il y a ce qu’on voit se dessiner pour le futur et puis il y a aussi des réalités plus court terme et ce qui est la réalité de la technologie aujourd’hui en matière d’intelligence artificielle on est encore à l’heure où on parle dans une situation où la supervision par l’humain fait encore beaucoup de sens parce qu’on n’a pas les niveaux d’autonomie qu’on on peut anticiper qui arriveront pour les les années à venir. Donc j’ai envie de dire qu’à court terme le le le sujet se pose pas exactement tel que il vient d’être d’être évoqué parce que l’intelligence artificielle permet plutôt d’augmenter la capacité de l’humain par une capacité à traiter beaucoup d’informations si si on si on lui en a donné si on lui en a donné. Donc ça soulève également une autre problématique qui est un la manière dont on architecture la donnée dans son système d’information la manière dont on va la capter la manière dont on va la traiter ce qui est un enjeu hyper important mais qui est complètement laissé de côté aujourd’hui parce que ce qu’on appelle le legacy les systèmes existants sont tellement lourds. On parlait tout à l’heure dans la défense du poids en fait de de ce legacy par le fait qu’on est sur des cycles extrêmement longs. Dans les entreprises c’est aussi vrai les cycles sont probablement un peu plus courts mais reste quand même des cycles relativement longs et donc cette problématique de réorganiser son système d’information autour de la donnée pour pouvoir prendre en compte les problématiques de cybersécurité d’un côté et d’intelligence artificielle de l’autre c’est un vrai enjeu pour les DSI et comme on le disait tout à l’heure ça peut être des sujets qui peuvent être un peu arides pour les comités exécutifs et pourtant ils sont absolument clés par rapport au au business model des entreprises non pas après-demain mais dans un avenir extrêmement proche.
Journaliste: Yrieix Denis repenser l’architecture au sein des entreprises comment faire remonter de la data pour pour pouvoir exploiter l’IA aussi?
Yrieix Denis: Je vais parler sous contrôle de Dr Paul Théron mais je pense que l’IA est utilisée depuis très longtemps en fait en en cybersécurité ça fait depuis le début en fait hein elle est indissociable de l’informatique. Et on peut voir voir comment dire c’est c’est l’éternel débat est-ce que on a une vision très ludiste et l’IA vient remplacer des êtres humains ou est-ce qu’elle vient apporter des compétences et augmenter l’être humain? Je plus sur ce plan-là sur la 2e 2e pendant l’alternative pardon qui est que ça augmente. Moi je suis sur un petit cabinet j’ai un ingénieur cyber avec moi et beaucoup de partenaires le fait d’avoir de l’intelligence artificielle m’aide beaucoup. Il y a des solutions qui sont extrêmement pratiques qui font gagner un temps fou. Quand vous faites des ateliers d’analyse des risques et vous voulez les quantifier bah il faut que vous automatisiez une certaine partie par exemple en réalité ça m’aide à mon échelle et ça aide beaucoup de groupes c’est plutôt un apport parce que c’est très long finalement l’analyse des données il y a une masse énorme qu’il faut traiter. En général l’IA apporte quelque chose de positif elle apporte des nouveaux risques elle apporte aussi une vraie rapidité de traitement d’analyse et de de réaction aussi tout simplement. On a un vrai enjeu qui est de former les analystes par exemple on en manque et ceux qu’on a il faut les former. Par exemple je lisais un très bon manuel qui a 10 ans de Cédric Pernet sur le qui un des meilleurs en France sur le sujet c’est un de ses premiers points c’est on avait des êtres humains des analystes humains il y a 10 ans et il y en a encore aujourd’hui ils avaient beau avoir des données ils ne savaient pas les lire donc il savaient pas comment réagir. Donc en fait le principal enjeu aujourd’hui c’est plutôt de former d’augmenter et de former correctement les analystes et tout leur équipes à utiliser correctement des outils automatisés sachant qu’en face évidemment il y a des hackeurs qui font feu de tout bois et qui utilisent extrêmement bien des outils. Un exemple très simple hein j’ai découvert chez un client que il y avait deux infostealer qui pompaient en direct des données