Category
🤖
TechnologieTranscription
00:00 [Silence]
00:04 OK.
00:05 Eh bien du coup, bonjour à tous.
00:07 Merci d'être présents pour ce webinaire
00:10 présenté par le C-CIRT.
00:13 Donc aujourd'hui, on accueille
00:16 donc Monsieur Goetz et Monsieur Maia
00:19 qui font partie de l'entreprise APAV
00:21 et qui vont pouvoir nous présenter un sujet
00:24 qu'on n'aborde pas souvent
00:25 quand on parle de cybersécurité
00:27 qui est en rapport avec le risque
00:31 qu'on peut rencontrer chez ses fournisseurs,
00:34 chez ses prestataires, etc.
00:36 Donc voilà, un sujet qui est de plus en plus
00:41 présent dans le domaine de la cybersécurité.
00:46 Alors je vais peut-être rapidement donner la main
00:50 parce que moi je pourrais en parler un peu plus
00:54 mais je ne veux pas dévoiler trop de sujets.
00:58 Donc voilà, on va faire une partie de présentation
01:03 d'une quinzaine, vingt minutes à peu près
01:05 en fonction de votre support.
01:07 Et puis on terminera avec une partie de questions-réponses
01:11 si vous avez des questions à la fin.
01:14 Et on essaiera d'y répondre
01:16 avec nos intervenants du jour.
01:19 Voilà, donc je vous laisse la main
01:22 et n'hésitez pas si vous avez des questions,
01:25 vous pouvez les poser sur le chat.
01:27 Moi je les prendrai au fur et à mesure
01:29 et puis on les répondra à la fin du webinaire.
01:34 Très bien. Écoutez, merci à tous.
01:37 Je suis Philippe Maillard,
01:38 effectivement directeur du développement
01:40 au sein d'APAV et plus précisément d'APAV Digital.
01:44 Et on aura le plaisir de parler de risque cyber
01:50 et cette approche par rapport au plan lisseur.
01:54 Alors voilà, je vais demander à Laurent qui est à distance aussi
01:59 de pouvoir faire défier parce que avec la technique
02:02 et puisque je suis sur mon téléphone,
02:04 il ne va pas accéder à Tim ce matin.
02:07 Voilà, donc écoute, tu peux enchaîner Laurent sur la dépôt 2.
02:13 C'est vrai qu'elle arrive.
02:17 Donc, 4 sujets ou 4 façons d'aborder.
02:21 Donc, une présentation rapide d'APAV Digital,
02:27 un tour sur le contexte croissant des cyberattaques
02:31 sur l'écosystème des fournisseurs.
02:35 On a eu assez récemment deux attaques sur des grands comptes
02:40 mais par des fournisseurs de plus petite taille.
02:45 On a eu Engie et puis à l'époque Le Roi de l'Emploi,
02:49 mais qui me connait donc à France Travail en septembre.
02:52 Les précautions à prendre et puis la vision dont APAV
02:59 a de l'accompagnement spécifique justement à ce risque lié aux fournisseurs.
03:07 Alors, APAV Digital, dis Laurent.
03:10 Je me permets d'intervenir.
03:13 Je ne sais pas si c'est uniquement moi ou si c'est pareil pour les autres participants,
03:18 mais je suis figé sur la première slide.
03:21 Je ne sais pas si le partage a sauté ou s'il faut relancer le partage.
03:27 Je vois.
03:29 Vous le voyez là.
03:31 Vous ne le voyez toujours pas, monsieur Mottrin ?
03:36 Moi, je suis toujours sur la même slide, sur la toute première.
03:40 Pourtant, j'ai vu passer quelqu'un qui validait.
03:43 Qui valide ?
03:44 Oui, c'est peut-être que chez moi.
03:46 Moi, je vois passer sur mon téléphone.
03:48 Je ne saurais pas vous dire pourquoi, mais moi, c'est figé en tout cas sur la première.
03:53 Mais ce n'est pas grave.
03:54 Si les participants voient la présentation, c'est le principal.
03:57 Je vous laisse continuer.
03:59 Oui, super.
04:00 Donc, CAPAB Digital, c'est donc effectivement une filiale du groupe APAV
04:04 qui est dédiée à la maîtrise des risques numériques.
