L’Union européenne avait déjà observé une augmentation de 26 % des attaques en 2022 et plus inquiétant encore, une très grande majorité des organisations déclarait avoir subie une cyberattaque. Cette tendance s’est poursuivie en 2023.
Plier pour ne pas rompre ! La cyber-résilience décrit la capacité de l’organisation à anticiper, protéger, détecter, répondre et récupérer rapidement d’un incident de sécurité informatique majeur. Avec l’augmentation de la digitalisation des activités professionnelles et des cyberattaques qui l’accompagnent, la cyber résilience est devenue un enjeu stratégique majeur pour toutes les entreprises.
C’est dans ce contexte que l’Union Européenne a entrepris plusieurs mesures et obligations pour renforcer la résilience cyber à l'échelle européenne.
Plier pour ne pas rompre ! La cyber-résilience décrit la capacité de l’organisation à anticiper, protéger, détecter, répondre et récupérer rapidement d’un incident de sécurité informatique majeur. Avec l’augmentation de la digitalisation des activités professionnelles et des cyberattaques qui l’accompagnent, la cyber résilience est devenue un enjeu stratégique majeur pour toutes les entreprises.
C’est dans ce contexte que l’Union Européenne a entrepris plusieurs mesures et obligations pour renforcer la résilience cyber à l'échelle européenne.
Category
📚
ÉducationTranscription
00:00:00 L'événement ?
00:00:02 Donc l'enregistrement est à lieu.
00:00:06 Bien, bonsoir à tous.
00:00:08 Je suis donc ravi de vous accueillir ce soir pour notre lundi de la cyber,
00:00:14 événement mensuel,
00:00:16 co-organisé avec l'Arxiv, l'Université Paris santé,
00:00:22 et co-animé par moi-même, Béatrice Norand et Gérard Pélix.
00:00:26 Merci à tous nos fidèles participants, spectateurs.
00:00:32 Ce soir, comme chaque mois, nous avons un sujet autour de la cybersécurité,
00:00:38 le thème "La cyber-régulie en commun et européenne, est-il temps d'agir ?"
00:00:44 Et nous avons trois intervenants qui seront introduits plus en détail par Gérard.
00:00:52 Je vais les nommer et les remercier pour leur contribution à ce webinar.
00:00:58 Laurent Pélix, associé chez EY,
00:01:02 expert en cyber-résilience sur l'Europe et le Moyen-Orient, ainsi que l'Inde et l'Afrique.
00:01:08 Et puis également Stéphane Bromion, qui est manager également chez EY.
00:01:13 Et puis nous aurons également un autre point de vue, une autre perspective,
00:01:16 avec maître Olivier Itéanu, qui est enseigne à l'université Sorbonne et à l'université Paris-Saclay.
00:01:26 Après l'intervention de ces trois experts, nous aurons également le petit quart d'heure des associations.
00:01:36 Nous sommes ravis de partager un moment de questions-réponses.
00:01:44 Je vais laisser Béatrice prendre le soin de nous rappeler les règles,
00:01:50 pour que tout cet événement se déroule parfaitement.
00:01:55 Je vais vous souhaiter d'abord remercier tous nos étudiants du Master Cyber Sécurité,
00:02:01 qui contribuent à la rédaction de la lettre.
00:02:04 L'événement est enregistré, les planches sont également partagées sur le site de l'Arxiv.
00:02:12 Nous avons des étudiants qui sont en recherche de stages, de master.
00:02:19 Je profite pour parler un petit peu de ces profils d'étudiants du Master Cyber Sécurité à l'université Paris-Cité.
00:02:27 Si ça vous intéresse d'accueillir et d'accompagner ces jeunes dans notre domaine de la cyber sécurité,
00:02:36 n'hésitez pas à revenir vers moi avec l'adresse mail prenons.nom@u-paris.fr.
00:02:44 Je propose à Béatrice de prendre le relais et de nous rappeler les principes et les règles.
00:02:51 Merci. Bonsoir à toutes et à tous.
00:02:54 Moi aussi, je remercie chaleureusement nos quatre intervenants,
00:02:57 nos trois intervenants, enfin deux de EY, Maître Itéanu, tous les trois sur la cyber résilience.
00:03:04 Et puis Joël Ozatt, vice-président de l'Arxiv.
00:03:09 Nous sommes très heureux, Gérard et moi, d'avoir l'honneur d'être membre de l'Arxiv,
00:03:15 qui est une magnifique association. Je le dis et je le redis.
00:03:19 En tout cas, merci à tous les quatre.
00:03:21 Le principe, vous le connaissez, pour ceux qui assistent régulièrement, pour les autres, je le dis.
00:03:26 Nous laissons les intervenants, d'abord la conférence de nos trois intervenants se faire.
00:03:33 Vous posez des questions sur le tchat si vous le souhaitez.
00:03:36 Ensuite, pendant un quart d'heure, les intervenants prendront connaissance des questions qui auront été posées sur le tchat.
00:03:41 Et pendant ce temps, Joël Ozatt parlera de l'Arxiv.
00:03:44 Puis tout le monde pourra poser ses questions en direct.
00:03:48 Et nos intervenants répondront à la fois aux questions posées sur le tchat et aux questions posées en direct.
00:03:53 Voilà, je rappelle que la prochaine conférence se tiendra le 18 mars.
00:03:57 Alors contrairement à ce qui était prévu, ce ne sera pas en présentiel et ce ne sera pas sur le thème de la santé.
00:04:03 Ce sera décalé puisque c'est un petit peu compliqué pour Ahmed au mois de mars.
00:04:08 Donc ce sera encore en instantiel et Gérard va nous dire quel en sera le thème.
00:04:12 Et ce sera le professeur Delay qui est présent ce soir, qui animera.
00:04:15 Mais Gérard va nous en dire un petit peu plus tout à l'heure et le professeur également.
00:04:19 Et vous savez qu'à partir de demain, vous pouvez vous inscrire près de moi pour cette conférence.
00:04:24 Je vous souhaite une bonne conférence. Merci encore à tous.
00:04:27 Et donc la parole est à Gérard.
00:04:30 Voilà, merci Béatrice.
00:04:32 Donc moi je vais vous parler du prochain lundi de la cybersécurité, donc celui de mars.
00:04:40 Nous aurons le plaisir, sur le thème de l'intelligence artificielle générative, géniale et dangereuse,
00:04:53 d'avoir un grand mathématicien, mais très compréhensible.
00:04:58 Il a l'habitude d'être simple.
00:05:01 Le professeur Jean-Paul Delay de l'Université de Lille et du laboratoire de recherche CRISTAL,
00:05:09 Centre de recherche en informatique, signal et automatique de Lille,
00:05:16 de nous parler de ce sujet.
00:05:19 Voilà, donc en plus, ça sera à huit jours du forum INCIBER, qui est le nouveau nom du FIC.
00:05:30 Et huit jours après, donc il y a le forum INCIBER,
00:05:35 et la personne que nous recevrons pour parler des cinq minutes, des quelques minutes avec une organisation,
00:05:42 c'est le général Marc Vatin-Augoire, le créateur du FIC.
00:05:47 Voilà, cette fois-ci, dans les quelques minutes avec une association,
00:05:53 à la suite de l'intervention des trois présentateurs,
00:06:00 ce sera sur l'Arxis, alors Joël Auzade, notre vice-président,
00:06:06 Jean-Louis, si c'est possible, lui dira aussi quelques mots.
00:06:11 Voilà, donc sans plus attendre, je donne la parole aux trois intervenants.
00:06:19 Laurent, à toi.
00:06:22 En mode diapo, Laurent.
00:06:37 Veuillez s'il vous plaît couper vos micros et vos caméras.
00:06:41 Oui, j'ai oublié de rappeler cela, coupez vos micros et étaliez vos caméras.
00:06:44 Je supposais que c'était quelque chose d'acquis, mais effectivement, mieux vaut le dire.
00:06:49 Est-ce que vous voyez l'écran ?
00:06:52 Oui, oui.
00:06:53 Oui, on le voit très bien.
00:06:55 Pas très tendre à couper le micro.
00:06:57 Effectivement.
00:06:59 Donc tout d'abord, voilà, merci à tous pour votre participation à cet événement.
00:07:05 L'idée aujourd'hui, si on en avait parlé, c'était le thème autour de la cyber-résilience,
00:07:10 sachant que c'est un terme, disons qu'on en parle beaucoup, on verra par rapport au paysage tel qu'il est,
00:07:16 par rapport au contexte des cyber-attaques qui s'est vraiment accru de manière exponentielle ces dernières années.
00:07:24 Et en le disant, on a perçu que finalement, ça passe tellement vite que chaque année est une année encore plus folle que l'autre.
00:07:30 Donc on voyait qu'avant, c'était un sujet quand on disait technique, qu'on disait organisationnel, qu'on parlait de gouvernance.
00:07:36 Là, maintenant, on voit que le réglementaire s'est également introduit dans le sujet.
00:07:41 Donc ce qu'on vous proposait par rapport à cet agenda d'aujourd'hui, c'était déjà de rappeler la cyber-résilience, le contexte, le paysage,
00:07:49 comment on est arrivé à ce sujet-là.
00:07:52 Et également, commencer autour de la réglementation, qui était une demande.
00:07:56 Alors pas seulement la partie DORA, mais toutes les réglementations qu'on va avoir autour, donc la partie en PREC, CRA, DORA,
00:08:03 évidemment, de l'ISSE 2, il y avait l'ISSE 1 avant, il y avait l'ISSE 2, sachant qu'on aura à la fois la vision du point de vue,
00:08:09 on va dire, de la spécialité cyber, de l'expertise cyber, mais également la vision telle que le voit le juridique,
00:08:20 le réglementaire sur les sujets autour des contrôles, des sélections et des responsabilités.
00:08:25 C'est pour ça qu'aujourd'hui, on est trois intervenants.
00:08:28 En fait, c'est aborder le sujet autant que possible, dans le temps qui nous est imparti, évidemment,
00:08:33 en essayant, on va dire, d'aborder toutes les facettes.
00:08:37 Donc sur la base de quoi ?
00:08:40 Je vous propose de commencer déjà par vous rappeler qu'est-ce que la résilience ?
00:08:44 Alors j'ai des définitions, alors désolé, c'est en anglais, mais c'était les définitions officielles,
00:08:48 même si maintenant on en trouve quelques-unes en français, maintenant que le Parlement européen est en train de mettre à jour
00:08:55 tout ce qui va être les décrets, les actes et les règlements.
00:08:58 Mais si on commence déjà sur la première définition, vous voyez que la résilience était contenue,
00:09:03 donc plutôt comme la capacité à faire face à des événements de type cyber.
00:09:09 Donc on va dire une définition qui est déjà une première définition,
00:09:12 et après le prestige standard en termes de normalisation, aller un peu plus loin en parlant de résilience organisationnelle,
00:09:20 en parlant d'anticipation, de préparation, de capacité à répondre et de s'adapter à tout type d'événements,
00:09:26 en fait d'y survivre, et souvent on parle d'événements qui sont subis et surtout qui sont soudains.
00:09:33 Et on voit que dans la partie, en fait, tout ce qui est cette partie adaptation,
00:09:36 il va y avoir aussi apprendre de ce qu'on a vécu.
00:09:39 Et enfin, une autre définition, en fait, c'est la définition donc plutôt normative de NIST,
00:09:45 pour ceux qui connaissent bien, où on retrouve les mêmes notions de capacité à anticiper,
00:09:51 à reprise et également à s'adapter par rapport à des conditions de stress, d'attaque ou de contre-omission de système
00:09:59 qui sont liées à des événements cyber.
00:10:02 Dans les autres définitions qu'on pourra trouver, notamment par le Parlement européen,
00:10:06 on va retrouver ces mêmes termes, même si on axe beaucoup sur les technologies de l'information et de la communication,
00:10:12 également sur tout ce qui va être la concentration par rapport à des tiers ou par rapport à la dépendance à des systèmes.
00:10:19 Je n'en dis pas plus parce que c'est le sujet qu'on va voir et que mes collègues aujourd'hui, les co-présentateurs vont en parler.
00:10:26 Juste pour rappeler le contexte qui a amené cette vision de cyber-exilience pour ceux qui ont fait de la continuité d'activité,
00:10:34 de la sécurité informatique il y a déjà un peu plus de 20 ans.
00:10:40 On voit qu'aujourd'hui que la résilience, on n'en parlait pas en tout cas il n'y a pas 20 ans, il y a 10 ans,
00:10:45 on n'en parlait que très peu, voire pas du tout aujourd'hui.
00:10:49 Et ce terme finalement qui viendrait du caoutchouc, la capacité à rebondir,
00:10:56 s'est introduit de plus en plus dans la partie cyber-sécurité par rapport à un contexte,
00:11:02 un contexte qui est davantage anxiogène pour les organisations. Pourquoi ?
00:11:06 Parce qu'on voit qu'aujourd'hui il y a eu des cyber-attaques qui ne se sont pas limitées,
00:11:09 qui a du phishing, mais qui ont pu être prises à large échelle et qui se sont étendues.
00:11:14 Vous avez de nombreuses organisations, qu'elles soient publiques ou privées,
00:11:17 qui en ont parlé, qui ont médiatisé ce qu'elles ont vécu à ce sujet-là.
00:11:22 C'est quelque part un contexte où à tout moment, n'importe quelle organisation peut se faire attaquer
00:11:29 et pas de manière uniquement très simpliste, mais avec quelque part des perturbations,
00:11:35 voire des arrêts d'activité qui peuvent être très prolongés, très difficiles à réagir.
00:11:41 Vous avez également le côté médiatisation, le fait qu'aujourd'hui en fait,
00:11:45 ce sont des événements qui sont médiatisés et qui potentiellement peuvent atteindre
00:11:49 la réputation d'une organisation, d'une entreprise en fait, en cas d'incident de cyber-sécurité,
00:11:54 qui peut compromettre des données, des données très sensibles, des données personnelles,
00:11:58 des données commerciales ou des services qui sont fournis en temps réel.
00:12:03 Il y a également un sujet qu'on retrouve autour de l'assurance cyber-sécurité,
00:12:07 donc un sujet qui est apparu déjà il y a quelques années, mais qui aujourd'hui, face au contexte,
00:12:12 face au sujet des coups, des coups qui peuvent être quand même assez monstrueux rapidement
00:12:18 en termes de remédiation en fait, qui font qu'aujourd'hui elles-mêmes sont devenues
00:12:24 beaucoup plus drastiques dans les conditions d'attribution, dans les primes,
00:12:28 derrière les franchises qui permettent d'y souscrire, dans les frais de souscription.