et qui se les vendaient directement dans des salons télégram c’est un peu surprenant mais c’est très efficace c’est très ingénieux de la part des hackeurs d’avoir fait ça. Et sauf que comment on l’a découvert? À part des outils d’automatisation qui scannent le Darknet et qui scannent Telegram ce qui n’est pas simple du tout ou les forums russes et vous avez du coup différents outils qui sont bon dans différents secteurs du darknet qui est une une géographie en soi. Et donc à la fois ça a aidé les attaquants puis ça a aidé les défenseurs. En fait les deux sont c’est c’est on a des armes et puis on se bat on se bat armégal quelque part parce que il y a une asymétrie en faveur de l’attaque c’est certain. Vous construisez Château Gaillard ce grand château du Moyen-Âge et puis les Français rentrent par les latrines pour prendre le château parce que vous avez tout faire poser sur une seule ligne de défense. En cybersécurité on pense plutôt plusieurs lignes de défense la défense en profondeur et vous avez différents différents points pour vous protéger. Vous mettez des oies comme sur le Capitole qui se mettent à hurler vous mettez différentes barrières et puis vous mettez des gardes de la nuit. En réalité l’hackeur ira toujours chercher le point de faiblesse mais si vous-même vous créez une red ou une red team vous mettez à la place du hackeur et vous tous les tous les ans tous les 6 mois vous attaquez votre banque vous attaquez votre organisation vous allez voir comment est-ce qu’il va fonctionner. Et puis finalement ce que disait un Américain il y a plus de gens honnêtes du côté de la défense. Les gens honnêtes sont plus partageurs plus travaillants plus travailleurs plus persévérants alors que les hackeurs sont qui sont moins fiables ils prennent plus de drogue ils se disputent plus souvent.
Journaliste: Ouais ça serait donc vous dites les bandits n’ont pas toujours une longueur d’avance sur les policiers contrairement à quelqu’un.
Yrieix Denis: Mais un bon défenseur raisonne comme un attaquant. Donc il court plus vite il est bien entraîné il se lève plutôt le matin il va courir et et voilà et s’il y a un cordage et pas trop de trou dans la raquette.
Journaliste: Valérie Valais une une question qui nous parvient qui vous concerne peut-être un peu plus sur sur la gestion au sein d’une entreprise tous les collaborateurs utilisent Chat GPT pour ne pas le citer. Souvent il est difficile de mettre en place une charte IA en lien avec les DSI. J’ai une collaboratrice qui m’a posé l’utilisation la question de l’utilisation de Copilot puisque nous avons tous des licences Microsoft. Bon manifestement cette personne voilà est un peu gênée. Je dis je lui ai juste parlé des problématiques en lien avec l’hébergement mais voilà la la la difficulté de savoir ce qu’on peut utiliser ou ne pas utiliser dans son entreprise en matière de de de d’agent.
Valérie Valais: Bon d’ailleurs d’abord pardon je pense qu’il ne faut pas dire ce qu’on peut utiliser ou pas utiliser. Enfin je trouve c’est un petit peu enfin interdire l’utilisation de l’IA c’est un peu dommage. On sait que c’est c’est quand même un très bon aussi pour pour stimuler l’innovation. Quoi qu’il en soit enfin ça revient un petit peu à ce qu’on se disait tout à l’heure c’est dès qu’on utilise des systèmes ouverts et selon comment comment c’est organisé dans l’entreprise Copilot peut peut en être un qui va si on met des des des données confidentielles ou sensibles ou des secrets d’affaires sur les outils d’IA on peut toujours avoir cette cette violation de données fuite de données de la même manière quand on utilise les les outils de traduction tels que DeepL enfin de voilà je donc je je sais pas tellement quoi dire d’autre il y a pas de règle absolue en après je laisserai d’un point de vue technique.
Journaliste: Oui vous par exemple vous vous exprimez.
Valérie Valais: Juste ce que je veux dire c’est que justement d’où l’importance de la charte informatique enfin la charte d’utilisation de l’IA en interne à mettre en place avec la DSI enfin juridique et DSI pour s’assurer que les personnes aient conscientes de ce qu’il faut faire ou non quand on utilise une IA et de quel type de données on peut mettre sur cette.