04:08 Donc, en fait, aujourd'hui, on peut considérer qu'on est l'unique paire de confiance en tout tel
04:13 sur cette partie numérique, puisqu'on va embarquer les sujets de cybersécurité,
04:19 de protection des données, parce que c'est souvent lié,
04:21 et puis de data science et intelligence artificielle,
04:25 qui là aussi deviennent maintenant de plus en plus liés avec la cyber.
04:31 On a eu encore des révélations ces jours-ci où on a utilisé l'intelligence artificielle
04:36 dans la cybersécurité, notamment en Algérie,
04:40 pour récupérer ne serait-ce qu'une petite coquette de 26 millions.
04:45 Voilà, donc on a eu la protection des données et l'intelligence artificielle
04:50 qui font partie des sujets en cyber.
04:54 Et donc aujourd'hui, on a mis en place au sein d'APAB Digital
04:57 une gamme complète de solutions permettant aux entreprises
05:02 de mépriser les risques numériques.
05:05 Au même titre qu'on aidait les entreprises à maîtriser les risques techniques,
05:09 humains et environnementaux.
05:12 Je te laisse, Laurence, la pause suivante.
05:16 Donc APAB Digital, c'est un peu plus d'une centaine d'experts
05:20 répartis sur une première entreprise, qui a déjà deux ans,
05:26 qui est Opida, qui est plutôt une entreprise de conseils,
05:31 de diagnostics et de tests dédiés uniquement à la cybersécurité.
05:36 Le LSTI, qui est un laboratoire de certification
05:40 dans le domaine numérique, que ce soit la norme 27001 ou d'autres,
05:46 ou celle sur les éberveurs de données de santé.
05:50 Et puis, donc, Data 6x7, qui est notre filiale dédiée
05:58 à l'intelligence artificielle et qu'on utilise notamment
06:03 sur différents risques, qui permet à partir d'algorithmes
06:10 d'évaluer d'une manière différente les risques de certaines entreprises.
06:15 Voilà.
06:17 Donc aujourd'hui, les risques numériques doivent être pris au quotidien
06:24 par l'ensemble des acteurs et notamment des chaînes d'établissement.
06:29 En tant que dirigeant, aujourd'hui, vous devez maîtriser
06:32 les risques numériques au même titre que vous maîtrisez les autres risques,
06:35 que ce soit le routier, que ce soit, oui, des comptes sur de l'électricité,
06:40 sur de la mécanique, sur du levage.
06:43 Voilà, vous devez là aussi faire une cartographie
06:46 de l'ensemble des risques numériques, de mettre en place des dispositifs
06:50 qui permettent de sécuriser et de limiter les cyberattaques,
06:54 de prévenir les incidents, les préventions, et puis de sensibiliser
06:59 aussi l'ensemble de vos salariés, comme vous le faites certainement
07:02 aujourd'hui sur le risque électrique, sur des habitations électriques,
07:06 par exemple. Eh bien aussi sur la partie numérique et cyber,
07:09 on doit sensibiliser son personnel.
07:12 Et puis, il y a une réglementation aussi que vous avez mis en place
07:15 depuis déjà quelques années, qui est le RGPD,
07:19 le Règlement Général de Protection de la Donnée,
07:22 qui est intimement lié à la cyber, puisque dans les attaques cyber,
07:26 effectivement, les données personnelles ou stratégiques d'une entreprise
07:31 sont souvent celles qui sont suitées lors d'une cyberattaque.
07:37 Donc, les solutions qu'on proposera, on verra ça tout à l'heure plus en détail,
07:41 sont du même niveau aujourd'hui que celles qu'on propose à l'ensemble
07:45 de nos clients depuis un peu plus de 150 ans,
07:48 qui est au travers de l'évaluation, de la formation, du conseil,
07:52 la certification et des tests de la technique.
07:57 Voilà, j'en ai fini pour cette présentation de la page digitale.
08:03 Donc, effectivement, le contexte croissant des cyberattaques
08:06 sur l'écosystème des fournisseurs, comme je vous l'ai dit,
08:09 on l'a vu très récemment avec deux grosses entreprises
08:12 qui pourtant mettent tous les moyens pour se protéger.