00:12:33 Donc, ça rajoute à notre contexte.
00:12:36 On a également les exigences qu'on appelle relatives au tiers, mais des deux sens,
00:12:40 que ce soit les citoyens, les usagers, les clients et les partenaires avec lesquels on travaille,
00:12:45 ou même les tiers, les tiers essentiels, comme dans la chaîne d'approvisionnement,
00:12:50 comme on dit en anglais le supply chain, où finalement chaque maillon va être important
00:12:54 et tout arrêt ou toute perturbation dans la chaîne peut provoquer des perturbations
00:13:01 à l'échelle complète derrière de l'organisation.
00:13:06 Vous avez eu également les événements géopolitiques, que ce soit les conflits tels qu'on a vus,
00:13:12 l'activisme, le cyberterrorisme, qui fait qu'aujourd'hui n'importe quelle organisation
00:13:17 peut être touchée avec des moyens qui deviennent colossaux.
00:13:20 Et enfin, les exigences réglementaires, qui par rapport à ces sujets-là,
00:13:25 et on va en parler aujourd'hui, qui s'organisent là-dessus, avec des exigences sur les organisations,
00:13:30 que ce soit une liste de, par exemple, public, privé, dès lors qu'on est une organisation essentielle,
00:13:35 que ce soit du DORA sur le secteur financier, mais également les organisations qui travaillent
00:13:41 pour les autres organisations qui sont soumises à ces réglementations,
00:13:46 qui font qu'aujourd'hui, il y a tout un contexte qui a changé,
00:13:49 ce qui fait que finalement, une approche qui est juste de « je protège mon organisation »
00:13:53 et à mon échelle, en ayant des frontières réduites à l'organisation, ne fonctionne plus.
00:13:59 Surtout qu'avec l'adoption de nouvelles technologies comme aujourd'hui,
00:14:02 comme par exemple le cloud et les services managés, par exemple,
00:14:06 on voit bien que la notion de frontières devient extrêmement tenue aujourd'hui,
00:14:09 voire inexistante en matière de système d'information.
00:14:13 Donc là, c'est un slide qui est intéressant par rapport à ce contexte,
00:14:18 juste pour montrer finalement, par rapport à la continuité d'activité telle qu'on en parlait
00:14:24 il y a 15-20 ans, au moment des pandémies, alors plutôt c'était la grippe aviaire,
00:14:30 on n'était pas encore au coronavirus à l'époque,
00:14:34 où on était plutôt sur quelque part des plans de reprise d'activité,
00:14:39 où c'était très orienté autour de l'IT, c'était déjà par la direction des systèmes d'information,
00:14:45 on était plutôt sur la technologie.
00:14:47 L'idée était de dire, les systèmes d'information se sont arrêtés,
00:14:50 comment est-ce qu'aujourd'hui je redémarre le plus rapidement possible mon système d'information,
00:14:56 avec des temps donnés, des catalogues de services, des délais de reprise d'activité,
00:15:01 et également de pertes de données.
00:15:03 Ça reste toujours valable ces sujets.
00:15:05 Ce qui change en fait, on en parlait par rapport au contexte,
00:15:08 c'est que finalement on passe d'un monde où on est vraiment sur des services
00:15:11 qui sont fournis en continu aujourd'hui,
00:15:13 avec des menaces qui sont protéiformes, qui sont multiples,
00:15:17 également d'un point de vue cyber, mais pas seulement.
00:15:20 Ce qui fait que finalement, avec aussi cette médiatisation dont je parlais juste avant,
00:15:24 où là on était surtout sur un sujet qui était plutôt réactif,
00:15:27 déjà on est monté ces dernières années sur des crans,
00:15:32 une organisation ne peut plus se permettre de ne plus fournir de services à ses usagers,
00:15:37 à ses citoyens, à ses clients, à ses partenaires, on a tous ce sujet,
00:15:41 et c'est également tout un enjeu aujourd'hui réputationnel, et même réglementaire,
00:15:46 ce qui fait qu'on passe finalement à un sujet qui vient d'un sujet de responsabilité de la direction générale.
00:15:51 Nous on le voit sur le terrain, là où il y a 20 ans c'était très compliqué de parler de cybersécurité,
00:15:57 il y a 10 ans, il y a 5-6 ans on commençait à en parler de plus en plus,
00:16:01 là aujourd'hui c'est vraiment des sujets de direction générale,
00:16:04 c'est des interruptions d'activité, que ce soit lié à du cyberactivisme,
00:16:08 que ce soit lié à des renseignements par des organisations de crime net,
00:16:12 c'est des sujets qui leur parlent.
00:16:14 On est vraiment également, par rapport à, pas uniquement à un sujet qui est système d'information,
00:16:19 c'est à dire un sujet qui est métier avec vraiment un besoin aujourd'hui d'une proactivité.
00:16:24 Ce qui fait que finalement on a changé d'échelle sur ces 20 dernières années.
00:16:30 Juste pour donner un peu sur des contextes aujourd'hui autour de la cybersé résilience,
00:16:35 alors là on est vraiment sur la cybersé résilience en termes général,
00:16:38 si on parle d'ensemble de procédures opérationnelles métiers, de dispositifs
00:16:42 qui permettent de maintenir un niveau qui est acceptable en termes de services rendus,
00:16:50 en termes d'exigences, qu'ils soient contractuels, d'autres types d'exigences.
00:16:55 Et donc un niveau dégradé, c'est également en tenant compte évidemment d'une situation de stress,
00:17:01 avec toujours la capacité d'endurer ce stress, si on a du reporting à le faire,
00:17:07 et également avoir au niveau de ces opérations, de continuer à travailler,
00:17:10 voire à fournir un service qui est quasi conforme à celui qu'on pourrait fournir
00:17:16 dans des situations lorsqu'il n'y a pas de perturbations.
00:17:20 C'est là que ça nous a amené finalement à la résilience au niveau de la menace cyber.
00:17:25 On va retrouver à la fois le notion d'incidence cyber, alors incident au sens général.
00:17:30 Si on reprend les termes tels que l'Anne s'y définit, c'est crise d'origine cyber qui est le meilleur terme,
00:17:37 parce que ça peut englober tous les types de cyberattaques, de phishing, peut-être également des interruptions.
00:17:43 En général, on regarde quand même sur des interruptions qui sont plutôt malveillantes, des tentatives.
00:17:49 On parle de stress, mais c'est surtout c'est quoi les services essentiels qui permettent à l'organisation
00:17:55 de continuer à fonctionner, de préserver sa réputation, de donner le service,
00:17:59 qui est rendu encore une fois le service essentiel, parce que tout ne peut pas être maintenu.
00:18:05 C'est également travailler dans un niveau dégradé tout en maintenant aujourd'hui
00:18:09 tous les coûts qui sont liés aux efforts de remédiation.
00:18:11 C'est pour ça qu'aujourd'hui, on voit quatre axes, quatre dimensions.
00:18:16 Une première dimension qui est autour de l'anticipation.
00:18:19 C'est à la fois être préparé, mais c'est également surveiller, avoir une surveillance au niveau du paysage
00:18:27 par rapport au risque, par rapport à son profil de risque.
00:18:30 Qu'est-ce qui pourrait être attaqué ?
00:18:32 Est-ce que j'ai des menaces qui sont liées par rapport à mon type d'activité,
00:18:36 par rapport à ce que je gère, par rapport à ma situation géographique,
00:18:42 ou ma situation politique en fait, par rapport à d'autres conflits qui peuvent arriver ?
00:18:48 C'est également une notion de résistance lorsque l'attaque, lorsque la cyberattaque
00:18:52 ou la crise d'origine cyber, est-ce que je suis capable de la contenir
00:18:56 pour me laisser le temps de réagir ?
00:18:59 Il y avait un commentaire ?
00:19:03 Je vous en prie.
00:19:05 Est-ce que je suis capable aujourd'hui de contenir, de confiner en fait, de contenir cette attaque ?
00:19:10 Il y a également la notion de récupération, c'est une restauration des opérations
00:19:14 lorsqu'elle a lieu déjà pendant l'attaque d'une partie.
00:19:17 Est-ce que je suis capable d'avoir investigué sur c'est quoi l'Écosse ?
00:19:21 Qu'est-ce qui a été attaqué ?
00:19:23 Si c'est un renseignement, est-ce qu'il n'y a pas de patient zéro ?
00:19:25 Est-ce qu'il y a un risque de recontamination même après que j'ai restauré mon annuaire
00:19:28 et mes fichiers, mes serveurs et autres ?
00:19:31 Et également par rapport à l'attaque, est-ce que malgré tout j'ai des agents dormants ?
00:19:35 Est-ce que je suis capable de récupérer ?
00:19:37 Puis il y a également tout ce qui est la partie adaptation,
00:19:40 c'est tout ce qui est le retour d'expérience et le soin à prise.
00:19:44 En fait, j'ai anticipé, j'ai mis en place une organisation
00:19:47 qui m'a permis, on espère, de survivre, sachant que c'est un temps long.
00:19:52 Encore une fois, souvent quand c'est la partie d'une cyberattaque,
00:19:55 autant l'attaque et la partie gestion d'accès d'origine cyber
00:20:00 peuvent se tenir sur un délai de quelques jours à quelques semaines,
00:20:03 autant la partie en médiation peut durer des mois, voire plus d'une année.
00:20:07 C'est ce que j'ai appris et comment derrière je suis capable d'être mieux préparé
00:20:11 et comme toujours d'améliorer aujourd'hui le dispositif que j'ai mis en place.
00:20:16 Par rapport aux grands axes, nous c'est tel qu'on les voit, tel qu'on les définit,
00:20:22 il y a une dimension qui est au niveau de la gestion de crise,
00:20:25 que ce soit la gestion de crise des experts, experts informatiques,
00:20:29 experts métiers, évidemment, direction générale,
00:20:32 comment elle est sensibilisée, comment elle se prépare,
00:20:34 même si toute crise, qu'elle soit d'origine cyber, d'origine IT,
00:20:37 ou d'autres types de crises, reste quelque chose de soudain
00:20:41 et un événement de stress.
00:20:44 Mais malgré tout, il faut se préparer à ce sujet-là par des exercices,
00:20:49 par des procédures, avec le fait que le plus important,
00:20:52 c'est de maintenir un collectif et un esprit de gestion de crise.
00:20:55 C'est s'entraîner, c'est quelque part une démarche militaire,
00:20:58 si j'ose dire le terme, par rapport aux autres participants,
00:21:01 évidemment, qui sont dans la salle.
00:21:03 Je m'entraîne, même si la crise, de toute façon, je ne peux pas la prévoir,
00:21:06 elle sera différente de ce que j'ai mis en place.
00:21:08 Malgré tout, je me suis entraîné sur cette capacité à réagir
00:21:12 et j'ai les bonnes personnes, j'ai les savants en face,
00:21:14 j'ai l'écosystème, j'ai les contacts qui me permettent de réagir.
00:21:17 Il y a toute une partie également opérationnelle par rapport à mes activités.
00:21:23 C'est je suis capable de continuer à fonctionner, à fournir les services,
00:21:28 en tout cas les services essentiels que mon organisation doit mettre en œuvre,
00:21:32 sur lesquels elle s'engage, sur lesquels elle fait ma réputation,
00:21:35 sur lesquels j'ai un service rendu.
00:21:37 Et encore une fois, que ce soit par exemple l'IT,
00:21:40 les systèmes d'information qui sont complètement coupés
00:21:42 ou alors en mode dégradé, je suis capable derrière de reprendre des plus,
00:21:46 de réaliser mes opérations.
00:21:48 Toute une partie qui est la partie traditionnelle autour de la gestion
00:21:52 de la continuité d'activité, de la reprise d'activité, ça reste valable,
00:21:56 sauf qu'on l'étend au niveau technologique,
00:21:58 parce qu'au-delà du côté de je suis capable de récupérer mes données,
00:22:01 il y a un point qui sont capables de dire je vais lutter
00:22:04 contre la corruption de données, je suis capable d'isoler les données,
00:22:07 les essentielles pour être sûr qu'elles ne soient pas corrompues.
00:22:09 Il y a tout un sujet de surveillance.
00:22:11 Je ne vais pas m'étaler là-dessus, mais vous en avez certainement
00:22:14 entendu parler autour des EDR, des XDR, des CIEM, des SOG,
00:22:18 en termes de supervision de sécurité des centres d'opération.
00:22:21 Vous avez également sur toute la partie reprise, l'orchestration de la reprise,
00:22:26 comment est-ce que je suis capable aujourd'hui d'avoir des tactiques,
00:22:30 des techniques également qui permettent de restaurer le plus rapidement
00:22:35 mes systèmes essentiels, que ce soit ma messagerie,
00:22:38 mes serveurs métiers, toute la partie données.
00:22:40 Voilà, c'est tous ces points-là qu'on va aboutir dans ces axes,
00:22:43 et surtout, et c'est ce qu'on voit, c'est l'humain.
00:22:46 L'humain, c'est l'organisation qu'on a en place, c'est les sachants,
00:22:50 les experts, les liens qu'ils vont avoir avec d'autres experts
00:22:54 qui peuvent être en termes de forensics, les autorités évidemment,
00:22:58 qui vont aider le moment venu une organisation à être cyber-résiliente.
00:23:02 Là, c'est un autre type de framework.
00:23:06 Je ne vais évidemment pas aller dans le détail, c'est juste pour vous dire
00:23:09 qu'aujourd'hui, quand on parle de cyber-résilience,
00:23:12 on voit qu'il y a tout un sujet autour de la technologie,
00:23:15 autour du métier, également autour de la gestion de risque,
00:23:18 de la gestion de risque d'entreprise, et également derrière de contrôle interne.
00:23:23 Et c'est ces sujets-là qu'on retrouve et qu'on retrouvait,
00:23:27 et finalement, ce qu'on va voir dans les réglementations,
00:23:30 c'est qu'on va les retrouver parce qu'elles se sont organisées
00:23:32 autour de ces sujets, autour de ces standards
00:23:35 qui ont commencé à préexister.
00:23:38 Alors voilà, quelques enjeux autour de la cyber-résilience.
00:23:41 Ça, c'est un point qui est important, donc avant de passer
00:23:44 sur la partie réglementation.
00:23:46 Quand on s'est interrogé sur quels sont les principaux défis
00:23:49 qu'on retrouve autour de la cyber-résilience,
00:23:52 c'est déjà définir ce qui est critique.
00:23:54 En cas de crise, évidemment, tout ne pourra pas être secouru
00:23:57 ou maintenu à un niveau essentiel, à un niveau performant.
