Votre entreprise, Égérie, spécialisée dans la gestion des risques cyber (plus de 50 salariés, CA : 2,34 M€), vient d’être sélectionnée par le gouvernement dans le cadre du projet Grand défi cybersécurité. Quel projet allez-vous mener dans ce cadre-là ?
Jean Larroumets : Le projet de R & D mené par Égérie engage une enveloppe globale de 2 millions d’euros, soutenu par l’État à hauteur de 990 000 euros. Ce projet vise à faire évoluer notre plateforme de pilotage de la cybersécurité pour permettre aux entreprises d’être plus performantes et efficaces dans leurs arbitrages. Demain, nous souhaitons que notre plateforme devienne plus automatique, plus dynamique et interconnectée avec les écosystèmes cyber.
Ce projet doit nous permettre de répondre à différents enjeux, que sont la réalisation d’une cartographie automatisée et dynamique, l’augmentation des sources d’information, le renforcement des collaborations avec l’ensemble des niveaux décisionnels de l’entreprise. Ce dernier point est particulièrement important car, aujourd’hui, 50 % des mesures à déployer en entreprise sont des mesures procédurales portées par les hommes. L’humain peut et doit être le maillon fort de la cyber… D’ailleurs, notre nouvelle plateforme facilitera aussi le partage d’expériences et de bonnes pratiques.
Plus globalement, être lauréat du Grand Défi Cyber nous permet d’avoir des ambitions renforcées en termes de R & D. Et nous pensons avoir été retenus par le gouvernement parce que nous avons une technologie (approche par le risque) capable de faire rayonner le savoir-faire français en la matière. Ce projet est initialement prévu pour une année dans le cadre du Grand Défi, mais il aura très certainement des suites. Notamment portés par ce projet, nous devrions créer une vingtaine d’emplois d’ici à deux ans.
Il était temps, selon vous, que l’État se saisisse des enjeux liés à la cybersécurité ?
Tous les experts en cybersécurité avaient conscience des enjeux, mais à un moment donné, il était en effet devenu indispensable d’emmener tout un écosystème dans une démarche de sécurisation.
Cela fait peu de temps que le risque cyber est perçu comme un risque stratégique. L’administration a tenté de faire des choses : la mise en place du Référentiel général de sécurité (RGS) en 2010, avait imposé un minimum de sécurisation à travers un cadre réglementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens. Mais ces réglementations ne sont pas forcément suivies, faute de réelles sanctions. Outre le RGS, une loi de programmation militaire a imposé un niveau de sécurité minimal aux opérateurs d’importance vitale (200) et avait fait école au niveau européen pour déboucher sur la directive NIS, qui concerne les opérateurs de service essentiels.
"Les budgets consacrés à la cybersécurité ne sont pas à la hauteur des enjeux"
Globalement, les budgets consacrés à la cybersécurité ne sont pas à la hauteur des enjeux. À titre d’exemple, les budgets des collectivités consacrés à la vidéosurveillance varient entre 5 à 10 millions d’euros alors que ceux dédiés à la cybersécurité avoisinent en règle générale les 5 000 euros. Faute de pédagogie, les citoyens n’ont pas conscience des dangers liés aux fuites de données.
Ce Grand Défi Cyber va générer une prise de conscience. Cette dernière constitue une étape importante, mais elle n’est pas encore assez rapide face aux risques que font peser les menaces et à l’agilité des attaquants.
Il faut passer de la prise de conscience à la maîtrise de la question, en constante évolution : ce n’est pas parce qu’une entreprise a pris des mesures de sécurité en avril 2021 que celles-ci seront encore efficaces en 2022.
Au-delà de la prise de conscience, le Grand Défi Cyber amorce un début de filière française…
En effet, c’est le début d’une structuration pour la filière.
"Le Grand Défi Cyber marque le début d’une structuration de la filière."
La France a besoin de champions industriels et économiques pour rayonner à l’international, elle a aussi besoin de renforcer sa souveraineté. L’intérêt de ce Grand Défi est de remettre un coup d’accélérateur sur un secteur où il faut aller vite.
L’objectif de ce Grand Défi est de rendre nos systèmes durablement résilients aux cyberattaques. Les grandes entreprises ont commencé à s’intéresser à la question, mais qu’en est-il des dirigeants de PME ?
Égérie travaille auprès d’opérateurs d’importance vitale, auxquels le gouvernement impose un niveau de sécurité minimale et une identification préalable des risques, et beaucoup de grands comptes.
Pour sensibiliser les PME aux risques cyber, nous déploierons prochainement, en partenariat avec le Centre Ressources Régional Cyber (C2RC) Sud, créé en octobre 2020, un outil capable de réaliser un prédiagnostic de leur exposition aux risques cyber et d’identifier des mesures adaptées (plan d’actions).
À ce jour, tant que le dirigeant de PME n’a pas pris conscience du risque, il n’actionne rien. Pourtant, le secret de la lutte contre les cyberattaques passe par l’anticipation des risques. D’autant que les attaquants ont toujours un temps d’avance sur les défenseurs. Une des solutions, c’est le partage d’informations. Je suis en effet convaincu que si les défenseurs partageaient davantage au sein d’une communauté les techniques d’attaque dont ils ont été victimes, les scénarios de risques, ou leurs bonnes pratiques de sécurité, ils rattraperaient leur retard.
