Le salon Big, organisé par Bpifrance, était l’occasion pour beaucoup de partir à la conquête d’investisseurs pour leurs projets. Pour certains, il s’agissait également de revenir sur les enjeux de sécurité qui sont une caractéristique non négligeable de chaque entreprise et de chaque projet. Pour se faire, Emmanuel Naëgelen – directeur général adjoint de l’Anssi, était présent afin de faire part de ses inquiétudes et des risques que la cybercriminalité engendre. « La menace cyber a explosé. A l’image d’un iceberg, la partie émergée rassemble toute la cybercriminalité et la partie immergée concerne la menace étatique ». Seulement voilà, au lieu de fondre comme le ferait un iceberg, les deux parties, liées, ont grossi de manière massive. « Aujourd’hui nos systèmes d’informations sont bien souvent des passoires » ajoute-t-il.

Garance Mathias (avocate), Renaud Deraison (co-fondateur et CTO de Tenable) et Olivier Breittmayer (fondateur de Exclusive Networks) participaient à un échange sur la cybersécurité dans le cadre du salon Big 2021 organisé par Bpifrance. (Crédit : CS)

On note toutefois une véritable prise de conscience aujourd’hui, estime Garance Mathias – avocate associée chez Mathias avocats. « Le risque vient de l’intérieur même si la menace est externe, il s’agit le plus souvent d’une défaillance involontaire ». La question de la sensibilisation et de la formation des collaborateurs est en effet récurrente au sein des entreprises, indépendamment de leur taille et de leur secteur d’activité. « Le risque cyber dépend du facteur humain » conclut l'avocate. De son côté, Lionel Chaine – directeur des systèmes d’information Bpifrance indique que « depuis 2020, l’Europe est la zone la plus attaquée, et la France le troisième pays le plus touché ». Bpifrance est au cœur de ce sujet et estime que les TPE et PME doivent avoir un responsable en charge de cette partie au sein de l’entreprise, « notre rôle est d’aider ces acteurs à prendre conscience de la menace cyber » ajoute-t-il.

Un niveau de sécurisation des SI trop faible

Gérôme Billois, associé cybersécurité et confiance numérique pour le cabinet de conseil Wavestone, également présent pour échanger sur la cybersécurité et ses enjeux, ne voit pas la situation d’un très bon œil. « Le niveau de sécurisation des systèmes d’information des entreprises est encore trop faible », précisant que « ce qui limite le nombre d’attaques aujourd’hui, c’est le nombre de cybercriminels qui ont envie d’attaquer ». Selon lui, les entreprises françaises doivent agir à plusieurs niveaux : rattraper ce retard d’investissement en entreprise avec 1 personne dédiée au cyber pour 500 à 600 employés au maximum (aujourd’hui on estime qu’une personne est dédiée au cyber pour 1 500 employés).

Il s’agit également de s’entourer d’un écosystème numérique, « il faut pousser pour avoir une sécurité by design, prendre moins de risques qu’actuellement ». Le dernier point sur lequel insiste Gérôme Billois est la forme d’impunité pour les cybercriminels, « il y a trop de lenteur à aller les chercher sur le terrain » estime-t-il ajoutant que la coopération entre Etats doit être également accélérée. Sur la problématique du retard des entreprises françaises, Olivier Breittmayer - fondateur de Exclusive Networks, s’entend avec Gérôme Billois. « C’est l’un des marchés qui évolue le plus et le plus rapidement, sans cesse. En France on est en retard sur le niveau d’installation des produits ». L’associé cybersécurité de Wavestone précise que c’est toujours le système central qui est ciblé – active directory – par manque de moyens.

Lionel Chaine (directeur des SI Bpifrance), Emmanuel Naëgelen (DGA de l'Anssi) et Gérôme Billois (associé cyber chez Wavestone) étaient présents au salon Big 2021 pour échanger sur les enjeux de cybersécurité dans les entreprises. (Crédit : CS)

Un décalage France / Etats-Unis

« Le marché français est moins mature que le marché américain » soutient Renaud Deraison, co-fondateur et CTO de Tenable, une entreprise de cybersécurité américaine fondée en 2002. De l’autre côté de l’atlantique, les contraintes juridiques sont plus fortes assure-t-il. Emmanuel Naëgelen attribue également ce retard à un problème de compétences en France, malgré des salaires de RSSI conséquents. « On manque de formation, de gens expérimentés, et les écoles d’ingénieurs ouvrent des formations mais n’arrivent pas à les remplir, car il y a un problème de notoriété de ces métiers » conclut le directeur général adjoint de l'Anssi. Ce rattrapage technologique en France est inhérent à une pénurie de talents. En somme, une gestion des risques plus stricte, une multiplication des outils ainsi que des formations et une bonne communication sur ce sujet seraient la clé de la réussite à la française pour faire émerger une filière cyber forte.