Les récentes cyberattaques ont démontré la nécessité pour les entreprises d’adopter une stratégie de sécurisation des systèmes d’information. Les chefs d’entreprise et les responsables SI ne peuvent désormais pas faire l’impasse sur cette question stratégique. L’OTAN considère d’ailleurs le cyber comme une zone de guerre au même niveau que la terre, la mer, le ciel, ou l’espace.
Les entreprises sont dès lors contraintes de prendre des mesures pour ne pas subir ces attaques en protégeant leurs infrastructures. Face à ces risques systémiques, chaque acteur est non seulement responsable de sa propre sécurité mais également de celle des autres. La coopération et le partage d’information sont ainsi essentiels pour compenser l’asymétrie entre « l’attaquant » et le « défenseur » et ces solutions se doivent d’être collectives, collaboratives mais surtout véritablement souveraines.
Alors, comment bien préparer sa roadmap sécurité pour se prémunir des cybermenaces ? Quel est le rôle essentiel des startups dans la mise en place de mesures de sécurité efficaces ?
Le 12 décembre 2024, Bpifrance Le Hub a organisé une nouvelle session de sa série d’événements Les Tech’Up du Hub, pour comprendre comment la collaboration entre startups et grands groupes peut contribuer à créer un écosystème de cybersécurité collective plus robuste.
Au micro :
- Keynote d’introduction de Cyril Haziza – Group Chief Information Security Officer de Kering et membre du Conseil d’Administration du Campus Cyber et réserviste cyber
- Table ronde avec :
Gwenaëlle Martinet, Directrice de l’offre Cyber chez Docaposte, qui propose un Pack Cyber pour répondre aux besoins cyber des PME, intégrant les solutions d’éditeurs français,
Audrey Amédro, CEO et Founder de Sésame IT, un éditeur de logiciel qui a développé une plateforme d’observabilité permettant de surveiller l’intégralité du réseau de ses clients,
Guillaume Vassault-Houlière, CEO et Co-Founder de YesWeHack, une startup de cybersécurité se basant sur une communauté de « gentils hackers » disséminée partout dans le monde qui cherche des failles pour les clients de la startup qui les rémunère selon un système de primes,
animée par Sébastien Montusclat, Responsable sectoriel Numérique chez Bpifrance
Pour démarrer, Cyril Haziza présente les problématiques du groupe Kering et son métier pour le protéger. S’il n’est nul besoin de rappeler en détail les activités commerciales du grand groupe, il convient toutefois de s’attarder sur les risques numériques auxquels il est confronté.
Les enjeux des grands groupes sur la cybersécurité
En effet, par la multiplicité de son portefeuille et de son étendue géographique et organisationnelle, Kering présente de multiples challenges en termes de gestion cyber. Celle-ci se fait donc en conséquence, « en 24/7 et follow the sun », c’est-à-dire en continu et partout dans le monde. En grandes mailles, ce sont 50 experts qui travaillent à la protection cyber du groupe en se reposant sur 5 piliers communs qui correspondent à l’organisation et à la stratégie cyber sécurité.
Ces 5 piliers, basés sur le NIST (National institute of standards and technology) Cybersecurity Framework, un référentiel dont la version 2.0 a été publiée en début d’année 2024 sont, en Anglais :
- prevent,
- comply,
- protect,
- detect & react,
- recover.
Un mantra stratégique qui se traduit opérationnellement : « si, sur ces 5 piliers, le niveau de sécurité est bon alors l’asset est sécurisé », explique Cyril Haziza.
Pour poursuivre sa démonstration pointant les grands écarts entre les sujets qui peuvent animer ses enjeux au quotidien, le CISO évoque en parallèle Windows 2003 et Google Willow (la dernière puce de quantum computing d’Alphabet), autant d’exemples de technologies obsolètes ou dernier cri qui peuvent représenter aussi bien des dangers que des opportunités. Pour des gens comme Cyril Haziza, il faut donc garder à l’œil en permanence l’intégralité de ce qui touche à la vie numérique de l’entreprise.
Toutefois, certains sujets animent son agenda plus que d’autres. Il détaille ces sujets et les classes en 2 catégories :
- le « refresh », c’est-à-dire les intemporels que l’on retrouve par définition chaque année et qui ne disparaissent jamais des radars de l’activité. Dans le détail, on retrouve ainsi, pêle-mêle, la gestion des risques, la « cyber hygiène », la conformité, la sensibilisation des collaborateurs, la protection des données, les « incident responses », la visibilité des actifs, ou le périmètre « zero trust »
- les nouveautés, incluant tout ce qui est susceptible d’avoir un apport en termes d’usages et de nouveaux business, à la fois pour les équipes cyber au sein du groupe mais aussi pour les hackers et les potentiels cyberattaquants.
L’IA, en plein boom, est un des exemples rentrant dans la seconde catégorie. Celle-ci a par exemple permis l’explosion du phishing, en permettant aux pirates de traduire leur contenu malveillant dans plusieurs langues grâce aux outils LLM. En dehors de l’IA, de nombreux sujets émergent dans un secteur en constante évolution – une évolution d’autant plus tendue à suivre qu’elle est de plus en plus rapide : on parle notamment de RaaS (ransomware-as-a-service), de quantum computing, de sécurisation des objets connectés (IoT), de cybersécurité des environnements OT, de détection proactive, de cyber résilience, de chaine d’approvisionnement numérique, des cryptomonnaies et actifs numériques ou encore du cloud souverain.
Des notions qui sont également de plus en plus complexes et qui ouvrent de plus en plus de « chemins d’attaque » pour les cyberattaquants.