00:24:00 Donc, c'est déjà avoir une vision qui est essentielle,
00:24:03 mais avec également une vision exhaustive de l'écosystème.
00:24:05 J'en ai parlé.
00:24:07 Aujourd'hui, une organisation qui a des frontières,
00:24:09 ou des frontières ont disparu, en tout cas, disparaissent.
00:24:13 Donc, c'est avoir une vision complète de son écosystème.
00:24:16 Également, c'est fournisseurs essentiels ou ses partenaires.
00:24:20 C'est également ce qu'on voit, les principaux défis,
00:24:23 c'est de toute la partie avoir des tests,
00:24:25 que ce soit des tests de reprise, de continuité,
00:24:27 des tests pour tester aussi la sécurité,
00:24:32 la capacité de résistance, type rétiming,
00:24:34 des tests d'intrusion aujourd'hui qu'on peut avoir sur ces systèmes
00:24:37 d'information par rapport au cyberattaque,
00:24:39 mais là, de manière vraiment représentative.
00:24:42 Et surtout, l'humain, voilà.
00:24:44 L'humain, encore une fois, au cœur du système,
00:24:46 donc c'est avoir cette culture de la cyber-résilience
00:24:49 et également impliquer les métiers,
00:24:51 en plus, évidemment, de la direction générale.
00:24:55 C'est pour ça qu'en général, ce que nous retrouvons
00:24:58 et qu'on va retrouver de manière,
00:25:00 au niveau des directives et des réglementations,
00:25:03 c'est des sujets autour de la gouvernance,
00:25:05 donc on se tient à la direction générale,
00:25:07 mais également à la prise en compte.
00:25:09 C'est comprendre également son exposition,
00:25:12 quel sont le type de cyberattaque, de risques IT,
00:25:16 ou autres menaces auxquelles on peut être exposé,
00:25:19 encore une fois, d'un point de vue cyber,
00:25:22 d'un point de vue géopolitique, d'un point de vue secteur d'activité.
00:25:25 C'est prendre en compte tout ce qui est la dépendance clé,
00:25:28 donc ne pas se limiter aujourd'hui à son organisation.
00:25:32 C'est également, donc, toutes les tests dont j'ai parlé,
00:25:35 cette partie test, c'est évidemment protéger les systèmes les plus critiques,
00:25:39 être capable de les protéger d'un point de vue cyber sécurité,
00:25:43 donc tout un plan technologique, évidemment, et protection.
00:25:46 C'est connaître ses risques, c'est les capacités aussi,
00:25:49 c'est vraiment important, c'est détecter,
00:25:52 c'est-à-dire, on sait toujours qu'il y a tout un enjeu autour du temps,
00:25:55 le plus de temps on a, le plus proactif on peut être,
00:25:58 le plus réactif on serait, on pourra contenir un incident,
00:26:01 donc c'est les capacités de détection qu'on a en place,
00:26:04 les capacités de réponse, de reprise,
00:26:06 et puis toute la communication, qu'elle soit interne ou externe.
00:26:09 Aujourd'hui, c'est des sujets qu'on regarde,
00:26:12 sur ces sujets de cyber et résilience,
00:26:14 c'est quelle est la communication que je serais capable de faire en interne
00:26:17 pour m'organiser, pour assurer, finalement, les employés de l'organisation,
00:26:24 mais c'est également vis-à-vis du régulateur,
00:26:27 vis-à-vis de son commissaire au compte, des autorités,
00:26:31 vis-à-vis de ses clients, de ses partenaires aujourd'hui,
00:26:33 vis-à-vis de la presse, lorsqu'on a interrogé,
00:26:36 quelle est la stratégie de communication qu'on a en place,
00:26:38 et puis évidemment, c'est l'adoption de nouvelles technologies
00:26:41 qui peuvent aider les organisations,
00:26:42 avec le fait qu'évidemment, il faut les maîtriser,
00:26:45 et les mettre en place dans un contexte avec vraiment une vision,
00:26:47 on va dire, et une logistique de bout en bout d'un point de vue organisation.
00:26:51 Donc ça, j'ai parlé de la cyber-résilience,
00:26:54 voilà, assez rapidement, mais j'essaie de donner un tableau général.
00:26:59 J'ai rappelé qu'aujourd'hui, on était à dire
00:27:02 qu'une organisation ne peut pas se limiter à elle-même,
00:27:05 d'un point de vue cyber-résilience,
00:27:07 mais elle doit tenir compte de l'écosystème,
00:27:09 et justement, c'est ce qu'on va voir aujourd'hui
00:27:13 en termes de réglementation européenne,
00:27:15 c'est au niveau de l'Union européenne, finalement,
00:27:18 ce principe qui est de dire qu'on doit favoriser,
00:27:21 quelque part, une capacité à rendre des services aux citoyens
00:27:25 sur les services essentiels.
00:27:27 On doit être capable, aujourd'hui,
00:27:29 que les secteurs d'activité, transport, approvisionnement en eau,
00:27:33 secteur financier, doivent être capables également
00:27:36 d'assurer des services qui sont essentiels à la nation,
00:27:39 qui favorisent le marché numérique européen,
00:27:42 qui le permettent, c'est être capable de le faire,
00:27:45 et pas uniquement, voilà, trie, on va dire,
00:27:48 organisation, entreprise par entreprise,
00:27:51 mais d'un point de vue global.
00:27:53 C'est ce qui a amené, en fait, tout un ensemble de réglementations
00:27:56 qui ont commencé dès les années 2008,
00:27:58 avec la directive CI, qui était de définir,
00:28:01 déjà, quels sont les services essentiels
00:28:03 au niveau de l'Union européenne,
00:28:05 puis a parvu la première version de NIS,
00:28:08 qui s'est travaillée en tant que loi de programmation militaire
00:28:11 au niveau de la France, qui était de dire,
00:28:13 je dois protéger mes services d'importance,
00:28:16 mes systèmes d'information d'importance vital.
00:28:19 Après, dès 2019, a commencé à venir d'autres règlements
00:28:23 en termes de, comment est-ce qu'aujourd'hui,
00:28:25 je vais sur ces services d'activité essentielle,
00:28:27 sur les tiers qui fournissent,
00:28:28 comment aujourd'hui je commence à mettre en place
00:28:30 une cybersécurité avec des autorités de régulation
00:28:34 et de surveillance,
00:28:36 puis toute la partie stratégique de cybersécurité,
00:28:39 avec notamment la directive NIS2,
00:28:41 la directive REG, et DORA et CRA, qui vont venir.
00:28:46 Donc là, je vais laisser Stéphane, après,
00:28:48 introduire sur ces sujets-là.
00:28:50 Merci, Laurent.
00:28:52 Donc, comme l'a dit Laurent,
00:28:54 il y a une réelle stratégie de cybersécurité
00:28:56 qui va s'appliquer au niveau européen,
00:28:59 qui va principalement s'appuyer, en fait,
00:29:02 sur la directive NIS2, au niveau de l'Union européenne,
00:29:05 et qui va lister un certain nombre de mesures de sécurité
00:29:08 visant à renforcer, finalement, son niveau de protection
00:29:12 au niveau de chacune des organisations
00:29:14 qui seront incluses au niveau de NIS2,
00:29:17 donc à savoir les entreprises importantes
00:29:20 et les entreprises essentielles.
00:29:22 On verra plus tard quelles définitions donner
00:29:24 à ces deux types d'entités.
00:29:26 Au-delà de NIS2, qui liste donc un certain nombre
00:29:29 de mesures et d'exigences de cybersécurité,
00:29:33 vont venir s'appuyer sur NIS2 de règlement,
00:29:37 donc le règlement CRA,
00:29:39 qui signifie Cyber Resilience Act,
00:29:41 qui va, lui, plutôt s'intéresser
00:29:43 à la désécurisation des produits
00:29:45 intégrant des composants de type numérique.
00:29:49 On verra également plus en détail
00:29:51 sur cette réglementation par la suite.
00:29:53 DORA, qui, lui, va plutôt transcrire
00:29:57 la directive NIS2 sur le secteur exclusivement financier,
00:30:01 avec toutes ses spécificités
00:30:03 qu'implique le secteur financier,
00:30:06 et donc qui va viser, tout comme NIS2,
00:30:09 à donner un certain élan,
00:30:11 une harmonisation de la cybersécurité
00:30:14 et de sa résilience à l'échelle, cette fois-ci, européenne.
00:30:18 Comme on l'a pu le voir sur l'ECI,
00:30:20 on était plutôt dans une logique locale
00:30:22 de responsabilisation des États membres
00:30:26 à définir et à désigner
00:30:28 chaque entité considérée comme essentielle.
00:30:31 Avec NIS2, DORA et CRA,
00:30:33 on va rentrer dans une logique,
00:30:35 comme le faisait NIS1 d'ailleurs,
00:30:37 on va rentrer dans une logique plus harmonisée
00:30:39 et plus régionale au niveau de l'échelle européenne,
00:30:42 ce qui va induire un certain nombre de concordances
00:30:45 au niveau des règlements et des directives
00:30:47 qui vont demander à ce qu'il y ait
00:30:49 une meilleure collaboration entre les États membres
00:30:52 et notamment un reporting assez conséquent
00:30:56 des différents incidents
00:30:58 qui pourraient subvenir à l'échelle européenne.
00:31:01 Ensuite, on a également la directive REC,
00:31:03 donc Résilience des Entités Critiques,
00:31:06 qui elle fait clairement le parallèle avec NIS2,
00:31:09 mais cette fois-ci sur le volet de la sécurité physique
00:31:12 et des infrastructures physiques,
00:31:16 tout comme NIS2,
00:31:18 mais lui plutôt sur la partie informatique et numérique.
00:31:23 Et enfin, on a forcément au niveau européen,
00:31:27 mais surtout local,
00:31:29 une application, une transcription pour les directives,
00:31:34 à la différence des règlements qui s'appliquent en l'État
00:31:37 au niveau local,
00:31:38 une transcription des directives,
00:31:41 ce qui va venir modifier le panorama législatif
00:31:46 et de la transposition des différentes règles de sécurité
00:31:51 au niveau local,
00:31:53 et donc au niveau de chacun des États membres.
00:31:56 Si tu passes à la prochaine slide, Laurent, s'il te plaît.
00:32:00 Merci.
00:32:01 Pour faire un focus sur la directive NIS,
00:32:03 donc elle redéfinit le cadre des normes minimales
00:32:06 dans le domaine de la cybersécurité,
00:32:08 ce que faisait déjà NIS1.
00:32:10 À la différence de NIS1,
00:32:11 on va venir élargir considérablement
00:32:14 le périmètre d'application de NIS1.
00:32:17 On va venir gommer un certain nombre de choses sur NIS1
00:32:21 qui avaient été remontées dans NIS1
00:32:24 et qui vont être corrigées dans NIS2,
00:32:25 en plus de l'élargissement du périmètre d'application,
00:32:28 mais également en intégrant tout ce qui va être lié
00:32:31 à la supply chain,
00:32:33 notamment en lien avec l'évolution des menaces
00:32:36 au niveau européen,
00:32:38 et de plus en plus le focus sur la chaîne d'approvisionnement,
00:32:43 mais également tout ce qu'on va nommer
00:32:45 « attack supply chain »,
00:32:46 ce qui permettra à l'attaquant de passer
00:32:48 par un fournisseur ou un partenaire
00:32:50 pour pouvoir atteindre finalement sa cible
00:32:53 qui serait donc une entité à caractère essentiel et important.
00:32:58 NIS2 s'appuie sur trois piliers,
00:33:00 le premier, l'identification des systèmes critiques.
00:33:02 J'ai volontairement mis « critiques »
00:33:04 pour indiquer que c'est une notion qu'on va retrouver
00:33:06 assez souvent au niveau des différentes directives,
00:33:09 que ce soit la directive REC, la directive NIS2,
00:33:13 le règlement DORA.
00:33:15 Pour NIS2, on va plutôt avoir une introduction
00:33:18 de deux nouvelles notions
00:33:20 qui vont finalement remplacer ce qu'on nommait au préalable
00:33:25 les opérateurs de systèmes essentiels.
00:33:28 On va retrouver aujourd'hui deux nouvelles notions
00:33:30 qui vont être les entités essentielles
00:33:32 et les entités importantes.
00:33:34 On verra plus en détail à quoi ça correspond.
00:33:37 Ce qu'il faut noter par rapport à l'OSO,
00:33:40 c'est qu'aujourd'hui tous les OSO qui étaient concernés par NIS1
00:33:44 seront à présent concernés par NIS2,
00:33:46 mais plutôt sous le sigle d'entité essentielle.
00:33:50 Le deuxième pilier, l'implémentation d'un framework de contrôle
00:33:53 pour le déploiement de l'état de l'art,
00:33:55 pour maîtriser son risque, le gérer,
00:33:57 et surtout s'assurer d'être en lien avec les nouvelles menaces
00:34:02 de type cybersécurité.
00:34:04 Et enfin, sur le troisième pilier, l'évaluation des systèmes critiques,
00:34:09 ce qu'on avait déjà au niveau de NIS1,
00:34:11 ce qu'on a aujourd'hui au travers des SIV et des OSI.
00:34:17 Sur le périmètre, comment définir si on est concerné ou non
00:34:22 par NIS2 ?
00:34:23 On a une approche plutôt systémique avec NIS2,
00:34:28 ou holistique plutôt, avec trois catégories d'entreprises
00:34:32 qui sont définies par leur taille, leur volume d'employés
00:34:37 avec le volume de chiffre d'affaires.
00:34:39 Par exemple, pour les entreprises moyennes,
00:34:42 entre 50 et 250 employés, avec un chiffre d'affaires
00:34:46 autour de 10 à 50 millions à l'année,
00:34:49 ou un bilan de 10 à 43 millions.
00:34:52 On a aujourd'hui sur NIS2 35 secteurs qui sont définis,
00:34:57 dont 16 qui ont été rajoutés vis-à-vis de NIS1.
00:35:02 Pour les grandes entreprises, donc ceux qui dépassent
00:35:05 les seuils de l'entreprise moyenne, bien entendu,
00:35:07 et liées à une activité dans l'Union Européenne
00:35:11 qui serait définie comme essentielle pour NIS2.
00:35:14 Et enfin, tout ce qui va être entreprise spéciale
00:35:17 avec tout simplement une désignation au niveau local,
00:35:22 peu importe leur taille et leur chiffre d'affaires.