08:18 Néanmoins, il y a un nouvel angle d'attaque qui est les fournisseurs.
08:22 Et je l'ai dit encore un peu plus tard qu'hier,
08:25 on est même maintenant aux fournisseurs de niveau 2,
08:28 c'est-à-dire que c'est le fournisseur du fournisseur
08:30 qui est devenu une cible pour les hackers.
08:35 Alors, pourquoi est-ce que le fournisseur devient une cible ?
08:41 Parce qu'en fait, il y a une relation cruciale
08:45 entre le client et son fournisseur.
08:48 Les entreprises dépendent de plus en plus étroitement
08:51 de leur fournisseur pour pouvoir maintenir
08:54 leur chaîne d'approvisionnement toujours à haut niveau,
08:59 de manière à fournir et à délivrer les produits et les services à leurs clients.
09:04 La performance de nos fournisseurs impacte directement
09:09 la qualité et la continuité de service de vos produits ou de vos services.
09:15 Il y a une vraie relation intimement,
09:19 intime dans votre cœur de métier avec vos fournisseurs.
09:24 On parle de fournisseurs, on peut parler de partenaires,
09:27 voire de prestataires, voire même de filiales dans certains cas.
09:33 Donc cette dépendance vous expose à ces risques,
09:38 notamment dans le domaine de la cyber,
09:41 parce qu'on a de plus en plus de liens informatiques avec eux.
09:46 Et donc du coup, ces fournisseurs deviennent
09:49 des points d'accès potentiellement vulnérables pour vous.
09:53 Il devient donc impératif, effectivement, d'évaluer
09:58 et de gérer le risque cyber de vos fournisseurs,
10:02 de manière à maintenir votre chaîne d'approvisionnement
10:06 à un niveau de sécurité suffisant par rapport à vos attentes.
10:12 Alors, quels sont les risques majeurs ?
10:19 Il y a la compromission des données,
10:21 la perturbation des opérations commerciales que vous menez au quotidien,
10:26 la possibilité d'accès à vos systèmes,
10:30 puis il y a aussi votre réputation.
10:32 Effectivement, la compromission des données.
10:34 Alors, il y a des données sensibles, on parle de par rapport à RGPD,
10:38 mais pas que.
10:39 Il y a aussi vos recettes de fabrication.
10:42 Si vous avez des brevets, si vous avez des modes opératoires spécifiques,
10:48 ce sont potentiellement des éléments qui peuvent intéresser
10:53 les banqueurs, voire la concurrence.
10:56 Effectivement, la perturbation des opérations commerciales,
10:59 c'est votre fournisseur qui se fait hacker.
11:01 Au-delà du fait de potentiellement être vous-même hacké par rebond,
11:06 c'est aussi qu'il va être en mode dégradé pendant un certain temps,
11:09 et du coup, ça peut avoir des impacts non négligeables
11:12 sur la qualité des services ou du service que vous devez délivrer à vos clients.
11:19 Pour les hackers, c'est aussi une possibilité d'accéder directement
11:22 sur vos systèmes par le biais de ce vaillant qui est le fournisseur.
11:30 Et puis, effectivement, la réputation d'entreprise,
11:33 elle peut être un peu prise à mal,
11:36 puisque néanmoins, même si vous faites le maximum,
11:40 si vous passez au travers de fournisseurs qui ont un niveau de maturité insuffisant,
11:46 vos efforts peuvent être réduits non pas à zéro,
11:49 mais peuvent être mis en défaut par ce nouvel angle d'attaque.
11:54 Il est donc essentiel d'évaluer attentivement les risques en matière de cyber
12:00 chez vos fournisseurs.
12:02 Quelques éléments clés à retenir,
12:10 des éléments fournis par l'NC tout récemment.
12:14 On ne cesse de le répéter, mais les TPE, les PME restent des cibles privilégiées
12:21 pour les pirates, parce que c'est des cibles plus faciles à atteindre,
12:26 et notamment quand on veut attaquer un grand groupe,
12:31 c'est plus facile de passer par un sous-traitant
12:33 qui n'a peut-être pas le même niveau de maturité
12:36 que d'aller directement sur l'entreprise.