Un concept avec lequel conclut notre premier invité du jour, rappelant que ce chemin d’attaque est la pierre angulaire de nombreux process et sujets interconnectés dans les thématiques cyber, les points d’entrée, relais de propagation et vecteurs d’exploitation étant de fait eux aussi de plus en plus nombreux et donc autant de dangers potentiels pour les entreprises.
Des startups françaises championnes de la cybersécurité ? Oui !
La cybersécurité est donc un sujet qui concerne les grands groupes mais pas seulement, comme le suggère la thématique de notre événement. Elle est l’affaire de tous. Pour Sébastien Montusclat, animateur de cette table ronde, Bpifrance est aussi là pour jouer son rôle en renforçant les liens entre grandes entreprises / PME et startups. La banque publique veut ainsi « sensibiliser, développer l’offre et accompagner la demande pour répondre aux challenges qui se posent ». Des diagnostics cyber jusqu’aux investissements en fonds propres dans les entreprises cyber et en passant par les appels à projets innovation avec notamment les fonds de France2030 tous les métiers de Bpifrance sont mobilisés.
Des enjeux partagés par nos invités du jour, à commencer par les dirigeants de startups. Premier défi dans cette collaboration entre jeunes entreprises et grands groupes établis identifié par Audrey Amédro, fondatrice et CEO de Sésame IT : le niveau d’engagement. En effet, les clients de Sésame IT sont « de grandes structures dont le niveau d’engagement doit être avéré pour que la collaboration soit efficace. »
La relation de confiance entre le fournisseur et le client est donc primordiale, en particulier dans ce domaine d’expertise assez pointu dans lequel les concurrents américains sont plutôt dominants sur le marché. Le 2e défi, en corrélation, est donc de parvenir à convaincre les grands groupes français à travailler avec d’autres acteurs français et de leur apporter la preuve que les jeunes pousses de l’Hexagone sont aussi fiables que leurs concurrents US, ou en capacité à le devenir avec leur soutien. Relever ces défis permet ainsi de lancer un cercle vertueux : confiance, déploiement, nouveaux clients, moyens destinés à la recherche de l’amélioration de la solution, etc.
Guillaume Vassault-Houlière, CEO de YesWeHack, va dans ce sens : « nous comptons aujourd’hui beaucoup de clients (à peu près 80% du CAC 40 dans notre portefeuille) mais nous avons dû être malins pour nous faire adopter par rapport à notre modèle et les challenges qu’il propose dans les processus d’achat des grands groupes. En revanche, notre produit est simple à déployer et à tester. »
La souveraineté passera (évidemment) par l’achat de solutions françaises
Présente dans 45 pays aujourd’hui, la solution de YesWeHack compte seulement 3 à 4 concurrents dans le monde, en majorité américains, et teste de 7000 à 8000 périmètres d’attaques pour ses clients, 365 jours / an. Guillaume Vassault-Houlière enchaîne : « la cybersécurité est un enjeu de souveraineté pour les entreprises, mais aussi pour les citoyens, qui utilisent des outils numériques tous les jours et donc pour les pouvoirs publics afin qu’ils aient la confiance de leurs utilisateurs. Il est donc très important que les acteurs européens achètent des solutions européennes. »
Un constat auquel Gwenaëlle Martinet, Directrice de l’offre Cyber chez Docaposte (Groupe La Poste) souscrit : « aujourd’hui, les startups françaises ont du mal à vendre alors que l’on arrive à construire des offres cybersécurité avec des solutions françaises uniquement. Il y a un vrai décalage entre les discours de souveraineté et les actes d’achat, souvent de solutions américaines. Docaposte a mis en place une offre pour les petites entreprises en construisant cette offre avec les éditeurs reconnus et fiables, en France. »
Guillaume Vassault-Houlière continue en soulignant la responsabilité des grandes entreprises avec un message clair : « il faut qu’elles puissent savoir acheter chez des ‘artisans’, qui possèdent la technique mais qui peuvent fournir du service et un véritable accompagnement. Acheter américain ne fonctionne pas sur le long terme car les clients deviennent des numéros… Mais il faut savoir évangéliser et montrer l’exemple. Nous sommes tous responsables de ce que l’on achète en cyber. Dans les grands groupes, le CISO, le DG, le PDG et tous les collaborateurs de la société sont tous responsables de ce qu’est la souveraineté, en particulier sur les sujets cyber. »
D’autant que, pour Audrey Amédro, le fait que la France compte beaucoup de startups très innovantes sur les sujets cyber est une véritable spécificité européenne : « nous avons le potentiel de créer un vrai pôle de compétitivité dans ce secteur. La France peut devenir un des champions mondiaux car elle possède le terreau d’innovation et le marché. » Le radar sur les startups cyber en collaboration avec Wavestone met parfaitement en avant ce constat.
« De plus, poursuit-elle, nous installons des solutions au cœur de nos réseaux, des clouds avec nos données et des points d’accès qui sont des points de vulnérabilité et d’espionnage. Garder les compétences sur les territoires européens est donc essentiel. »
D’autant que la réglementation en Europe, qui peut être perçue comme une barrière face aux besoins de rapidité et d’agilité pour se développer, peut s’avérer être une force pour les entreprises françaises, obligées de mieux réfléchir à leurs produits et services pour les rendre plus robustes. Des problématiques que l’on retrouve dans d’autres secteurs, mais qui sont particulièrement vraies dans la cyber, dont le rythme des évolutions semble être exponentielles. Suivre ce rythme sera ainsi le véritable défi des grands groupes comme des startups.
Responsable Contenus et Marque Bpifrance Le Hub