Nicolas Reymond: Oui effectivement la charte c’est on revient l’humain au cœur la charte c’est indispensable. Après je je comprends pas forcément tout ce qu’il y a derrière la question mais en fait quand on parle d’usage d’IA de quel de quel IA on parle? Vous parliez de DeepL c’est un outil merveilleux est-ce que vous l’utilisez à titre privé sur votre lieu de travail en shadow IT ou est-ce que votre entreprise a souscrit des licence DeepL et que vous avez un contrat avec et que dans ce cadre là on sait ce que DeepL va faire des données? Et je pense que c’est ça qui est vraiment important et c’est ça qu’on traduit dans la charte. Le contrat est fondamental. Est-ce que l’outil qu’on utilise est-ce qu’il y a un contrat derrière? Est-ce qu’on on sait ce qu’on va faire les données? Normalement si vous utilisez Copilot vous avez une licence votre entreprise a une licence avec Microsoft et dans cette licence on doit avoir négocié ce que Microsoft fait ou ne fait pas avec les données de l’entreprise où les données sont stockées quel est le droit d’usage de Microsoft sur ces données et en fonction des de ces négociations les tarifs de licence varient en plus hein effectivement. Mais ça fait partie du contrat. Utiliser de l’IA sans contrat avec une des CGU à titre personnel pour son activité professionnelle bah a priori c’est pas trop possible. En tout cas c’est déconseillé et ça devrait être inscrit comme ça dans les chartes. Ne pas laisser les choses au hasard.
Journaliste: Sophie Duperray comment se pense la responsabilité civile de l’entreprise ayant minimisé la nécessité de de cybersécurité notamment lié à la question de l’utilisation de l’IA?
Sophie Duperray: Elle se situe à plusieurs à plusieurs titres. En fait on va avoir une responsabilité clairement vis-à-vis de ses clients de ses utilisateurs et cetera puisque un défaut de sécurité implique potentiellement une violation d’une donnée donc ça peut engager sa responsabilité contractuelle vis-à-vis de ses clients. Ça engage effectivement dans tous les cas sa responsabilité civile mais au sens plus réglementaire puisque un défaut de sécurité peut amener à une perte de données donc des sanctions administratives que ça soit au titre du RGPD avec l’ACNIL comme de toutes les réglementations dont on a parlé aujourd’hui. Il est important je pense d’avoir en tête que toutes ces réglementations là que ça soit l’IA Acte ou NIS 2 DORA et cetera sont toutes à sortie de sanctions financières qui sont particulièrement fortes. On retrouve le même mécanisme qu’en RGPD donc un pourcentage du chiffre d’affaires versus un montant d’amende maximum avec des montants d’amende qui sont très élevés. À titre d’exemple pour l’IA Acte on est sur 7 % du chiffre d’affaires maximum donc on est quand même sur des sommes très élevées. Donc tout ça c’est quand même des éléments à avoir en tête. Donc c’est pas que de la responsabilité civile au sens purement contractuel délictuel mais il faut quand même avoir en considération que on a des risques financiers qui sont forts auxquels s’ajoutent des risques opérationnels qu’on a pas du tout évoqué aujourd’hui mais je pense qu’il est important d’avoir en tête notamment dans NIS 2 dans les sanctions qui peuvent être prononcées on peut avoir des suspensions des agréments des certifications donc ça implique une impossibilité d’exercice directement. On peut avoir des injonctions de mise en de mise en conformité bien entendu et puis en cas de non respect on peut aussi avoir une responsabilité de la part des dirigeants qui peuvent être suspendus dans l’exercice de leur fonction jusqu’à la mise en conformité. Donc on voit que le panel de sanction est quand même très très large.