00:35:28 En termes de pré-requis, ce qu'on a, c'est principalement
00:35:33 des mesures de gestion des risques liées à la cybersécurité.
00:35:37 On a repris quelques éléments des articles
00:35:40 qui sont assez marquants.
00:35:41 Les entités doivent prendre des mesures opérationnelles
00:35:44 et organisationnelles pour gérer les risques liés à la sécurité
00:35:47 des réseaux et des systèmes d'information qu'elles utilisent
00:35:50 dans le cadre de leurs activités essentielles
00:35:53 ou pour la fourniture de leurs services et pour prévenir
00:35:56 ou réduire au minimum l'impact des accidents,
00:35:59 d'où la notion de résilience sur les destinataires
00:36:02 de leurs services et sur d'autres services.
00:36:06 En troisième point, l'entité qui constate qu'elle ne respecte pas
00:36:08 les mesures d'apprentissage, bien entendu,
00:36:10 toutes les mesures correctives nécessaires et appropriées
00:36:13 et proportionnées pour corriger le tir.
00:36:15 Une nouvelle notion qui apparaît avec NIS2,
00:36:18 c'est ce reporting obligatoire en lien avec tous incidents
00:36:22 significatifs qui seraient constatés et également une évaluation
00:36:27 des risques de la sécurité sur l'échelle d'approvisionnement
00:36:32 critique à l'échelle de l'Union européenne.
00:36:36 Je ne vais pas insister sur la partie conséquences légales
00:36:38 puisqu'on va l'aborder juste après.
00:36:40 En termes de période statutaire, on est sur une mise en œuvre
00:36:44 qui sera applicable pour octobre 2024 avec possiblement,
00:36:49 très probablement d'ailleurs, un délai d'applicabilité
00:36:53 pour chaque organisation qui serait concernée par NIS2.
00:36:57 Le temps de pouvoir se mettre en conformité vis-à-vis de la directive.
00:37:02 En faisant un focus sur le périmètre, pour rappeler les quelques éléments,
00:37:07 on a bien trois sections, j'en ai parlé, les entreprises moyennes,
00:37:11 les grandes entreprises, les entreprises quelle que soit leur taille.
00:37:15 Cette définition se base sur trois facteurs bien définis,
00:37:21 les premiers étant la volumétrie du chiffre et du nombre de collaborateurs.
00:37:27 Pour les entreprises moyennes et les grandes entreprises,
00:37:30 les secteurs qui ont été définis au niveau de l'annexe 1
00:37:34 et au niveau de l'annexe 2 de la directive NIS2,
00:37:38 en tout 35 secteurs aujourd'hui, et bien entendu la fourniture de services
00:37:43 au niveau de l'Union Européenne.
00:37:47 Pour les entreprises de taille moyenne, forcément,
00:37:50 concernées par les secteurs qui sont définis dans l'annexe 1 et l'annexe 2,
00:37:55 avec des exigences spécifiques qui sont décrites dans l'article 2 du NIS2,
00:37:59 notamment en lien avec des services spécifiques
00:38:02 qui sont considérés comme essentiels au niveau local,
00:38:07 les entités critiques qui sont considérées comme critiques
00:38:11 au sens de la directive de résilience des entités critiques
00:38:15 sur la partie physique qui vont du coup se voir appliquer également
00:38:20 les principes de NIS2 sur certains de leurs périmètres,
00:38:25 et enfin les entités de l'administration publique et établissements d'enseignement.
00:38:29 Voilà.
00:38:30 Je vous laisse la main pour la partie avec NIS2.
00:38:36 C'est à vous la parole Olivier, c'est à toi.
00:38:40 Merci Laurent Stéphane, merci d'avoir posé ce décor.
00:38:46 Et moi ce que je vais essayer au travers de ma courte intervention,
00:38:53 c'est effectivement contrôle, sanctions, responsabilités.
00:38:57 Comment on arrive là et comment on peut essayer de tirer des fils
00:39:03 pour avoir à la sortie de notre échange de ce soir,
00:39:06 une vision claire sur ce qui se passe.
00:39:09 Pas évident, NIS2, CRAC, CROS, CER, IA Act, DGA,
00:39:18 on a des centaines et des dizaines et des centaines de pages de textes réglementaires
00:39:24 et évidemment pour le commun des citoyens,
00:39:28 l'ancienne maxime qu'on apprenait aux étudiants en droit en première année
00:39:34 qui était que nul n'est censé ignorer la loi,
00:39:37 devient quand même d'une certaine complexité et difficulté.
00:39:42 Donc qu'est-ce qu'on peut dire sur effectivement directive NIS2,
00:39:48 comment on arrive à ça et comment on arrive à partir du décor
00:39:51 qui a été très justement posé par Laurent Stéphane,
00:39:55 on arrive à ces questions et comment on les traite.
00:39:58 D'abord, dans tous les textes qu'on a cités aujourd'hui,
00:40:01 que ce soit DORA, que ce soit le CER, les Critical Entities,
00:40:07 les Entités Critiques, NIS2 et d'autres,
00:40:13 toutes ont un point commun, c'est le contexte,
00:40:16 qui a été très bien rappelé par Laurent en introduction,
00:40:20 c'est-à-dire la dépendance au réseau numérique,
00:40:23 la dépendance au numérique et à la digitalisation,
00:40:27 ça c'est le premier point.
00:40:29 Le second, ça a été dit aussi par Laurent,
00:40:32 c'est la multiplication des cyberattaques et des attaques.
00:40:37 Le troisième point, je dirais, c'est l'externalisation
00:40:41 et le cloud computing, qui fait qu'aujourd'hui,
00:40:44 on externalise à tout va.
00:40:46 Et puis il y a un quatrième point, qu'on n'évoque jamais,
00:40:53 que vous ne l'irez nulle part, mais qui explique
00:40:55 pourquoi on en arrive là, en partie,
00:40:58 c'est que jusqu'à présent, la loi protégeait le citoyen,
00:41:03 c'est-à-dire que si un individu commettait une infraction,
00:41:08 la loi était là pour le sanctionner,
00:41:11 c'est-à-dire au préalable l'identifier,
00:41:14 ensuite l'appréhender, l'attraire devant un tribunal,
00:41:18 le faire condamner, ce qu'on appelait l'élucidation
00:41:22 du délit ou du crime.
00:41:24 Or, on est maintenant dans une société
00:41:27 où le taux d'élucidation dans le domaine
00:41:30 de la cybercriminalité et de la cybersécurité
00:41:33 est tend vers très très peu.
00:41:36 Et ça évidemment, personne ne le dira.
00:41:39 C'est de plus en plus compliqué, car comme là aussi,
00:41:42 dit Laurent, les délinquants criminels
00:41:45 jouent des frontières, alors que nos systèmes juridiques,
00:41:48 nos états de droit sont encore organisés
00:41:51 à l'intérieur des frontières.
00:41:53 Donc on a un taux d'élucidation très faible.
00:41:55 La partie de gendarmes et de voleurs
00:41:58 est une partie très compliquée pour le gendarme.
00:42:01 Et si on le jouait sur le mode de la marionnette,
00:42:05 il aurait peut-être beaucoup de difficultés
00:42:08 à rapporter et appréhender le voleur.
00:42:11 Et donc, on change de paradigme.
00:42:14 On change de paradigme, ça veut dire quoi ?
00:42:16 Ça veut dire qu'effectivement, dans le délit informatique,
00:42:18 on connaissait depuis 1988
00:42:21 une loi qui s'appelle la loi Godefrey,
00:42:24 que tous les spécialistes de la cybercriminalité et de la sécurité connaissent.
00:42:27 Et qui disait quoi ?
00:42:29 Je lis le premier article de la loi Godefrey,
00:42:32 l'article L323.1,
00:42:34 qui est un paradis pour ceux qui veulent comprendre la loi.
00:42:38 Le fait d'accéder ou de se maintenir
00:42:41 dans tout ou partie d'un système de traitement automatisé de données,
00:42:44 frauduleusement, bien sûr, j'ai oublié l'adverbe qui est le plus important,
00:42:48 le fait d'accéder ou de se maintenir frauduleusement
00:42:50 dans tout ou partie d'un système de traitement automatisé de données
00:42:53 est puni de trois ans d'emprisonnement et de 100 000 euros d'amende.
00:42:57 C'est ça, tout le monde l'a compris.
00:42:59 Le fait d'accéder, l'individu qui accepte
00:43:02 ou qui tente d'accéder,
00:43:04 puisqu'il y a des tentatives punissables comme le d'accéder lui-même,
00:43:07 s'il l'a appréhendé, il a des amendes à payer
00:43:11 et il peut même être sujet à un emprisonnement et sursis ou fermes.
00:43:16 Ce texte-là, il demeure,
00:43:18 ce système judiciaire et juridique demeure,
00:43:21 mais aujourd'hui, le fait est que,
00:43:24 et quelque part l'Union européenne en prend acte au train de tous ces textes,
00:43:29 c'est qu'il faut renforcer le niveau de cybersécurité
00:43:33 des organisations, des entreprises, du secteur public,
00:43:36 car effectivement,
00:43:39 ce n'est pas que le délinquant n'a plus peur du gendarme,
00:43:43 mais c'est qu'il est dans une situation où on constate
00:43:47 un niveau d'attaque de plus en plus important tous les ans.
00:43:50 Et donc, il faut changer de paradigme.
00:43:53 C'est ce que font tous ces textes
00:43:55 et c'est ce que fait la directive NIS 2.
00:43:58 D'ailleurs, la directive NIS 2,
00:44:00 qui est une directive de 2022,
00:44:02 ça a été dit, de décembre 2022,
00:44:05 elle dit clairement qu'elle se met au niveau,
00:44:08 c'est l'article, c'est le point 46 du préambule des récitals,
00:44:17 des considérants,
00:44:19 qui dit qu'elle s'aligne avec DORA et avec les critical entities.
00:44:24 La directive sur les critical entities.
00:44:26 Autrement dit, on change de paradigme.
00:44:30 Et c'est quoi, on change de paradigme ?
00:44:32 Ça veut dire qu'aujourd'hui, des organisations, des entreprises,
00:44:35 des obligations positives de mettre en œuvre
00:44:38 des mesures techniques, organisationnelles,
00:44:41 et la directive NIS dit même fonctionnelle,
00:44:45 fonctionnelle et organisationnelle,
00:44:46 il y a des obligations positives de s'y mettre.
00:44:49 Et si ces obligations ne sont pas respectées,
00:44:53 la responsabilité de l'organisation peut être mise en jeu.
00:44:59 On peut dire, mais comment, moi qui suis victime,
00:45:02 je vais être poursuivi et je vais être sanctionné administrativement ?
00:45:06 Oui, parce que nous sommes tous devenus quelque part
00:45:09 responsables les uns des autres.
00:45:11 Et que notre défaillance, notre négligence,
00:45:14 va peut-être engager, va peut-être causer un préjudice à un tiers.
00:45:19 Donc on demande des obligations positives de responsabilité,
00:45:23 de mise en œuvre, de gestion du risque,
00:45:27 d'évaluation du risque et de mise en œuvre d'obligations,
00:45:30 de mise en œuvre d'obligations techniques,
00:45:34 organisationnelles et fonctionnelles.
00:45:36 La deuxième chose, c'est que si j'ai subi un incident,
00:45:41 si j'ai subi un incident, je me dois,
00:45:44 dit la directive NIS 2, de le notifier à l'autorité compétente.
00:45:52 Ce sera probablement, c'était le cas pour NISS1,
00:45:55 probablement l'NCI, pour ce qui concerne la France.
00:46:00 Donc là aussi, si je ne fais pas cette notification dans les délais
00:46:03 qui me sont demandés par la directive NIS 2,
00:46:06 eh bien, je peux voir aussi ma responsabilité engagée.
00:46:10 Alors, je fais un petit arrêt ici, un deux-point ou un point-virgule ici,
00:46:16 pour dire que sur ces deux dispositifs,
00:46:20 l'obligation positive de mettre en place des mesures
00:46:22 organisationnelles, techniques et fonctionnelles,
00:46:25 et l'obligation de notifier en cas d'incident,
00:46:27 on reconnaît là un texte qui est quelque part le père
00:46:33 de la directive NIS 2 et de tous ces textes
00:46:36 qui ont été évoqués aujourd'hui,
00:46:38 et qu'on va essayer encore une fois d'identifier clairement,
00:46:41 c'est le RGPD.
00:46:43 La structure, le design, l'architecture,
00:46:47 la structure de tous ces textes est celui du RGPD.
00:46:51 Dans le RGPD, vous avez trois articles,
00:46:53 une section sur la sécurité des données à caractère personnel,
00:46:56 eh bien, c'est quoi ?
00:46:58 C'est un article sur l'obligation positive de mettre en œuvre
00:47:01 des mesures techniques et organisationnelles,
00:47:03 et deux articles qui concernent l'obligation de notifier
00:47:07 à l'ACNI quand on est responsable de traitement,
00:47:09 aux responsables de traitement quand on est sous-traitant,
00:47:11 voire même aux personnes concernées
00:47:13 quand les droits de liberté sont concernés,
00:47:15 sont menacés par la violation de données.
00:47:19 Eh bien, cette structuration-là, elle vient du RGPD.
00:47:23 Et on la retrouve dans NIS2, dans DORA,
00:47:27 dans les différents textes qui ont été évoqués tout à l'heure.
00:47:30 Qu'est-ce que dit encore le RGPD ?
00:47:32 Si on prend encore ce petit fil pour essayer de comprendre les choses,
00:47:36 eh bien, il nous dit qu'on doit faire du reporting.
00:47:40 Ça, ça a été dit aussi par Laurent et Stéphane.
00:47:45 En l'occurrence, ce qui est prévu dans le RGPD,
00:47:48 c'est qu'on internalise un certain nombre de registres.
00:47:51 Les registres des responsables de traitement,
00:47:53 les registres sous-traitants,
00:47:55 le registre des demandes de droits, d'accès, rectification, d'effacement,
00:47:59 mais aussi un registre d'incident.
00:48:02 Ce reporting-là, il est aussi exigé par les différents textes.
00:48:09 Et enfin, le contrôle et les sanctions.
00:48:13 Alors, on le sait très bien,
00:48:15 la CNIL a un pouvoir de contrôle extrêmement poussé
00:48:20 qui lui permet d'obtenir des informations,
00:48:25 soit par un contrôle, il y a quatre types de contrôles,
00:48:27 je ne vais pas rentrer dans les détails,
00:48:28 un contrôle en ligne, mais un contrôle également sur place.