12:40 Ça représentait quand même encore 40% du nombre de rançons
12:44 qui ont été traitées ou rapportées par l'ANSI en 2022.
12:50 Voilà, donc effectivement, les prestataires, les fournisseurs, les sous-traitants,
12:57 tout cet écosystème autour d'une entreprise sont des maillons
13:03 qui peuvent être faibles, sinon pas à ce niveau de maturité suffisant.
13:08 Quelles sont les précautions à prendre ?
13:14 C'est ce que vous disiez tout à l'heure, c'est l'évaluation rigoureuse de vos fournisseurs,
13:24 l'ensemble de cette chaîne d'approvisionnement que vous avez autour de vous.
13:28 Est-ce qu'ils sont au niveau attendu, au même niveau que vous,
13:33 en ce domaine de maturité ?
13:37 Alors pour cela, effectivement, ça peut inclure des audits de sécurité,
13:42 ça peut inclure des questionnaires, peut-être que c'est déjà ce que vous réalisez aujourd'hui,
13:46 vis-à-vis de certains fournisseurs.
13:48 Envoyer des questionnaires à remplir par le fournisseur, c'est bien,
13:53 mais évaluer par vous-même le niveau attendu, c'est encore mieux,
14:00 puisque si on ne fait que du déclaratif, ça reste du oui/non.
14:04 Encore faut-il demander des éléments de preuve et en faire l'analyse
14:08 pour juger ce niveau de maturité.
14:14 C'est peut-être mettre en place des normes de sécurité entre vous et vos fournisseurs,
14:20 à respecter. Dans d'autres domaines, c'est certainement ce qui est fait.
14:25 Si vous avez des entreprises qui viennent travailler sur vos tableaux électriques,
14:30 certainement vous leur demandez de posséder des habilitations électriques.
14:34 Si des entreprises viennent faire du levage ou de la manutention avec des chariots élévateurs,
14:39 certainement vous allez leur demander s'ils ont leur KSS qui permet de conduire ces éléments.
14:48 Là aussi, peut-être que vous allez leur demander d'avoir un certain niveau de maturité en cybersécurité,
14:54 au travers peut-être de normes que vous allez leur demander,
14:58 ou des exigences que vous allez spécifier dans vos contrats.
15:03 C'est s'assurer qu'ils suivent aussi des formations.
15:06 Là aussi, ça passe peut-être par demander à vos fournisseurs de justifier de la sensibilisation
15:13 et de la formation de l'ensemble de leur personnel à la cybersécurité de manière régulière.
15:19 Ce n'est pas « je forme au début et puis pendant 3-4 ans, il ne se passe plus rien ».
15:23 Il y a des remises à niveau et puis il y a peut-être même des campagnes de « faux fishing »
15:28 pour voir si effectivement le personnel a bien mis en pratique l'ensemble des bonnes pratiques
15:35 qui lui ont été énoncées lors de ces journées de « re-learning », de sensibilisation et de formation à la cyber.
15:44 Et puis aussi, il y a la gestion des accès.
15:46 Effectivement, de plus en plus, on a de la gestion de maintenance à distance par différents moyens,
15:55 les filaires sans fil, et puis on peut aussi avoir de la maintenance
15:59 où les gens viennent sur vos sites pour traîner tel ou tel équipement.
16:06 Il est important de gérer ces accès, de manière aussi numérique.
16:13 On ne laisse pas n'importe qui rentrer chez soi, même si la machine est en location,
16:21 l'équipement est en location, il est important de gérer ces allées et venues et surtout sur quoi on travaille.
16:37 Pour cela, c'est vrai qu'on peut mettre en place de la surveillance continue,
16:41 il y a des outils qui permettent de visualiser, de gérer les trafics
16:46 et de tout de suite se rendre compte s'il y a tel ou tel événement non autorisé
16:55 ou qui peut être une menace.
16:59 Il est important de vérifier aussi auprès de vos fournisseurs s'ils ont mis en place des plans de reprise,
17:06 des plans de continuité de service, des plans de reprise d'activité,
17:09 parce qu'effectivement, si un de vos fournisseurs critique,
17:14 sur lequel vous avez un besoin quotidien s'il vient à s'arrêter à cause d'une cyberattaque,
17:22 il est important de savoir s'il va mettre une semaine, un jour, une heure, son activité au niveau attendu pour vous.