Yrieix Denis: Et je sais pas ce que vous en pensez mais je pense qu’il va y avoir une hausse du contentieux lié au défaut de sécurité à la minimisation. Quelques cas en tête que je peux pas révéler mais qui sont majeurs finalement et il y a des entreprises qui prennent des décisions aujourd’hui qui vont avoir des conséquences énormes sur la vie des gens. On peut imaginer des cas médiatiques aujourd’hui où ont retrouvé leur adresse personnelle sur internet. Alors il y a plein de façons de le faire mais il y en a qui sont dus à des fuites Internet des fuites de données qui pourraient être dû à des défauts de de sécurité par les entreprises qui ont suivi ces fuites et je pense qu’il y aura de plus en plus et aussi c’est un c’est très lucratif pour les avocats. Donc je suis certain que plein de de de vos confrères de mon âge se lancent sur ce et à raison sur ce contentieux là parce que par ailleurs c’est on a beaucoup minimisé parce qu’on a quand même créé ce ce le RGPD pour se défendre de l’État on a bien raison de se défendre de l’État puis des GAFAM on a bien raison de se défendre des GAFAM mais maintenant en fait on doit se défendre de tout le monde hélas et on aura raison en fait de faire poser ce risque enfin cette responsabilité pardon sur tous ceux qui vont prendre nos données et en faire mauvais usage. Moi je recommande à mes clients les gens que je forme de surtout ne jamais donner leur vraie adresse ne jamais donner leur vrai mail à 90% des entreprises qui leur demandent c’est parfaitement inutile et partir du principe que tout ce qui pourrait donner sortira un jour parce que les entreprises aujourd’hui ont pas un niveau extraordinaire en défense des données.
Journaliste: Allez il nous reste encore quelques toutes petites minutes pour évoquer notre 4e point sur bah justement ce dont vous parliez la la mise en conformité quelles sont les bonnes pratiques les clés de la réussite dans ce domaine Valérie Valais comment identifier ses obligations comment déterminer des délais comment définir un plan d’action et une gouvernance?
Valérie Valais: Alors par rapport à quoi exactement? Là on parle de la politique de de sécurité du système d’information. D’accord donc mettre en place une une PCSI ou une politique de sécurité du système d’information je dirais que cette politique elle a elle aura pour objectif de bah de de reprendre en fait un petit peu tout ce qu’on s’est dit c’est-à-dire qu’est-ce que moi collaborateur je peux faire et qu’est-ce qu’il est en revanche déconseillé de faire identifier le type d’IA sur lesquels l’entreprise est en effet prête à avec laquelle l’entreprise est prête à travailler former les former les collaborateurs les apprendre aussi à c’est ça a été dit tout à l’heure à identifier des risques de fishing par exemple et donc d’alerter et tout cela devrait être édité en effet dans cette dans cette politique.
Journaliste: Ça veut dire qu’il faut se préparer à à des contrôles aussi quand on est quand on est à la tête de sa de cette politique dans une entreprise? Alors des contrôles de la part des des régulateurs.
Valérie Valais: En fait j’ai en fait j’ai du mal à voir pardon le lien entre entre le entre la sécurité du système d’information et les et les et le lien avec les régulateurs. C’est Oui d’accord pardon. Vous voyez donc en effet là il va être important de pouvoir démontrer en effet aux régulateurs si c’est que l’on a mis en place nos obligations qu’on a fait qu’on a donc mis des chartes en interne qu’on a des outils qui respectent les réglementations en matière de de cybersécurité les les plans de formation donc tout cela en effet sera sera identifié et pour permettre de démontrer le respect de nos obligations réglementaires.
Journaliste: Sophie Duperray sur ces actions de mise en conformité qu’est-ce qu’on peut attendre de la part des entreprises?