00:48:31 Dans la directive NIS2, on va distinguer deux grandes catégories d'acteurs,
00:48:36 les entreprises, les entités essentielles, les entités importantes,
00:48:39 je ne vais pas rentrer dans les détails,
00:48:41 mais on met en place aussi un système de contrôle extrêmement poussé.
00:48:46 Pour les entités essentielles, c'est ce qu'on appelle un contrôle ex ante.
00:48:51 Ça veut dire qu'on le fait avant,
00:48:56 ces contrôles se font avant l'incident.
00:49:00 C'est-à-dire qu'il y a une possibilité pour ces entités essentielles,
00:49:03 lorsqu'elles ont la qualité d'entité essentielle,
00:49:06 il y a 18 secteurs, etc.
00:49:08 Ça a été bien expliqué.
00:49:10 Il y a possibilité pour l'autorité compétente de procéder à des audits,
00:49:15 de faire des inspections.
00:49:18 Il y a toute une série de mesures que peut prendre l'autorité compétente.
00:49:24 Pour les entités importantes, c'est-à-dire les autres,
00:49:27 et je peux vous assurer qu'à part peut-être votre boucher,
00:49:31 votre boulanger et peut-être votre avocat,
00:49:34 votre petit cabinet d'avocats, on va dire,
00:49:37 pratiquement tous les secteurs d'activité sont concernés.
00:49:41 Il a même été dit que ça n'est pas simplement une question de taille,
00:49:45 il se peut également que de petites organisations soient considérées
00:49:50 comme essentielles ou importantes lorsqu'elles ont une certaine criticité.
00:49:54 Pour les entités essentielles, ex ante,
00:49:57 pour les entités importantes, ex poste.
00:49:59 C'est-à-dire que lorsqu'il y a un incident insurvenu,
00:50:04 alors oui, là on est post incident,
00:50:06 l'autorité compétente a la possibilité de faire un très grand nombre de contrôles
00:50:11 pour éventuellement déceler les défaillances, les modes opératoires,
00:50:19 car là aussi il s'agit aussi de collecter de l'information,
00:50:22 pas simplement d'aider, mais de collecter des informations
00:50:26 et éventuellement de faire connaître à l'ensemble de la communauté nationale
00:50:30 les différentes attaques possibles pour permettre à chacun de se préparer.
00:50:35 La quatrième chose que fait l'RGPD,
00:50:38 là aussi on le retrouve dans la Directive NIS 2,
00:50:40 c'est la sécurisation de la totalité de la chaîne.
00:50:43 Ça a été dit là aussi, comment se fait-il qu'on mette des obligations sur les uns
00:50:48 et pas sur les autres ?
00:50:49 Non, il faut que la totalité de la chaîne soit sécurisée.
00:50:52 Pour l'RGPD, c'est les responsables de traitement et sous-traitants
00:50:55 et pour ce qui n'était pas le cas avant le RGPD,
00:50:58 et pour la Directive NIS 2, ce sont toutes les entités essentielles, importantes,
00:51:03 mais également, possiblement, les prestataires tiers
00:51:08 qui interviennent pour le compte de ces grandes entités.
00:51:11 Et d'ailleurs, petite parenthèse,
00:51:13 ce qui a fait que le RGPD aujourd'hui est quand même encore,
00:51:18 est très largement diffusé et appliqué, y compris par des petites organisations,
00:51:24 c'est que c'est souvent les grandes entreprises
00:51:27 qui vont imposer à leurs sous-traitants de se mettre en conformité
00:51:32 ou de, en tout cas, prendre des mesures.
00:51:37 Et enfin, les études d'impact, les tests,
00:51:40 ça a été dit là aussi par Laurent, je crois, assez rapidement,
00:51:45 et bien là aussi, on demande d'avoir un rôle proactif aux organisations
00:51:50 d'organiser les tests.
00:51:51 Donc, obligation positive de sécurisation, notification,
00:51:55 obligation de reporting, de rapport, de rapporter,
00:52:02 sécurisation de toute la chaîne, et des études d'impact, des tests,
00:52:07 mais c'est à peu près, même si les langages diffèrent d'un texte à l'autre,
00:52:11 c'est là qu'on arrive, c'est le point auquel on veut arriver,
00:52:15 c'est-à-dire avoir une démarche proactive pour monter le niveau de cybersécurité
00:52:19 et pour, quelque part, protéger la totalité de la société.
00:52:24 Alors, deux derniers points, et j'en aurais terminé.
00:52:29 Effectivement, comme c'est dit ici, on sait très bien que dans le RGPD,
00:52:37 on a des sanctions administratives qui côtoient des sanctions judiciaires possibles,
00:52:43 il y a des sanctions pénales même associées au RGPD possibles,
00:52:47 et qui peuvent également se poser à côté d'actions en responsabilité.
00:52:52 Je vais y venir dans quelques instants.
00:52:55 Effectivement, dans le RGPD, on a des sanctions administratives
00:53:00 qui sont au pourcentage du chiffre d'affaires,
00:53:02 ou des montants d'amende qui peuvent monter à 10 ou 20 millions d'euros,
00:53:07 donc très important pour la directive NIS, on est sur le même système.
00:53:11 À savoir que, pour les entités essentielles,
00:53:15 il peut y avoir des pénalités qui seront ordonnées à leur parti.
00:53:21 Apparemment, ce serait l'Annecy, donc c'est l'État.
00:53:26 C'est un point peut-être qu'il faudra discuter.
00:53:30 Est-ce que l'Annecy a les moyens de le faire ?
00:53:32 Est-ce que l'Annecy a la culture ?
00:53:34 C'est quelque chose qu'elle devra probablement acquérir.
00:53:36 Jusqu'à 2% du chiffre d'affaires mondial, ou 10 millions d'euros d'amende.
00:53:45 Et pour les entités importantes, 7 millions et 1,4%.
00:53:49 Donc, des sanctions administratives à très haut niveau.
00:53:56 Alors, est-ce que ça veut dire qu'aujourd'hui,
00:53:59 on demande aux organisations, entreprises privées, petites, moyennes,
00:54:03 grosses entreprises, collectivités territoriales, administrations,
00:54:08 est-ce que, quelque part, on leur demande une obligation de résultat
00:54:10 vis-à-vis de la question de la sécurité ?
00:54:12 Évidemment non.
00:54:14 Demander une obligation de résultat, c'est totalement inapte.
00:54:21 Et tous les spécialistes de la cybersécurité,
00:54:23 même les éditeurs de produits de cybersécurité,
00:54:28 vous diront que c'est strictement impossible.
00:54:32 On ne peut jamais garantir 100% de sécurité.
00:54:35 Ce qu'on demande à toutes les organisations,
00:54:38 c'est de se mettre en conformité,
00:54:40 c'est d'être sur le chemin de la conformité,
00:54:42 de montrer que des diligences ont été prises,
00:54:44 qu'un discours s'est créé,
00:54:46 que des ressources internes ont été mobilisées,
00:54:49 c'est très important ça,
00:54:51 que jusqu'aux contrats même, que les contrats ont été revus,
00:54:56 que la totalité de la culture de l'entreprise
00:54:59 est en marche vers plus de cybersécurité.
00:55:04 Et il est évident que tous les standards,
00:55:08 qu'ils soient nationaux ou internationaux,
00:55:10 qui sont publiés ici ou là, vont jouer un grand rôle,
00:55:13 parce qu'ils n'ont pas, évidemment,
00:55:15 de caractère obligatoire à l'égard d'une loi,
00:55:18 mais ils seront regardés par les autorités compétentes,
00:55:24 de contrôle et de sanctions,
00:55:25 et probablement aussi par le juge.
00:55:27 Pourquoi ?
00:55:28 Parce qu'on oublie là aussi quelque chose,
00:55:30 c'est que derrière toutes ces obligations
00:55:32 qui sont prévues par les différents textes communautaires,
00:55:37 il y a la question de la responsabilité.
00:55:40 Car si demain un prestataire,
00:55:43 ou même une entreprise, une organisation,
00:55:48 qui a des clients, se voit attaqué,
00:55:52 et que par sa négligence,
00:55:54 il y a des perturbations qui surviennent,
00:55:58 il y a des préjudices qui sont causés,
00:56:00 il y a des tiers, des clients, des partenaires,
00:56:05 qui subissent un préjudice consécutif
00:56:08 à un manquement aux directives NIS2 et CONSORM,
00:56:12 on les appelle comme ça aujourd'hui,
00:56:14 derrière la sanction administrative,
00:56:17 derrière le contrôle, derrière l'audit,
00:56:20 l'inspection, etc., et la sanction administrative,
00:56:22 il y a l'action de responsabilité
00:56:24 qui va immédiatement être engagée
00:56:27 contre le défaillant sur la base des textes
00:56:30 que l'on vient de discuter.
00:56:31 Et une action de responsabilité devant les tribunaux,
00:56:34 devant les juges judiciaires,
00:56:36 qui vont devoir condamner si une faute,
00:56:39 c'est-à-dire un manquement,
00:56:41 une obligation de conformité telle qu'on a vu,
00:56:44 a été réalisée,
00:56:46 si cette faute a causé un préjudice,
00:56:49 et s'il y a un lien entre ce préjudice et cette faute.
00:56:51 C'est-à-dire l'application des régimes de responsabilité
00:56:54 qui sont quasiment universels.
00:56:55 Donc il va y avoir des actions de responsabilité,
00:56:57 il ne faut jamais l'oublier.
00:56:58 On parle de contrôle, on parle de sanctions,
00:57:00 il va y avoir des actions en responsabilité,
00:57:03 et c'est certain.
00:57:04 Voilà, j'ai terminé avec mon petit point de vue,
00:57:09 et je pense qu'on va de nouveau échanger
00:57:13 tous ensemble sur ces textes,
00:57:18 et en particulier la directive NIS2.
00:57:19 Effectivement, c'est la suite de directive NIS1,
00:57:21 mais on change complètement de modèle,
00:57:24 et on change complètement, je dirais, de braquage.
00:57:27 On passe vraiment à un enjeu bien plus important.
00:57:31 Il y a beaucoup d'ambition dans ce texte.
00:57:33 C'est vrai que la question de savoir
00:57:35 s'il y aura des moyens associés,
00:57:36 notamment auprès de l'ANSI, c'est important.
00:57:40 Saurons bien présents pour faire face
00:57:42 à ces enjeux importants,
00:57:44 à cette ambition extrême.
00:57:46 Mais vraiment, on est dans un système
00:57:49 bien plus important et bien plus ambitieux
00:57:52 qu'avec la directive NIS2,
00:57:53 et je crois que c'est vraiment un moment intéressant,
00:57:57 une bascule intéressante dans notre système juridique.
00:58:00 Voilà, Laurent, je te repasse la parole.
00:58:03 Il y a des commentaires,
00:58:05 des questions qui sont posées dans le chat.
00:58:08 Je vous propose qu'on continue dans la présentation,
00:58:10 et on y reviendra.
00:58:12 Chaque commentaire, les uns derrière les autres.
00:58:14 Stéphane, je te laisse continuer
00:58:16 sur la suite des autres directives.
00:58:20 Et après, sur REC, sur CRA et sur DORA,
00:58:24 et après on reverra les commentaires,
00:58:26 les questions qui sont posées,
00:58:28 avec certaines questions où évidemment,
00:58:29 on n'aura pas forcément la réponse maintenant.
00:58:32 On aimerait la voir, mais ce n'est pas le cas.
00:58:34 Et d'autres, on essaiera d'y répondre au mieux.
00:58:36 Si on passe plus en détail sur la directive
00:58:40 de résilience des entités critiques,
00:58:42 en brève description, bien entendu,
00:58:44 on va parler d'entités critiques,
00:58:46 à l'instar d'essentielles et importantes
00:58:49 comme le dictait NIS2.
00:58:51 Ce qu'il faut noter, c'est que "critique"
00:58:53 concerne les fournisseurs de services
00:58:56 à nouveau essentiels,
00:58:57 comme on peut l'indiquer dans NIS2,
00:59:00 et qui jouent un rôle indisposable
00:59:03 dans le maintien de fonctions sociétales,
00:59:05 vitales ou d'activités économiques
00:59:07 sur le marché intérieur de l'Union européenne.
00:59:11 À l'instar de NIS2,
00:59:13 RECS intéresse exclusivement
00:59:15 la sécurité physique des organisations
00:59:18 qui fournissent des services essentiels.
00:59:20 On peut citer en exemple,
00:59:22 puisque ça touche également aux activités numériques,
00:59:25 les fournisseurs de points d'échange Internet,
00:59:27 les fournisseurs de services DNS notamment,
00:59:30 qui vont, eux également,
00:59:32 notamment potentiellement,
00:59:33 être impactés également par NIS2.
00:59:35 Donc, on peut être touché sur les deux directives,
00:59:39 probablement sur des périmètres
00:59:41 qui vont soit se recouper,
00:59:42 soit être distincts,
00:59:44 ce qui va imposer de se mettre en conformité
00:59:47 des directives pour certains acteurs.
00:59:50 Donc, deux objectifs,
00:59:54 renforcer la résilience des entités critiques
00:59:56 dans le marché intérieur,
00:59:58 avec des règles harmonisées,
00:59:59 comme pour NIS2,
01:00:01 et également d'apporter des mesures de soutien
01:00:03 et de supervision cohérentes et spécifiques.
01:00:07 En termes de champ d'application,
01:00:09 on a deux grandes catégories.
01:00:11 La première, la plus simple à comprendre,
01:00:14 les entités critiques d'importance européenne particulière,
01:00:17 qui, elles, si je ne me trompe pas,
01:00:19 sont nommées au sein d'une annexe ou d'un article,
01:00:23 et les entités critiques,
01:00:25 qui seront, elles, identifiées par les États membres,
01:00:28 puisque c'est une directive d'ici le 17 juillet 2026.
01:00:33 Elles devront respecter un certain nombre de critères,
01:00:37 donc de fournir un ou plusieurs services
01:00:39 considérés comme essentiels pour le marché intérieur,
01:00:43 opérer sur le territoire d'un État membre,
01:00:45 bien entendu de l'Union européenne.
01:00:47 L'infrastructure critique pour les services essentiels
01:00:50 doit être située dans un État membre de l'Union européenne également,
01:00:53 et tout incident aurait,
01:00:56 et pour qui tout incident, bien entendu,
01:00:58 aurait des effets perturbateurs et significatifs
01:01:00 sur la fourniture par l'État d'un service d'assistance technique.