17:32 Que ça passe par la mise en place de plans de continuité de reprise d'activité
17:38 et peut-être par des exercices aussi de gestion de crise,
17:42 qui permettent de vérifier que ces plans sont bien en adéquation avec la réalité du terrain en cas de cyberattaque.
17:49 Vérifier effectivement aussi que l'ensemble des outils utilisés par vos fournisseurs
17:57 ont des mises à jour régulières et qu'ils adeptent les bons correctifs de sécurité dès leur apparition.
18:06 Comme ci, c'est des choses qui se demandent sur un questionnaire ou contractuellement.
18:12 Et puis, pour finir, c'est une communication transparente entre vos fournisseurs et vous
18:19 dès l'apparition d'une cyberattaque, de manière à prendre les dispositions nécessaires pour le fournisseur,
18:26 mais pour vous aussi.
18:28 Si demain j'ai effectivement un fournisseur qui disparaît,
18:32 quel est le plan B pour suppléer son mode dégradé qui peut durer plusieurs jours ?
18:39 Est-ce que j'ai un remplaçant sur le banc de touche rapide ?
18:43 Parce que si pendant une journée, deux jours, une semaine, deux semaines, vous êtes en mode dégradé,
18:49 est-ce que vous, vos clients, soyez en mesure d'accepter ça ?
18:52 Voilà les quelques recommandations qu'on pouvait vous faire.
19:00 Aujourd'hui, au sein de la page digitale,
19:03 on accompagne nos clients dans cette évaluation de fournisseurs au travers de trois étapes.
19:11 La première, qui est l'identification et la sélection des fournisseurs les plus critiques,
19:18 sur lesquels on va nous appuyer au cœur de métier au quotidien.
19:23 L'évaluation au travers d'un diagnostic qu'on a mis en place sur la partie cyber,
19:30 mais aussi la protection des données, parce que les deux sont liées.
19:36 On a deux niveaux.
19:39 Nous, on préconise toujours de faire ce diagnostic,
19:46 non pas en simple déclaratif, mais en fourniture d'éléments de preuve.
19:52 On va analyser les éléments de preuve fournis par chaque fournisseur à chaque question.
19:58 Est-ce que j'ai sensibilisé mon personnel ?
20:04 Ce n'est pas juste oui ou non, c'est oui, mais je fais en combien de temps ?
20:09 Est-ce que j'ai fait une campagne de phishing derrière pour vérifier que les bonnes pratiques
20:14 sont mises en pratique justement par les salariés ?
20:18 Et puis, est-ce qu'un tout nouvel entrant, au bout de combien de temps est-ce qu'il est sensibilisé ?
20:23 Est-ce que c'est l'année suivante lorsque je refais une campagne ?
20:26 Ou est-ce que c'est dès son embauche ?
20:29 Tout ça, ce sont des éléments importants qui permettent de juger du niveau de maturité,
20:35 donc de matière de cybersécurité de l'entreprise.
20:40 Et ensuite, on fournit une cartographie de chaque fournisseur en fonction des résultats attendus.
20:48 Ça vous permet d'avoir une vision sur chaque fournisseur.
20:53 Je dirais à vous ensuite de continuer ou pas à travailler avec lui.
20:58 Souvent, s'il est unique dans le secteur, c'est quand même ennuyeux de ne plus travailler avec lui.
21:03 Mais au moins, on connaît le risque.
21:05 Alors, soit on dialogue et on essaye de faire en sorte que le fournisseur élève son niveau de manière acceptable.
21:12 Et puis, ça vous permet aussi de savoir où sont les points sensibles dans cette chaîne d'approvisionnement.
21:21 La dernière diapositive.
21:24 Aujourd'hui, les services qu'on propose chez APAP Digital sont les mêmes que chez APAP depuis plus de 155 ans.
21:32 C'est-à-dire qu'on fait de l'évaluation, on fait de la formation, on fait du conseil, des certifications,
21:39 et puis de la technique au travers de différents tests, que ce soit des scans de vulnérabilité,
21:46 pour voir s'il y a des angles d'attaque chez vous, ou que ce soit d'autres types de tests.
