Le Journal des Entreprises : La Bretagne est-elle bonne élève en matière de sécurité informatique ?
Éric Hazane : La Bretagne s'est positionnée très tôt comme une région pilote en matière de numérique, avec notamment le pôle d'excellence cyber. C'est aussi l'une des seules régions françaises à disposer d'un bureau permanent à Bruxelles dans ce domaine. Les spécificités bretonnes en matière de cybersécurité sont surtout liées à ses secteurs d'excellence : l'agroalimentaire qui se numérise très fortement, les laboratoires de biotechnologie qui intéressent forcément de nombreux concurrents, ou encore les télécoms... Notre rôle est de mettre tous ces acteurs différents en relation afin d'identifier les besoins émergents en la matière.
Pierre Gacic : Des attaques massives comme Wannacry ou Notpetya ne doivent pas faire oublier que des opérations plus modestes et plus discrètes peuvent être menées par des petits délinquants ou des mafias organisées. Quand ce ne sont pas des attaques téléguidées par des forces étatiques extra-européennes qui cherchent à affaiblir une entreprise avant de la racheter, ou simplement qui veulent la balayer... On a d'ailleurs eu des cas en Bretagne, sur de jolies PME de 70 à 80 salariés avec des savoir-faire très spécifiques.
« Les attaques massives ne doivent pas faire oublier les opérations plus modestes (...) ou celles téléguidées par des forces étatiques qui cherchent à affaiblir une entreprise avant de la racheter. »
Ces dernières années, on a vu une véritable prise de conscience des acteurs étatiques et locaux. Quand notre délégué est arrivé à Rennes, tous les services de l'État et bon nombre d'acteurs locaux l'attendaient. C'est quelque chose qu'on n'a pas forcément vu dans d'autres régions : ici, les acteurs ont vraiment pris conscience que la transformation numérique devait s'accompagner de sécurité. La charte cybersécurité des prestataires informatiques portée par la CCIMBO, en lien avec l'ANSSI et la French tech Brest +, en est une bonne illustration. Ce genre d'initiative n'a pas d'équivalent en France.
Quels sont les pièges à éviter?
É. H. : En premier lieu, je dirais de placer le curseur au bon niveau entre naïveté et paranoïa. Il faut bien sûr être vigilant, mais il convient aussi d'intégrer le risque numérique comme étant un risque parmi les autres. La première étape consiste à bien identifier ce qui doit être protégé, et ensuite à mettre les outils en place. Ensuite, il faut sensibiliser l'ensemble du personnel, et surtout les dirigeants, car culturellement, ce sont eux qui emportent avec eux des données sensibles sur l'entreprise et ont la plus mauvaise hygiène numérique. Quel chef d'entreprise ne s'est pas un jour connecté à un réseau wi-fi non-sécurisé dans un aéroport ? On a d'ailleurs coutume de dire qu'en général, la cybersécurité c'est 20 % de technique et 80 % d'opérationnel.
« Culturellement, ce sont les dirigeants qui emportent avec eux des données sensibles et ont la plus mauvaise hygiène numérique. »
P. G. : Nous souhaitons aussi attirer l'attention sur le fait que de simples changements de comportement peuvent considérablement augmenter la sécurité informatique avec un investissement minime. Il faut notamment savoir s'appuyer sur ceux qui savent faire, à savoir des prestataires spécialisés, tout comme il faut s'assurer que tous les dispositifs de sécurité déployés dans l'entreprise sont qualifiés : pare-feux, chiffrement des données, etc. Ce genre de services ne coûte généralement que quelques dizaines d'euros par an. En moyenne, sécuriser son entreprise sur le plan numérique ne fait augmenter le budget informatique que de 5 à 10 %, mais les retours sur investissement sont énormes, d'autant que certains dispositifs de sécurisation des données peuvent bénéficier d'une aide de l'État.
Pourquoi organiser un événement comme Secnuméco à Brest?
P. G. : Le concept est né à Rennes l'année dernière, et est le fruit d'une collaboration entre l'ANSSI et le Service de l'Information Stratégique et de la Sécurité économiques (SISSE). L'idée, c'est qu'au-delà de proposer des formations et des outils, il nous fallait sensibiliser les chefs d'entreprises sur l'importance du fait qu'en matière de sécurité informatique, chacun doit prendre ses responsabilités.
Quels outils mettez-vous à la disposition des chefs d'entreprises en matière de cybersécurité ?
É. H. : De très nombreux guides à destination des experts en sécurité informatique des entreprises, mais aussi aux dirigeants ou aux simples citoyens. Nous proposons également un Mooc (cours en ligne, ndlr) accessible gratuitement, qui connaît un fort succès. Nous organisons également des événements comme ici, à Brest, afin de faire de la sensibilisation dans ce domaine, et proposons toute une gamme d'audits ainsi qu'une liste de prestataires qualifiés.