01:01:06 En termes d'exigence,
01:01:08 on va se focus énormément sur l'évaluation des risques
01:01:13 par les entités critiques pour les États et à l'échelle européenne,
01:01:20 avec une évaluation des risques dans les six mois,
01:01:23 qui vont suivre la notification par les États membres,
01:01:26 et puis une révision de ces risques tous les quatre ans
01:01:29 pour s'aligner avec l'évolution de la menace constante,
01:01:34 que ce soit sur la sécurité physique,
01:01:36 mais également d'un point de vue cybersécurité.
01:01:39 L'évaluation de ces risques pertinents de perturbation du service essentiel.
01:01:44 En termes de mesures de résilience,
01:01:48 prendre des mesures suite à l'évaluation des risques
01:01:53 pour s'assurer de couvrir,
01:01:55 ou en tout cas s'assurer qu'on est sur un niveau de risque minimisé,
01:02:00 soit par des mesures,
01:02:01 soit par l'acceptation d'un cadre de risque mineur.
01:02:04 Une mise en œuvre des vérifications des antécédents,
01:02:07 toujours cette notion de reporting obligatoire,
01:02:10 comme le NIS2 peut l'imposer,
01:02:12 suite à un incident significatif,
01:02:15 dans cette même logique d'harmonisation,
01:02:17 de partage à l'échelle européenne.
01:02:21 L'utilisation des normes européennes et internationales,
01:02:23 et puis enfin le suivi des séries d'importances particulières
01:02:27 par le biais de missions consultatives.
01:02:31 En termes de conséquences juridiques,
01:02:32 c'est les États membres qui détermineront le régime des sanctions à imposer,
01:02:37 à l'instar de NIS2,
01:02:40 et la prise de toutes les mesures nécessaires
01:02:43 pour garantir la mise en œuvre des exigences au niveau des États.
01:02:49 En termes de période statuaire,
01:02:50 c'est aligné avec NIS2 pour une mise en œuvre obligatoire jusqu'en octobre 2024.
01:02:56 Je préfère le terme « transposition » au niveau des États membres,
01:03:00 pour ensuite potentiellement, encore une fois,
01:03:03 une période d'application pour les organisations concernées
01:03:06 qui sera sûrement étendue après octobre 2024.
01:03:12 Si on passe à la prochaine slide,
01:03:14 on va avoir un descriptif des différents champs d'application.
01:03:19 Je le rappelais, les entités critiques
01:03:21 et les entités critiques d'une importance particulière pour l'Union européenne.
01:03:24 Comme je le disais,
01:03:25 ces entités critiques d'une importance particulière pour l'Union européenne
01:03:28 seront définies selon l'article 6.
01:03:33 Elles doivent bien entendu fournir un système essentiel identique
01:03:35 à ceux de six autres États membres ou plus.
01:03:41 Elles seront bien entendu notifiées par l'autorité nationale compétente
01:03:46 du fait qu'elles soient concernées par cette directive,
01:03:51 encore une fois à l'instar de MIS2,
01:03:53 qui va être plutôt dans une logique d'autodésignation
01:03:56 à travers un syndrome de facteurs de volumétrie notamment.
01:03:59 Pour les entités critiques, fournir au moins un service essentiel,
01:04:03 au sens de la directive REC,
01:04:06 opère sur le territoire d'un État membre de l'Union européenne
01:04:09 dont les infrastructures critiques sont situées
01:04:11 au sein d'un État membre de l'Union européenne
01:04:13 et dont les incidents auraient des conséquences importantes
01:04:16 et significatives sur la fourniture par l'entité d'un ou plusieurs services essentiels
01:04:21 et la fourniture d'autres services essentiels du secteur
01:04:25 qui dépendent des services essentiels.
01:04:28 Si on passe à la suite, on a un comparatif entre MIS2 et REC.
01:04:37 Le premier volet qui est très comparatif
01:04:41 et qui distingue les deux directives est celui du périmètre.
01:04:47 On pourrait s'intéresser principalement sur le périmètre de la résilience
01:04:51 des infrastructures physiques,
01:04:53 là où MIS2 s'intéresse plutôt sur la sécurité de l'information et des réseaux.
01:04:57 Les deux peuvent se recouper bien entendu
01:04:59 et c'est pour ça qu'on a des logiques de recoupement entre ces deux directives,
01:05:03 une sorte d'harmonisation qui devrait être faite au niveau local.
01:05:09 Ensuite, en termes de périmètre, je le rappelle à MIS2,
01:05:12 on est sur de l'autodésignation basée sur une approche holistique
01:05:16 qui est principalement basée sur des critères de volumétrie
01:05:19 qui va ensuite en ressortir deux notions,
01:05:22 l'entité essentielle qui s'apparente très fortement aux OSA
01:05:27 et les entités importantes qui concerneront principalement
01:05:31 les entités de petite taille ou alors les entités
01:05:35 qui pourraient être inclus au sein de la supply chain des entités essentielles.
01:05:41 Ensuite, pour la directive, il y a une identification à travers les Etats membres
01:05:48 et on concerne exclusivement les services essentiels des entités critiques
01:05:54 et donc il n'y a pas de notion d'entité par exemple importante ou de supply chain.
01:06:01 Pour les exigences, des mesures de cyber sécurité
01:06:04 qui vont s'appliquer sur MIS2 et qui vont déborder forcément sur REC
01:06:09 pour des secteurs qui seraient concernés par les deux directives.
01:06:13 Un focus sur la sécurité de l'information des réseaux pour MIS2.
01:06:17 Pour les deux directives, un reporting obligatoire,
01:06:19 ça on l'a évoqué à plusieurs points.
01:06:22 Et puis pour les chaînes d'approche, évaluation de risque,
01:06:25 on en a déjà également parlé.
01:06:27 En termes de sanctions, pour MIS2, on a également pas mal abordé le sujet,
01:06:31 donc des sanctions concrètes ont été définies.
01:06:35 En ce qui concerne REC, la définition des sanctions reste du ressort des Etats membres.
01:06:41 Et enfin, la transposition jusqu'à 2024.
01:06:46 Pour ce qui est de la réglementation CRA, donc Cyber Résilience Act,
01:06:58 elle s'intéresse exclusivement aux produits numériques.
01:07:02 Elle vient dans la continuité de la Cyber Security Act,
01:07:06 qui elle avait plutôt pour objectif de fournir une capacité de certification
01:07:12 des produits intégrant des notions numériques, donc de logiciels, etc.
01:07:18 Elle vient renforcer ce Cyber Security Act en imposant à présent
01:07:25 un certain nombre d'exigences en matière de Cyber Sécurité,
01:07:29 de maturité liée à la Cyber Sécurité et de sa résilience également
01:07:34 sur les produits numériques, en prenant en compte maintenant
01:07:37 l'intégralité du cycle de vie du produit, en partant de sa conception,
01:07:42 avec ce qu'on va pouvoir apparenter au Security by Design,
01:07:45 donc la sécurité dès la conception, jusqu'à son maintien en condition de sécurité,
01:07:51 pour garantir un certain niveau de confiance auprès des utilisateurs.
01:08:00 Et également le deuxième point, on en parlait au travers de la certification
01:08:04 qui avait déjà été mise en œuvre au travers de CSA,
01:08:07 mais qui va cette fois-ci être imposée pour une certaine classe de produits,
01:08:10 de permettre aux utilisateurs de prendre en compte la Cyber Sécurité
01:08:13 lors du choix et de l'utilisation des produits numériques.
01:08:18 En termes de champ d'application, deux classes sont importantes.
01:08:23 On a la classe 1 qui, elle, peut concerner des firewalls, microcontrôleurs, etc.
01:08:30 et qui va nécessiter l'application d'un standard de sécurité
01:08:33 ou d'une évaluation réalisée par un tiers extérieur.
01:08:37 Les exigences seront bien entendu indéfinies au niveau du CRA
01:08:41 et auront ces fabricants, ces différents acteurs,
01:08:48 à se conformer à cette directive et à ces différentes exigences de sécurité.
01:08:53 Pour la classe 2, on sera sur une demande d'évaluation obligatoire
01:08:57 par une tierce personne pour se conformer.
01:09:02 En termes d'exigences, intégrer la sécurité de l'information
01:09:07 et de la conception initiale des produits, ce qu'on a nommé le Security by Design.
01:09:12 L'évaluation des risques en matière de sécurité pour chacun des produits.
01:09:16 La diligence raisonnable lors de la mise sur le marché des différents produits
01:09:21 et la mise en vente.
01:09:23 La signalisation des vulnérabilités identifiées sur ces différents produits,
01:09:27 comme ça peut l'être sur d'autres logiciels,
01:09:31 qui ont cette nécessité d'indiquer lorsqu'ils ont pris connaissance
01:09:36 de vulnérabilités qui pourraient être impactantes.
01:09:39 Les exigences pour les autres opérateurs que les fabricants.
01:09:46 Les évaluations de conformité, on en a parlé.
01:09:51 La déclaration de conformité de l'Union européenne doit attester
01:09:54 de la conformité aux exigences à travers notamment cette notion de certification
01:09:58 et de l'obligation de fournir une documentation technique aux différents utilisateurs.
01:10:06 En termes de conséquences légales, les amendes pourront atteindre jusqu'à 15 millions d'euros
01:10:12 de cas de non-conformité avérée,
01:10:14 ou pouvant aller jusqu'à 2,5% du chiffre d'affaires annuel de l'organisation.
01:10:19 En termes de période légale, aujourd'hui c'est un projet de loi
01:10:23 qui a été publié en septembre 2022.
01:10:26 Il y a une période de transition de 24 mois avec une possible entrée en vigueur
01:10:31 autour de fin 2025.
01:10:34 En termes de typologie de produits, on va avoir les produits numériques
01:10:46 qui vont concerner tout produit logiciel ou matériel,
01:10:49 ainsi que ses solutions de traitement de données à distance.
01:10:52 C'est assez fréquent avec des logiciels positionnés en SAS
01:10:57 pour traiter ou piloter ces différents matériels.
01:11:01 À présent, on élargit le spectre de la directive et des exigences
01:11:05 sur ces périmètres qui font partie de l'écosystème du matériel.
01:11:10 Les produits qui ne sont pas déjà réglementés par d'autres dispositions
01:11:19 au niveau de l'échelle européenne, notamment sur les secteurs de la santé,
01:11:25 des véhicules à moteur, remorques, etc.,
01:11:30 qui sont déjà couverts par d'autres directives et réglementations
01:11:35 au niveau de l'échelle européenne.
01:11:37 Enfin, les produits critiques, on en a parlé.
01:11:39 Les produits numériques qui présentent un risque de cybersécurité
01:11:43 selon les critères de l'article 6 et définis sous deux classes,
01:11:48 avec des exigences qui vont être différentes, on en a parlé.
01:11:51 Des produits de classe 1 et des produits de classe 2.
01:11:55 Enfin, pour finir, la réglementation DORA,
01:12:00 Digital Operational Resilience Act,
01:12:03 qui vient finement s'appuyer sur la directive NIS2,
01:12:08 mais en la modélisant de telle manière à ce qu'elle réponde
01:12:13 aux spécificités liées exclusivement au secteur financier.
01:12:18 NIS1 couvrait déjà, et NIS2 également, sur la partie financière et bancaire.
01:12:24 NIS2 vient spécifier tout ça avec un certain nombre d'exigences
01:12:27 très propres à leur secteur.
01:12:29 Ce qui est important de noter également, c'est que DORA est l'ex-spécialiste.
01:12:35 En termes juridiques, ça signifie que si jamais il y a recoupement
01:12:38 avec des exigences de la directive NIS2, c'est DORA qui prévoit.
01:12:43 Donc, ce n'est pas interdit que NIS2, sur un certain nombre d'exigences,
01:12:46 concerne les acteurs du service financier.
01:12:49 Néanmoins, c'est DORA qui prévaudra sur celles pour lesquelles on a un doute
01:12:54 en termes d'applicabilité et de respect des exigences.
01:12:59 Donc, l'objectif de DORA, tout comme NIS2, c'est encore une fois de normaliser
01:13:03 et d'harmoniser les différentes mesures de sécurité à l'échelle européenne
01:13:09 et également de la gestion et la manière de gérer le risque
01:13:13 au niveau de l'échelle européenne.
01:13:16 Sur le secteur financier, également de centraliser la supervision.
01:13:21 Et donc, toute cette notion de reporting, de partage des incidents
01:13:25 va également être importante au niveau de l'échelle européenne
01:13:28 pour gérer les risques des entités financières
01:13:30 et notamment des fournisseurs TIC tiers.
01:13:33 Donc, cette logique encore de chaîne d'approvisionnement et de supply chain.
01:13:37 En termes de champ d'application, ça va concerner trois grandes catégories,
01:13:41 donc les banques, institutions de crédit, de monnaie électronique,
01:13:44 de moyens de paiement, les sociétés de gestion,
01:13:46 donc toutes les compagnies d'assurance, de réassurance,
01:13:49 les dépositaires centraux, de titres,
01:13:52 et également les sociétés d'investissement.
01:13:57 Pour la partie exigence, on est sur cinq, six piliers pour DORA.
01:14:05 Donc, déjà une gouvernance, une gouvernance de gestion des risques également,
01:14:11 et un framework de gestion des risques qui va être lié au TIC,
01:14:15 avec ce qu'on connaît, l'identification des risques,
01:14:18 la protection et la prévention face à la menace cyber,
01:14:21 les capacités de détection, les moyens de réponse et de récupération,
01:14:25 liés à la cyber résilience, sur la manière de réagir le plus rapidement possible
01:14:29 et de minimiser les impacts, apprendre à évoluer,
01:14:32 donc cette logique de lesson learned, de partage, d'harmonisation
01:14:35 au niveau de l'échelle européenne, va également être au cœur de la DORA,
01:14:39 et également la communication, la logique, l'apprentissage, l'évolution,
01:14:43 le partage de l'information.
01:14:45 Le rapport sur les incidents liés au TIC va être primordial,
01:14:49 mais comme toutes les autres directives, comme on a pu le voir,
01:14:52 le partage d'informations, un élément important qu'on ne retrouve pas forcément
01:14:56 dans les autres textes, mais cette logique est assez forte
01:14:59 de tests de résilience opérationnelle numérique,
01:15:01 pour s'assurer qu'en cas de compromission,
01:15:04 ce qui parle beaucoup pour la cyber résilience,
01:15:07 cette logique de plier, mais ne pas rompre,
01:15:10 à travers tout un tas d'exercices qui seront menés dans une phase de prévention,
01:15:17 pour s'assurer que l'organisation a bien tout mis en œuvre
01:15:20 et est en capacité de réagir le plus vite possible
01:15:23 et de minimiser l'impact.