Sophie Duperray: Alors très clairement on a des chantiers de mise en conformité important à mener que ça soit sur le plan intelligence artificielle comme cybersécurité et d’ailleurs on peut noter un certain nombre de synergies entre toutes ces réglementations là. Je vais pas les citer toutes bien entendu mais je pense que on a quand même plusieurs chantiers à mener qui sont assez prioritaires. Il y en a un premier qu’on a abordé à plusieurs reprises c’est le chantier de la sensibilisation des salariés notamment sur l’intelligence artificielle. Il est important d’avoir en tête qu’on a une obligation issue de l’IA Acte qui est déjà entrée en vigueur depuis février et qui impose encore une fois à tout déployeur fournisseur de former son personnel ses sous-traitants et cetera aux enjeux de l’intelligence artificielle au risque de l’intelligence artificielle et des outils qu’on déploie. Cette obligation là encore une fois on doit la lancer. On a un peu le pendant dans les réglementations cyber. Donc clairement la formation ça passe par des chartes ça passe par des séances de formation. C’est un chantier important à avoir en tête. Ensuite et notamment pour l’IA on a besoin de cartographie des systèmes d’intelligence artificielle qu’on va utiliser. Alors ceux qu’on va être amené à déployer dans le futur mais aussi ceux qu’on utilise d’ores et déjà pour voir dans quelle mesure ils sont conformes à la réglementation IA Acte et à toutes les autres réglementations existantes qu’on a évoqué précédemment. Donc ça implique aussi des chantiers de gouvernance des données qui sont qui sont généralement déjà lancés au sein des entreprises pour être en mesure ensuite d’identifier concrètement les obligations les chantiers et là ça se décline en fait en fonction de comment les IA vont être catégorisées si elles sont plus ou moins à risque quelles sont mes obligations de documentation que ça soit côté IA comme côté cybersécurité. On l’a évoqué à nombreuses reprises hein mais il y a vraiment une obligation de documentation forte au travers de politique de gouvernance de charte. Ça c’est vraiment l’idée accountability qu’on peut retrouver dans le RGPD notamment et puis la déclinaison opérationnelle c’est que c’est bien de documenter mais c’est absolument indispensable de mettre en œuvre en pratique et donc ça ça implique aussi une évolution des des modes de fonctionnement pour auditer très concrètement si les mesures sont respectées en interne et vis-à-vis des sous-traitants. Ce qui amène le dernier chantier grand chantier on va dire qui est l’aspect plus contractualisation et gestion de la sous-traitance puisque ça implique des obligations de report d’obligation dans les contrats la gestion de la responsabilité civile associée on l’a on l’a rapidement abordé précédemment. Donc tous ces chantiers doivent être menés de front et encore une fois au regard des risques de contrôle des autorités. Alors on ne sait pas qui encore sur le plan IA l’autorité française n’est pas désignée mais en tout cas contrôle c’est certain qu’il y aura à un moment. Sur l’aspect NIS 2 ça sera ça sera l’ANSSI en l’occurrence et on aura un petit délai pour se mettre en conformité quand bien même la réglementation est un peu un peu en retard mais le RGPD nous démontre quand même que contrôle de la CNIL il y a et sanctions financières fortes il y a également. Donc à terme le chantier de mise en conformité est indispensable l’enjeu est bien là.
Journaliste: Dr Paul Théron est-ce qu’il existe quand on est à la tête d’une entreprise des modèles qu’on peut utiliser justement voilà pour se pour se mettre en conformité pour apporter toutes ces garanties?
Dr Paul Théron: Alors il y a des modèles de cyberrésilience par exemple qui sont en fait des cadres généraux qui précise les différentes activités à la fois de prévention de protection de détection de réponse de et d’amélioration permanente ou de gouvernance. Ces ces cadres pour ne pas en citer un il y a le NIST mais peu importe c’est une anecdote ce genre de cadre spécifie des activités minimales à mettre en œuvre. Mais au-delà de ça il faut absolument que d’une part il y ait une bonne gouvernance et de la Cyber et de l’IA et moi je pense qu’elle doit être conjointe parce que c’est ce sont des sujets convergants ou complémentaires mais à mon avis convergant. Et puis deuxièmement il faut vraiment penser l’utilité de l’IA d’un côté et la nécessité de la cyber de l’autre dans tous les projets c’est-à-dire qu’on peut pas lancer un projet sans réfléchir à ces aspects-là sans les incorporer en dans le durement de l’exploitation et de la maintenance jusqu’au décommissionnement des systèmes. Concrètement c’est absolument fondamental. Donc ça c’est pour aujourd’hui mais pour l’avenir il faut penser que comme on le disait plus tôt il y a des systèmes qui vont avoir une durée de vie très longue de plusieurs décennies éventuellement. Dans les entreprises ça n’est pas rare il faut penser très en avance quoi et et donc ça veut dire une certaine architecture des systèmes de façon à ce qu’il soit adaptable aux évolutions qu’on subira nécessairement.