21:53 On n'a rien changé à ce que savait faire APAP depuis 155 ans.
21:58 On aide nos entreprises à maîtriser les risques.
22:01 C'était le technique, ça a commencé avec la vapeur il y a 155 ans.
22:05 C'est maintenant dans le numérique, mais c'est toujours la même recette,
22:09 au travers de ces cinq piliers.
22:12 On vous fournira, via le CSIRT, un document qu'on a réalisé il y a très peu de temps,
22:23 sur les risques liés à ces fournisseurs.
22:28 Il y a la relation qu'il y a entre clients et fournisseurs au quotidien.
22:33 Voilà, j'espère ne pas avoir été trop long, il est 11h30, on m'avait dit 15 à 20 minutes.
22:42 Oui, c'est très bien.
22:44 J'espère que ça a éveillé des curiosités dorénavant.
22:52 Si on ne va pas sur de l'évaluation, on va sur de l'évaluation.
22:56 Au moins, on va dire qu'on a des fournisseurs, il faudrait qu'on s'intéresse à eux.
23:11 C'est ça, oui.
23:13 Le but de ce webinaire, c'est de faire prendre conscience que le fournisseur peut parfois
23:20 être une porte d'entrée sur une vulnérabilité sur notre SI propre.
23:26 C'est un sujet qu'il fallait qu'on mette en avant et qu'on a mis en avant aujourd'hui.
23:32 C'est très bien.
23:34 Effectivement, on pourra partager le support et votre guide que vous avez créé.
23:42 Le webinaire, vous pourrez également le retrouver sur notre chaîne Dailymotion,
23:47 qui sera mis en ligne sous peu, aujourd'hui ou demain.
23:53 Je vous remercie pour la présentation, c'était très clair.
23:58 Les informations sont là, ça correspond bien au format, c'est parfait.
24:03 Si jamais vous avez des questions parmi les participants, c'est le moment.
24:09 Ce n'est pas le moment ou jamais, mais on pourra toujours répondre à posteriori.
24:14 En tout cas, oui, j'étais étonné, mais c'est vrai que je voyais des communications
24:19 hier où on parlait des fournisseurs de niveau 2.
24:23 Ça commence à aller assez loin.
24:27 Mais effectivement, on a l'humain qui reste le plus faible auquel on pense le plus souvent.
24:35 Les fournisseurs, c'est vrai que dans les directions des achats, on évalue souvent
24:40 les fournisseurs sur certains sujets, mais moins sur la partie cyber.
24:46 Et pour avoir discuté avec certaines directions des achats, souvent c'est du déclaratif.
24:52 Un petit peu comme dans le cadre même des assurances aussi.
24:56 On envoie un formulaire, on remplit.
24:59 Pas souvent on demande les éléments de preuve qui vont avec.
25:02 Et quand bien même on demande les éléments de preuve, encore faut-il avoir quelqu'un
25:07 derrière pour les analyser et de voir si la véracité de ceci.
25:13 Je pense que c'est mieux que rien d'envoyer un questionnaire en déclaratif,
25:19 mais je trouve que ce n'est pas suffisant.
25:23 Effectivement, il y a des entreprises qui vont avoir une centaine ou plus d'une centaine
25:28 de fournisseurs.
25:30 Je pense qu'il faut, même si tous peuvent être attaqués, il faut y regarder ceux
25:37 qui sont critiques pour vous, dans votre cœur de métier.
25:40 Parce que si ça arrête pendant deux ou trois jours, est-ce que vous êtes en capacité
25:45 d'être aussi à l'arrêt ? Parce que si c'est celui qui vous fournit la matière
25:50 première à une fabrication d'un produit, vous risquez d'être un peu embêté.
25:55 Et là, peut-être qu'avant de trouver un remplaçant de même niveau, qui délivre
26:00 le même produit attendu, ce ne sera peut-être pas du jour au lendemain.
26:05 Justement, on a une question qui est intéressante par rapport à ce que vous venez d'évoquer.
26:12 Au niveau du fournisseur, comment amener le sujet sans que ce soit mal interprété
26:21 ou que ce soit trop directif ?