01:15:25 Donc ça passera par des tests de pénétration, de red teaming,
01:15:30 toutes ces actions très techniques qui vont permettre de s'assurer
01:15:34 de la résilience de l'organisation.
01:15:37 Je finis assez vite Laurent.
01:15:39 Pour DORA, ça on en a déjà parlé,
01:15:43 donc je pense qu'on peut passer Laurent.
01:15:45 En termes de différence entre les directives,
01:15:48 si on se concentre sur les 4 blocs du bas,
01:15:51 en termes de législation, pour NIS2REC,
01:15:54 on est sur des directives, ce qui signifie qu'elles doivent être transposées
01:15:57 au niveau local, ce qui n'est pas le cas du règlement,
01:16:00 puisque le texte de loi s'applique tel quel,
01:16:03 au niveau des États membres, sans application ou spécification.
01:16:07 En termes de période de temps, NIS2REC sera transcrit jusqu'en octobre 2024,
01:16:12 et ensuite s'appliquera probablement avec un délai associé
01:16:17 et proposé pour chacun des États membres.
01:16:21 Pour le CRA, on est sur un projet de loi,
01:16:24 pour DORA c'est pour MIGUÉ, et pour le coup ça s'appliquera
01:16:27 dès janvier 2025.
01:16:30 En termes de champ d'application, NIS2REC, c'est les entités,
01:16:33 essentielles, importantes.
01:16:35 Pour REC, on est sur les services essentiels,
01:16:38 d'entités critiques.
01:16:40 Pour le CRA, sur les produits numériques,
01:16:42 pour DORA, sur le secteur exclusivement financier.
01:16:46 En termes d'objectifs, je pense qu'on en a déjà pas mal parlé,
01:16:51 et je crois que c'est bon pour cette...
01:16:54 En termes de conclusions, face à l'ensemble de ces directives
01:16:58 et de ces règlements qui imposent un certain nombre d'exigences
01:17:02 et de mesures à mettre en œuvre pour chacune des directives,
01:17:08 comment se mettre en conformité, de manière très haut niveau,
01:17:15 on a défini ça en 4 étapes.
01:17:18 Le premier, le cadrage, comprendre les textes de loi,
01:17:21 les exigences qui vont être appliquées,
01:17:25 identifier les périmètres qui vont vous concerner
01:17:28 pour chacune des directives.
01:17:30 En deuxième étape, réaliser un diagnostic
01:17:33 pour comprendre comment on est impacté
01:17:37 face à ces différentes exigences,
01:17:40 et mettre en place un plan d'action qui va permettre
01:17:42 de se mettre en conformité.
01:17:45 En s'appuyant bien entendu sur tout ce qu'on voit en bas,
01:17:48 l'ANSI, l'Agence Nationale de l'État...
01:17:50 Pardon, il va falloir conclure.
01:17:52 Après, il y a l'ARC-C, vous aurez le temps de lire le chat,
01:17:55 il y a beaucoup de questions dessus.
01:17:57 Et après, il y a la session questions-réponses.
01:18:00 Merci, on en était à la conclusion,
01:18:04 et on avait tout le temps laissé la place à l'ARC-C.
01:18:09 On vous laisse prendre,
01:18:12 sur la mise en conformité,
01:18:14 il y a plusieurs réglementations,
01:18:16 malgré tout, elles sont tous un sens en termes d'axes,
01:18:19 et c'est ce qu'on voit, et c'est ce qu'on présentait.
01:18:21 Par rapport au chat, on va d'abord laisser l'ARC-C prendre la parole,
01:18:24 et après, on commentera les différents commentaires
01:18:27 et répondra aux questions.
01:18:29 On vous laisse la parole.
01:18:31 Allez-y, allez-y, concluez.
01:18:36 On va pouvoir en mettre à l'ARC-C.
01:18:39 Oui, bien, bien, bien.
01:18:40 Joël Osa, tout genre, Louis Devigne.
01:18:43 On va laisser Stéphane finir sa phrase.
01:18:46 On est quasiment fini.
01:18:48 Finalement, le dernier objectif,
01:18:50 c'est de maintenir en situation de conformité dans le temps,
01:18:55 puisque une fois qu'on est conforme,
01:18:57 l'idée, c'est de s'assurer de maintenir tout ça dans le temps,
01:19:00 en lien avec l'évolution des menaces notables.
01:19:03 Merci à tous les trois pour cette synthèse.
01:19:06 Il y aura donc de nouvelles réglementations très, très complexes.
01:19:11 On va passer la parole à l'ordre qu'à l'ARC-C,
01:19:16 et on reviendra vers vous pour les questions.
01:19:20 Merci à tous les trois.
01:19:23 Merci.
01:19:24 Donc, participez, se conformez.
01:19:27 Les intervenants lisent le chat pour répondre aux questions
01:19:31 après l'intervention de Joël Osa.
01:19:34 Joël, à vous.
01:19:36 OK, merci.
01:19:38 Pour ceux qui se sont connectés plus tardivement,
01:19:42 je suis le vice-président de l'ARC-C.
01:19:45 Beaucoup d'entre vous sont déjà membres de l'ARC-C,
01:19:49 me connaissent et connaissent l'ARC-C,
01:19:51 ou alors vous connaissez l'ARC-C.
01:19:53 Mais je vais quand même, pour tous les autres,
01:19:56 même pour les membres plus récents,
01:19:59 deux mots sur l'historique de l'ARC-C.
01:20:02 On remonte à la Première Guerre mondiale.
01:20:05 Les chiffreurs qui ont pu faire des déceptements
01:20:10 des matériels allemands, des procédés allemands de l'époque,
01:20:14 ont mal vécu leur mise un peu à l'écart à l'issue de la guerre,
01:20:20 la non reconnaissance de leurs activités,
01:20:23 et l'incapacité, l'interdiction qui leur en était faite,
01:20:27 de parler de ce qu'ils avaient fait,
01:20:29 même entre eux, pour raisons de secret.
01:20:33 Petit à petit est venue l'idée quand même de faire une amicale
01:20:37 des officiers de réserve des sections du chiffre de l'armée de terre,
01:20:41 et c'est en 1928, donc il y a bientôt un siècle,
01:20:45 qui est née cette amicale.
01:20:47 Et cette amicale s'est ouverte au fil des ans
01:20:53 à toutes les armées, aux sous-officiers, tout ou grade.
01:21:01 En 1948, elle a pris le nom d'ARC,
01:21:05 Association Amicale des Réservistes du Chiffre,
01:21:08 qui est devenue Association Cotard,
01:21:11 et petit à petit on s'est ouvert également
01:21:14 à l'ensemble des personnels des administrations civiles,
01:21:18 donc essentiellement les affaires étrangères,
01:21:20 le ministère de l'Intérieur,
01:21:22 qui mettait en oeuvre des procédés de chiffrement,
01:21:26 ouvertes également aux industriels qui œuvraient
01:21:30 pour la conception des matériels,
01:21:33 et avec l'arrivée de la sécurité informatique,
01:21:37 de l'appellation SSI dans les années 1980,
01:21:42 on s'est ouvert à l'ensemble des membres
01:21:46 qui œuvraient pour la sécurité de l'information.
01:21:49 Elle n'a pris le nom d'ARC-SIC en 1995,
01:21:54 mais avait ouvert, en fait son statut,
01:21:57 permet l'adhésion depuis 1991 de tout membre du travail.
01:22:02 Donc aujourd'hui, on est ouvert à l'ensemble des personnels
01:22:08 qui œuvrent dans le domaine,
01:22:11 que ce soit des personnels techniques, opérationnels,
01:22:17 mais également des historiens, des juristes,
01:22:20 tous ceux qui de près ou de loin œuvrent dans la cybersécurité,
01:22:25 peuvent entrer à l'ARC-SIC.
01:22:28 Alors le terme de réserviste est un peu trompeur,
01:22:32 parce qu'effectivement on accueille des jeunes,
01:22:35 on accueille essentiellement des actifs,
01:22:38 mais ce terme de réserviste a été maintenu depuis des années,
01:22:43 d'abord pour faciliter les contacts qu'on avait
01:22:48 avec le ministère des Autorités militaires,
01:22:51 pour obtenir des locaux, des prestations,
01:22:54 mais il faut savoir que réserviste,
01:22:58 on se trouve plutôt une réserve de savoirs et de compétences
01:23:02 à mettre en œuvre.
01:23:05 Aujourd'hui, l'ARC-SIC a donc 350 membres environ,
01:23:12 si la moitié des membres sont en région parisienne,
01:23:16 d'autres sont en province,
01:23:18 et il y a plus d'une dizaine de personnels étrangers,
01:23:23 les deux plus actifs étant John Paul, un Américain,
01:23:27 qui est francophile et qui réside même à Paris relativement souvent,
01:23:32 et je dois citer également Jean-Jacques Puscateur,
01:23:35 un cryptologue belge, qui est très actif au sein de l'ARC-SIC.
01:23:42 C'est l'occasion également pour moi de rendre hommage à David Tan,
01:23:46 qui était membre de l'ARC-SIC et qui est décédé en janvier 2024,
01:23:53 un peu quelques jours avant 1994.
01:23:58 Donc David Tan, pour ceux qui ne le connaissent pas,
01:24:01 était un Américain historien de la cryptologie,
01:24:06 journaliste à l'origine,
01:24:09 et c'est surtout l'auteur du Codebreaker,
01:24:15 traduit en français par « La guerre des codes secrets »,
01:24:18 qui a révélé au grand jour les activités du GCHQ,
01:24:25 de l'OBRION de l'ANSA qui était au GCHQ,
01:24:30 pour décrypter le matériel Enigma lors de la Deuxième Guerre mondiale.
01:24:36 Donc David Tan a été membre de l'ARC-SIC,
01:24:43 il était présent en 2012 au Mont-Mallérien lors de nos activités.
01:24:50 L'objet de l'association aujourd'hui,
01:24:55 elle est définie dans nos statuts,
01:24:57 mais essentiellement c'est maintenir des liens de camaraderie entre ses membres.
01:25:03 C'est un héritage de l'amicale de 1928,
01:25:07 mais essentiellement l'échange de formation entre tous les membres
01:25:12 et la valorisation d'un patrimoine historique très important
01:25:18 qui est stocké à Rennes aujourd'hui,
01:25:22 mais qu'on prête et qu'on aurait aimé créer un musée du secret
01:25:28 pour pouvoir mettre en œuvre beaucoup plus concrètement
01:25:36 tout le patrimoine du GCHQ.
01:25:39 Les activités pour se faire,
01:25:43 l'échange d'informations se fait par des listes de diffusion
01:25:47 qui sont animées par Lionel et Francis,
01:25:53 où on retrouve toutes les informations importantes qui vous sont communiquées,
01:25:59 mais également les échanges qu'on peut avoir sur la messagerie.
01:26:04 Dans les échanges et à l'origine de ces échanges,
01:26:08 il faut citer quand même Jean-Jacques, Dominique, Gérard, Laurent,
01:26:13 qui de temps en temps animent et lancent un pavé dans la mare
01:26:18 qui rebondit et chacun peut ajouter son grain de sel
01:26:24 et avoir des échanges très intéressants.
01:26:28 Les activités, c'est de participer à des expositions
01:26:33 organisées par d'autres où on demande l'intervention de l'Arxiv
01:26:40 pour soit prêter du matériel, soit contribuer à une partie de l'exposition.
01:26:45 Mais nous-mêmes, on organise un colloque annuel.
01:26:50 Je citerai le dernier colloque du 5 décembre 2003
01:26:56 où on s'interrogeait sur l'emballement des progrès technologiques
01:27:01 et les conséquences sur la sécurité de l'information.
01:27:05 Les prochains événements, c'est le salon INSIBER dans un mois à Lille
01:27:17 où l'Arxiv aura un stand et un événement interne à l'association,
01:27:24 c'est dans deux mois, notre Assemblée générale,
01:27:28 le 7 avril, qui aura lieu à l'école militaire.
01:27:31 Pour finir, pour devenir membre, vous trouvez ça,
01:27:36 les informations sur notre site arxiv.fr.
01:27:40 Il suffit de remplir une petite fiche, une lettre de motivation,
01:27:46 se faire parrainer par un membre de l'association
01:27:50 et si vous êtes dans le domaine,
01:27:54 que vous savez apporter des choses pour l'association,
01:27:59 c'est avec grand plaisir qu'on vous accueillera.
01:28:02 J'étais très bref, merci, je repasse la parole à Gérard.
01:28:06 Merci Joël, merci à vous et au général Pelly.
01:28:10 Je dois dire une chose, c'est qu'il y a une nouvelle recrue à l'Arxiv
01:28:15 qui vient de rentrer et que vous avez entendue aujourd'hui.
01:28:20 Voilà, alors effectivement, je peux souhaiter la bienvenue à Laurent Pellix,
01:28:24 qui est le plus récent membre de l'Arxiv,
01:28:30 mais il y en a un certain nombre qui sont en liste d'attente
01:28:35 et qui vont bientôt nous rejoindre.
01:28:37 Merci encore Joël, merci à vous.
01:28:40 Donc maintenant les questions.
01:28:43 Merci, merci Béatrice.
01:28:45 Je vais me permettre de lire les commentaires
01:28:48 et après on ira aux autres questions.
01:28:50 Donc sur le FIC effectivement, on a bientôt le Forum X-Cyber,
01:28:54 l'ancien forum international à la cybercriminalité
01:28:56 où c'est sujet autour de la détection, l'investigation,
01:29:00 la réponse à l'incident, évidemment on en parle.
01:29:02 On a aussi des sujets autour de la résilience organisationnelle.
01:29:05 Salut Hervé, je te vois également.
01:29:08 Je vois que sur la partie Nice, effectivement,
01:29:10 Nice est bien inspirée de la LPN, ce n'est pas la LPN qui s'est inspirée de Nice,
01:29:14 c'est Nice2 qui est en cours de transposition au niveau national
01:29:18 et par l'ANSI,
01:29:20 et qui devrait être, la version finale devrait être prévue en octobre 2024,
01:29:27 on en avait parlé dans la présentation.
01:29:29 Sur la partie robustesse des infrastructures, des OS et des réseaux,
01:29:34 ce qu'on peut dire à ce stade-là,
01:29:36 c'est que dans toutes les réglementations et directives,
01:29:39 on parle de comme quoi les entités sont responsables de maîtriser
01:29:43 les systèmes d'information essentiels ou critiques
01:29:46 contre les codes malveillants,
01:29:49 de maîtriser les configurations de sécurité.