Journaliste: Oui donc il y a c’est toute une réflexion globale à avoir mais avec des actions concrètes. Jean-François Faye pour conclure et également réfléchir sur sur le long terme voilà mettre en place des mesures qui permettent de de penser à 5 ans à 10 ans.
Jean-François Faye: Ouais ce qui est ce qui est délicat dans les sujets qu’on a évoqué ce matin c’est le facteur temps on en a déjà parlé et il faut être à la fois en capacité de penser le temps court parce que sinon il y aura pas de lendemain et de penser en en même temps le le temps long. Donc penser le temps long c’est effectivement penser en terme de cycle de vie de son système d’information de ses de ses produits comme pour les coresponsabilités ça veut dire introduire très en amont de la réflexion effectivement les méthodes et les contraintes associé là en l’occurrence au risque. Donc ça nécessite encore une fois beaucoup de formation beaucoup d’accompagnement des outillages et c’est peut-être ce qui est un peu frustrant sur ces sujets-là c’est que ce sont des sujets qui s’invitent à la table de notre quotidien et en même temps on voit qu’ils sont complexes. C’est pas toujours simple de s’en débrouiller seul il faut se faire accompagner ça nécessite de se structurer c’est pluridisciplinaire donc c’est à l’image de la complexité du monde dans lequel dans lequel on vit mais c’est à prendre extrêmement au sérieux parce que comme on l’a évoqué c’est un risque létal pour nos entreprises. Et donc que ça soit sur l’intelligence artificielle ou la cybersécurité effectivement il faut être capable de penser temps court temps long et sur le temps long d’être capable de faire des investissements. On en revient à la problématique de l’intangibilité des risques ou des enjeux sur l’IA où parfois ça reste encore un peu flou et pourtant il faut être en capacité de d’investir pour pouvoir préparer demain. Donc c’est un curseur qui est un peu compliqué à à trouver et comme on est sur un champ qui est complètement nouveau bah forcément on on défriche on fait des erreurs on s’améliore voilà mais l’aspect pluridisciplinaire me semble absolument crucial pour pouvoir justement travailler le temps long qui est l’enjeu que vous évoquiez.
Journaliste: Prévoir un peu de budget investir pourquoi pas d’ailleurs emprunter auprès de sa banque hein quand on quand on veut mettre de l’argent sur ces sujets-là. Votre conclusion à Nicolas Reymond?
Nicolas Reymond: Ma conclusion c’est qu’effectivement il y a on a beaucoup de sujets nouveaux complexes en même temps on utilise des process standardisés moi dans mon environnement la compliance on a l’habitude depuis très longtemps. Donc on essaie de de dérouler un petit peu les mécanismes dont on a l’habitude. Donc formation on en a parlé d’hier et je pense que c’est fondamental parce que on a encore aujourd’hui y compris dans les personnes qui développent des systèmes une méconnaissance importante de ce qui est réellement l’IA et de ces enjeux. Donc la formation est fondamentale et ensuite Dr Paul Théron en parler la méthode la partie projet il faut que ce soit intégré dans les projets. On a mis du privacy by design dans tous nos projets et là on n’est plus sur du on n’est plus sur de simplement de l’humain on est sur du process c’est une obligation. On parlait de gate à un moment on avance pas dans un projet si on n’a pas rempli un certain nombre d’exigences. Ça concerne l’IA et derrière on a du contrôle et c’est comme ça qu’on arrive à développer des systèmes qui sont bah le plus conformes possible en fonction des arrivées de la réglementation et des nouveautés qui qui arriveront dans les prochaines semaines et prochains mois.
Journaliste: OK votre conclusion tout aussi courte Yrieix Denis?
Yrieix Denis: Moi je j’invite nos auditeurs à passer le miroir d’Alice aux pays des merveilles et donc de rentrer dans le monde de la cybersécurité qui est un monde extrêmement vaste qui repose sur des sciences fondamentales complexes et qui dont on ressort très enrichi. Et si ils ont besoin d’être accompagnés par un lapin blanc et donc ce lapin blanc moi je viens du monde du conseil au dirigeant c’est un consultant en cybersécurité que je serais très ravi de d’être pour eux. Plus sérieusement il faut quelqu’un avec qui vous pouvez poser des questions comme un médecin généraliste qui vous enverra vers les spécialistes et qui vous connaissent et qui vous suivent sur le long le temps long. Je pense qu’on aura un qu’on devrait avoir un consultant en cybersécurité comme on a un avocat un notaire un médecin généraliste et toutes les autres métiers qui sont majeurs et qui nous éclairent sur ces cette longue route qui est la conformité et la sécurité.