26:24 Comment on peut s'orienter ?
26:27 Effectivement, lorsqu'on a des contrats que c'est déjà dessus, on peut s'appuyer dessus.
26:37 Sans rentrer dans une obligation de certification 27001, qui est le management numérique.
26:45 C'est la discussion avec, tout dépend de la relation qu'on a avec ce client-là.
26:53 Si on a une bonne relation, je pense qu'il faut l'amener, le sensibiliser sur les risques
26:59 qu'il y a interdépendants.
27:01 Parce que ça va dans les deux sens.
27:03 Fournisseur un jour, client l'autre.
27:06 Et puis le fait que chacun progresse, c'est bénéfique pour le développement de son
27:14 entreprise et pour son business.
27:17 Effectivement, on ne va peut-être pas être bon à tout, mais il y a quand même des minimums.
27:24 Au quotidien, je reçois des entreprises qui n'ont pas encore sensibilisé, même des communes.
27:33 J'avais une commune tout à l'heure qui me disait, au niveau cybersécurité, on n'est pas à zéro,
27:38 on est à moins de.
27:40 On n'a même pas fait de la sensibilisation, on n'a rien fait.
27:43 Effectivement, on ne va pas demander à ces entreprises, à ces collectivités, d'être
27:47 certifiées dès demain, 27/01.
27:50 On va leur dire, mettons le premier pas, faisons la sensibilisation des salariés.
27:58 Parce qu'on aura déjà évité 80% des sujets.
28:02 Et on va aller petit à petit, tous les ans, un petit peu, sur tel ou tel sujet, de manière
28:07 à avoir une maturité suffisante.
28:10 Donc, je pense que, là, c'est un, sensibiliser vos fournisseurs sur le risque cyber, utiliser
28:20 différentes publications.
28:22 Et puis deux, si on commence à limiter les échanges ou au moins à protéger les échanges,
28:29 si vous avez des liaisons informatiques avec elles, c'est qu'il y ait des protocoles de
28:35 sécurité qui soient mis en place pour éviter ce trafic qui pourrait être un peu dangereux.
28:41 Et puis, c'est aussi, je parlais avec un industriel il n'y a pas très longtemps, qui me disait
28:48 qu'il y a des chaînes de fabrication, il y a des machines qui sont en maintenance par
28:56 tel ou tel fabricant.
28:58 En fait, les gens, ils viennent, ils se connectent dessus, mais ils ne savent pas ce qu'ils font.
29:03 C'est quand même un peu dangereux parce que du coup, est-ce qu'il ne vient pas se connecter
29:11 avec tel ou tel appareil qui est infecté et qui vient infecter votre réseau aussi ?
29:17 Donc voilà ce que je disais tout à l'heure, la gestion des accès, qu'ils soient physiques,
29:22 numériques, il faut mettre des choses en place sans être trop, comment dire, intrusif
29:32 chez votre fournisseur.
29:33 Je pense qu'il est bon d'avoir une discussion autour du risque cyber, de faire votre propre
29:41 évaluation et de dire voilà ce que moi j'ai fait chez moi.
29:45 Est-ce que vous, en face, qu'est-ce que vous avez mis en place qui ressemble ou qui s'approche
29:50 de mon niveau attendu ? Parce que là, on est tous liés les uns aux autres.
29:56 La faille de l'un entraînera obligatoirement la faille de l'autre.
30:02 C'est une approche partenariale, clairement.
30:04 Oui.
30:05 Après, effectivement, je partirais du principe que tous peuvent être attaqués, mais tous
30:14 n'ont pas la même criticité vis-à-vis de vous.
30:17 Donc, si c'est une d'idène, on va peut-être même commencer à travailler avec ceux-là.
30:27 Et puis c'est limité, peut-être les liaisons informatiques entre, si vous avez des connexions
30:36 à distance, je ne sais pas, entre leurs équipements qui sont sur vos réseaux et les qui sont
30:42 à distance, il faut être vigilant.
30:44 Ça, pour le coup, il faut être très vigilant.
30:47 Très bien.
30:48 Très bien.
30:49 Merci pour la réponse.
30:50 C'est du bon relationnel entre dirigeants d'entreprise.
30:56 Après, ça peut peut-être même s'intégrer dans le contrat de partenariat.
31:01 Absolument.
31:02 Que le fournisseur réponde à certaines normes, à certains prérequis, ça peut potentiellement
31:10 s'intégrer dans le contrat.
31:11 Mais ça l'est déjà.
31:12 Certains qui travaillent avec des organismes d'importance vitale ont déjà des obligations
31:18 à respecter qui vont beaucoup plus loin qu'un simple questionnaire.
31:23 Là, on a souvent des demandes de certification.
31:26 Alors, effectivement, ça peut paraître énorme.
31:29 Et si on ne répond pas favorablement avec cette certification, on secoue de marché
31:35 potentiellement important pour l'entreprise.
31:38 C'est ça.
31:39 Donc, une certification 27001, Management de la sécurité informatique et un questionnaire
31:46 d'une cinquantaine de questions qui vous permet d'avoir une...
31:49 Justement, de cibliser votre interlocuteur.
31:51 Bon, c'est quelque chose qui est à taille humaine, on va dire.
31:54 Oui, tout à fait.
31:55 Pour une PME, une TPE.
31:58 Ça s'entend, oui.
32:00 Voilà.
32:02 Est-ce qu'il y a d'autres questions parmi les participants?
32:07 Sinon, on pourra terminer le webinaire sur ce point.
32:13 On pourra conclure.
32:15 J'attends quelques secondes.
32:18 Merci beaucoup.
32:25 C'est très intéressant.
32:28 C'est un sujet qu'il faut prendre en compte.
32:31 On voit de plus en plus dans les actualités, les attaques passent de plus en plus par les
32:38 fournisseurs et par le fait que les fournisseurs, eux, sont beaucoup moins dotés en solution
32:47 et beaucoup moins préparés que le grand groupe qui va être la cible finale.
32:52 Donc, oui, c'est vraiment un sujet très, très d'actualité, très présent.
33:00 Sans noircir, pour finir la situation, 2024, on sait ce qui arrive en France, juillet-août.
33:08 Par expérience des JO qui ont eu lieu au Japon pour les derniers, on sait qu'il va y avoir
33:17 une explosion du nombre de tentatives d'attaque.
33:22 Donc, elles ne sont pas toujours ciblées.
33:25 C'est même souvent le cas.
33:27 Ce n'est pas opportunisme.
33:30 Malheureusement, on est ou on n'est pas dans ce fichier qui a été corrompu.
33:35 Donc, il va y avoir énormément d'attaques sur 2024.
33:41 Certains secteurs vont être privilégiés comme l'hôtellerie, le tourisme, la biaiserie
33:46 ou autre, mais pas que.
33:48 On sera tous pris dans la tourmente et les mieux préparés seront ceux qui font le mieux
33:56 face à ce risque.
33:59 Voilà.
34:00 Alors, juste en complément et pour finaliser les débats, je voulais quand même juste
34:04 ajouter que nous disposons sur l'agence territoriale de Besançon, justement, un technicien
34:10 qui est formé cybersécurité et qui est donc en capacité d'accompagner les besoins
34:15 ou les demandes de chacun en termes de formation, en termes de chèque, sécurité, donc sur
34:21 toute la partie qu'a pu développer Philippe Maillat.
34:24 On ne t'avait pas présenté, c'est vrai qu'on a tout de suite déroulé.
34:28 Ce n'est pas grave.
34:29 C'est le directeur de l'agence territoriale de Besançon.
34:33 Parfait.
34:34 Notre représentant local.
34:36 C'est ça.
34:37 À votre disposition.
34:38 Merci.
34:39 On a toutes les informations.
34:41 C'est parfait.
34:42 On va pouvoir terminer maintenant.
34:47 On est dans les times.
34:49 Donc, c'est très bien.
34:50 Je vous remercie.
34:51 Merci à vous.
34:52 Bonne journée à tous.
34:53 Merci aux participants d'être venus.
34:55 Au revoir à tous.
34:56 Merci.
34:57 Au revoir.
34:58 Au revoir.
35:00 Sous-titrage ST' 501
35:03 ...