Journaliste: Valérie Valais votre conclusion à vous après avoir écouté tous les spécialistes aussi autour de nous est-ce que vous vous sentez renforcée en tout cas vous revigorée? Est-ce que est-ce que vous vous dites que tout ça finalement bah ça n’est pas si grave si on si on prend les choses à temps?
Valérie Valais: Alors je dirais que comme ça a été déjà dit c’est une tâche rude et complexe que l’appréhension de tous les textes que nous avons actuellement. Pour autant c’est passionnant. On a en effet de nombreux experts autour de la table ici et on et donc partout partout ailleurs qui peuvent qui peuvent nous aider à faire ça ce qui est ou à appréhender en tout cas ces ces nouvelles obligations. Ce qui est certain que il faut le faire maintenant il faut pas attendre. On l’a dit il faut se préparer former nos collaborateurs et pour l’actuel enfin c’est maintenant parce que tout tout enfin les dans les mois qui viennent on va voir les obligations vont petit à petit s’appliquer pour toutes les tous les SIA. Donc c’est important de mettre en place la gouvernance la cartographie des IA qu’on utilise que l’on vend et cetera qui sera aussi déterminant par rapport pour identifier notre business model et donc mais c’est bon c’est passionnant en fait hein c’est très passionnant tout à fait.
Dr Paul Théron: Oui si je peux ajouter un mot il y a aussi la formation initiale la formation universitaire et je pense que là il y a beaucoup de progrès à faire. Le développement de la pluridisciplinarité ou de la multidisciplinarité est absolument essentiel former les jeunes ingénieurs à à aborder les problèmes sous un peu plus d’aspects que la technique pure. J’ai enseigné dans certaines écoles d’ingénieur où on m’a dit ah bah c’est c’est dommage oui les les élèves sont pas très intéressés par la méthodologie tu comprends? Ils ont du C++ version 14.12.13 à faire avec des projets c’est très urgent. Oui bien sûr mais à la sortie ça fait des jeunes ingénieurs qui entrent dans les grandes entreprises comme Thalès Airbus et et d’autres ou des banques n’est-ce pas et qui n’ont aucune notion du raisonnement méthodologique de fond et qui prennent volontiers les problèmes par le mauvais bout c’est-à-dire par le petit bout de la lorniette. Je ne citerai pas d’exemple mais quand par exemple un jeune à qui on demande de faire une correction d’un bug sur un système de défense met le bout de code sur internet en attendant la réponse vous imaginez un peu le danger potentiel et le manque de réflexion. Ça c’est parce que on n’a pas suffisamment formé la jeunesse au à la méthodologie en fait et à la réflexion au-delà de la pure technique. Donc tout commence aussi à l’école sur les bands de la fac effectivement.
Journaliste: Un grand merci à vous tous et et à vous toutes d’avoir participé à cette conférence. Je pense qu’on a donné quand même pas mal d’éléments concrets pas mal de conseils pratiques pour aider les entreprises pour aider les services juridiques les services informatiques à se protéger face à ces sujets. Valérie Valais du groupe Lacroix Yrieix Denis consultant en cybersécurité Nicolas Reymond la BRED BRED Sophie Duperray le cabinet Derénic Dr Paul Théron ancien expert auprès de l’Union européenne et de l’OTAN et puis Jean-François Faye du groupe April Courtier en assurance. Merci également au Cercle Montesquieu et à Le Fèvre d’Alause pour cette conférence en partenariat avec le droit pour moi. Le Fèvre d’Alause qui nous accueille dans ses locaux et dont je signale ce Code de la Cybersécurité 2e édition en 2024 pour tout connaître de ces sujets vous pouvez naturellement vous le procurer. Merci à tous de nous avoir suivi très bonne journée.