01:29:52 Après, si la question va jusqu'à dire sur les OS, les infrastructures,
01:29:55 ou même les fournisseurs,
01:29:57 je pense que c'est un point qui est revenu aujourd'hui.
01:29:59 On a vu qu'il y a la partie CRA qui déjà parle de fournisseurs essentiels
01:30:04 en termes de services numériques.
01:30:06 Maintenant, est-ce qu'on va aller au-delà de fournisseurs et d'éditeurs
01:30:09 qui ne seraient pas européens ou qui arrivent à échapper à l'Union européenne ?
01:30:14 Je pense que c'est tout un sujet,
01:30:16 un sujet aujourd'hui qu'on peut retrouver également au niveau, je pense,
01:30:19 des sujets autour de l'RGPD, de territorialité, de souveraineté,
01:30:25 où ils en sont.
01:30:26 Je sais qu'on parle effectivement de sanctions.
01:30:31 Peut-être, Olivier, est-ce que tu voulais commenter par rapport aux sanctions
01:30:34 sur les éditeurs de logiciels, davantage de ce que je viens d'énoncer ?
01:30:38 La question de Jean-Jacques,
01:30:42 quand les éditeurs de logiciels seront-ils rendus responsables des conséquences
01:30:45 des failles de sécurité qui restent dans leurs outils ?
01:30:47 Mais ils le sont déjà, a priori.
01:30:49 La responsabilité, elle existe.
01:30:52 S'il y a véritablement une faille de sécurité dans un logiciel
01:30:56 et que cette faille est un trou béant, un manquement,
01:31:01 alors on dira quoi au règle de l'art ?
01:31:03 Aujourd'hui, on dira au règle de l'art, parce que c'est de ça dont...
01:31:06 C'est-à-dire qu'évidemment, il n'y a pas d'obligation de sécurité 100%,
01:31:11 mais si véritablement cette faille est béante et qu'elle est constituée
01:31:15 d'une négligence, l'action en responsabilité est possible.
01:31:18 Et dans des logiciels de métiers ou spécifiques à gros enjeux,
01:31:24 il y a des actions qui sont engagées contre des éditeurs.
01:31:28 En règle générale, il y a des assurances derrière
01:31:31 et les choses restent dans les bureaux capitonnés des avocats
01:31:35 où les choses se transigent.
01:31:37 Mais c'est déjà possible.
01:31:39 Ce n'est pas une conséquence directe de tous les textes dont on parle,
01:31:44 mais c'est surtout, je dirais, c'est comme le RGPD.
01:31:49 Son principal atout, le principal premier résultat qu'il a obtenu,
01:31:53 c'est une montée de sensibilité de la totalité de la population
01:31:57 aux questions à niveau de données personnelles.
01:31:59 Il va se passer la même chose avec les directives NIS2
01:32:02 parce qu'on n'a pas évoqué une des cybercriminalités,
01:32:06 un des actes de cybercriminalité les plus importants aujourd'hui,
01:32:09 mais c'est toutes les fraudes à base d'usurpation d'identité.
01:32:12 Et là, il y en a énormément qui, aujourd'hui, touchent pratiquement
01:32:18 toutes les organisations, les particuliers, dans les banques,
01:32:23 dans les assurances.
01:32:25 Et donc, il faut donc faire monter le niveau général de compétences,
01:32:31 il faut être des stratèges de sa propre identité.
01:32:34 Tout ça, tous ces textes ont participé à cette montée en puissance
01:32:39 comme on le fait, nous, aujourd'hui, en échangeant.
01:32:42 On est des mutants parce que ces textes sont très compliqués,
01:32:45 donc il va falloir du temps pour les assimiler, pour les appliquer.
01:32:49 Mais quelque part, c'est un signal qui nous est donné
01:32:53 pour réfléchir, structurer notre pensée et nos actions par rapport à ça.
01:32:58 Donc oui, on peut engager la responsabilité.
01:33:01 Bon, quand on achète un logiciel, je pense que Jean-Jacques,
01:33:04 je le connais, il doit parler de Microsoft.
01:33:06 Bon, c'est...
01:33:09 Et parfois, il y a des seuils de juridicité qui font qu'on n'engage pas des actions.
01:33:14 Mais bon, je crois que je vois que Geneviève a levé la main.
01:33:20 Je ne sais pas si tu veux lui passer la parole.
01:33:22 Oui, allez-y.
01:33:24 Ce qui est bien, c'est que je n'ai même pas le temps de poser la question
01:33:27 qu'Olivier a déjà posée le problème.
01:33:30 Moi, depuis les années 80, ça ne date pas de la semaine dernière,
01:33:35 je demande à ce qu'il existe un ordre des informaticiens.
01:33:40 Parce qu'on n'avait pas sorti l'expression "code is law",
01:33:45 mais on voyait que c'était déjà comme ça.
01:33:48 Et voilà.
01:33:50 Et Olivier, tu touches le problème.
01:33:53 Jean-Jacques dit, il faudrait que les éditeurs de logiciels soient rendus responsables.
01:34:01 Quand on s'appelle Microsoft, c'est bien compliqué.
01:34:04 J'étais super contente de tout ce que j'ai entendu ce soir.
01:34:09 Je ne m'attendais pas à autant de choses.
01:34:12 Et une des choses très importantes pour moi,
01:34:16 c'est ce qu'a dit Olivier, c'est que cette fois-ci,
01:34:19 on commence à comprendre qu'il ne faut pas seulement considérer les individus
01:34:25 et les données comme des pièces détachées, ça constitue un tout.
01:34:29 Et je sens une évolution de la pensée.
01:34:32 Et en termes de droit, je n'avais jamais vu ça.
01:34:36 Peut-être que ce n'est pas nouveau, mais pour moi, c'est archi nouveau.
01:34:40 Les individus, ils sont tous solidaires.
01:34:44 L'Église, autrefois, elle disait tous les dimanches,
01:34:47 "Occupez-vous de vos voisins, vous en êtes responsable."
01:34:50 Et puis maintenant, il n'y a plus personne qui dit ça.
01:34:53 Et faire société, ça va devenir un très gros enjeu maintenant.
01:34:56 Donc, je trouve ça vraiment très chouette.
01:34:59 Je voulais donner mon petit point de vue.
01:35:01 Merci.
01:35:02 Olivier reviendra d'ailleurs dans une session de 60 minutes
01:35:08 de nos Lundis de la cyber dans quelques mois.
01:35:12 En particulier quand la directive NIS2 aura été inventée.
01:35:17 Voilà.
01:35:19 Sur l'autre commentaire, est-ce que le fait de rendre l'Anti un outil sanction
01:35:24 ne va pas changer la relation que beaucoup d'entreprises auront avec elle ?
01:35:27 Ça dépend de la posture.
01:35:28 On se rappelle que la CNIL avec le RGPD expliquait qu'elle était d'abord
01:35:31 dans une logique d'accompagnement avant de sanctionner.
01:35:34 Donc, il est probable que c'est ce niveau qui va se maintenir.
01:35:39 Et après, effectivement, pour les plus récalcitrants,
01:35:42 là, il y aura une notion de sanction qui s'appliquera.
01:35:46 On rappelle que l'objectif de ces réglementations,
01:35:48 effectivement, Geneviève l'a dit, c'est qu'on n'a plus un éparpillement.
01:35:55 Il n'y a plus de frontières aujourd'hui.
01:35:57 On est sur un marché européen.
01:35:59 On est sur des services qui sont rendus au niveau de l'Union européenne.
01:36:04 Et chaque acteur qui contribue doit avoir sa part en termes de cybersécurité,
01:36:08 de cybersilience, ce qu'il a l'habitude de faire.
01:36:12 C'est comme à SNL.
01:36:14 Une petite remarque par rapport à cette question,
01:36:16 elle est vraiment très pertinente.
01:36:19 Et c'est un problème qu'on a avec toutes les autorités administratives indépendantes.
01:36:24 Alors l'ANSI n'est pas une autorité administrative indépendante, c'est l'État.
01:36:27 Mais la CNIL fait des séminaires, des conférences, reçoit.
01:36:32 Et en même temps, elle poursuit et elle sanctionne.
01:36:38 Et c'est vrai de l'autorité, par exemple de l'ARCEP en matière de télécom,
01:36:43 qui a une activité doctrinale importante, qui communique, qui échange, et ils sanctionnent.
01:36:49 Donc généralement, ce qui a été organisé par un logislateur,
01:36:53 parce qu'il y a eu des problématiques qui se sont posées à ce propos,
01:36:56 c'est de créer des formations dites restreintes à la CNIL, par exemple,
01:37:01 ou des formations au sein de l'autorité administrative indépendante
01:37:05 qui ne sont pas concernées par toutes les activités doctrinales,
01:37:10 de communication et marketing,
01:37:13 et qui se concentrent sur l'activité de sanction de l'autorité.
01:37:18 Bon, alors c'est un peu fictif,
01:37:20 mais c'est une réflexion qu'il faut avoir, effectivement.
01:37:23 C'est vrai.
01:37:26 Autre question ?
01:37:28 Vous levez la main.
01:37:29 Voilà. Peut-être sur les données santé, sont-elles dans les services essentiels ?
01:37:32 En tout cas, les entreprises qui concourent à la santé
01:37:37 font partie des entités qui sont visées par MISE 2,
01:37:40 et c'est la discrétion des États membres par rapport aux autorités publiques,
01:37:44 aux autorités administratives, de les inclure ou non dans la partie MISE 2.
01:37:52 Sur les sanctions définies par les États, s'appliquent-elles aux sociétés domiciliées en Irlande, au GAFA ?
01:37:57 Je pense qu'on en a parlé tout à l'heure, effectivement.
01:38:00 On en revient, effectivement, sur celles qui le font.
01:38:04 Si les réglementations nous font penser aux réactions récentes des paysans et agriculteurs,
01:38:09 c'est une bonne question.
01:38:10 Est-ce qu'il faut moins de normalisation, plus de normalisation ?
01:38:13 Je pense que c'est un vaste débat.
01:38:15 Et malgré tout, on pense que ça va, en tout cas, moins de ce que je pense.
01:38:20 Je pense qu'il faut passer ça dans le bon sens, on en a parlé tout à l'heure.
01:38:23 Je veux bien la parler, de dire qu'on fixe une voie,
01:38:26 on responsabilise tous les acteurs aujourd'hui.
01:38:28 Donc, il y a quand même une notion de responsabilité qui est importante.
01:38:33 Sur la partie, le CLOB pour les responsabilités, la complexité,
01:38:39 comment viser les SG, la résilience des écosystèmes,
01:38:41 c'est un vrai sujet, en fait, là-dessus, sur la partie.
01:38:45 On voit le cas, par exemple, de la France,
01:38:49 on voit que l'ANSI aujourd'hui veut pousser à la certification 5 New Clouds
01:38:54 pour les opérateurs en France qui rendent ces sujets,
01:38:57 dans l'idée de dire, effectivement, on va les accompagner,
01:39:00 on va responsabiliser ceux qui fournissent.
01:39:02 Encore une fois, ça ne s'adresse pas forcément aux gros éditeurs, aux gros fournisseurs,
01:39:07 c'est plutôt les sociétés qui vont aller dans ce sens.
01:39:13 Pour les CLOB, la difficulté pour les PME,
01:39:16 parce qu'elles sont face à des contrats d'adhésion,
01:39:19 c'est devenu la pratique de tous ces acteurs CLOB,
01:39:22 et elles ont besoin de réglementations impératives
01:39:28 qui sont plus fortes que le contrat pour pouvoir être protégées.
01:39:31 Et le RGPD en est une.
01:39:34 Un acteur CLOB ne peut pas aller à l'encontre
01:39:37 des dispositions impératives du RGPD dans son contrat,
01:39:40 donc quelque part, ça...
01:39:42 Et donc, on va dans le même sens avec ces différentes réglementations.
01:39:48 La directive entre 20 ans et la transposition de Nice 2, le Règlement d'Eaura.
01:39:52 Voilà, donc ce sont des réglementations impératives plus fortes que le contrat,
01:39:56 et ça tombe bien, puisque dans le CLOB aujourd'hui, encore une fois,
01:40:00 c'est beaucoup de contrats d'adhésion auxquels on souscrit,
01:40:03 sans possibilité de les faire évaluer, même quand on a un gros acteur.
01:40:08 Mets ta vidéo, Béatrice.
01:40:10 Pardon ?
01:40:11 Mets ta vidéo, on ne te voit pas.
01:40:14 Je me cachais.
01:40:16 Me voilà.
01:40:17 Ah !
01:40:18 Et par rapport à l'ensemble des règles, est-ce qu'il y a un risque de fuite,
01:40:25 nécessaire à la mise en œuvre et à son contrôle ?
01:40:30 Il y aura toujours une notion de territorialité,
01:40:32 d'incitation à maintenir, de jouer avec des acteurs
01:40:35 qui suivent les règles au niveau de l'Union européenne.
01:40:39 Donc on espère évidemment que non, en tout cas pas d'externalisation,
01:40:44 à la mesure où dès lors où on introduit la notion de territorialité,
01:40:47 de souveraineté, en tout cas territorialité,
01:40:50 le fait de passer par un autre marché qu'une Union européenne
01:40:54 ne va pas favoriser l'entrée d'un acteur.
01:40:57 On voit au niveau CLOB finalement où les acteurs, en tout cas,
01:41:01 s'orientent vers des propres solutions à gérer au niveau de l'Union européenne.
01:41:06 Il y avait une question peut-être pour toi Stéphane,
01:41:09 qu'est-ce qu'un produit numérique exactement pour la réglementation CRA ?
01:41:13 Tu peux faire un rappel sur la définition ?
01:41:16 Oui, effectivement, c'est tout matériel ou logiciel
01:41:19 qui comporterait des éléments numériques.
01:41:22 En termes d'exemple, on peut citer les capteurs intelligents,
01:41:25 les caméras intelligentes, les appareils mobiles,
01:41:28 les appareils réseaux et également tout ce qui va être lié à l'écosystème.
01:41:34 Les solutions qui vont agréger des données et qui vont potentiellement,
01:41:39 dans certains cas, piloter ces différents matériels,
01:41:43 vont également être inclus et considérés comme produits numériques
01:41:47 au sens du règlement.
01:41:50 Une autre question, enfin deux questions,
01:41:54 sur la partie l'ANSI aujourd'hui.
01:41:56 L'ANSI est impliquée dans la transposition de la directive NIS2.
01:42:02 C'est le cas, c'est déjà en course, c'est déjà avancé.
01:42:05 Avec la version finale qui devrait être publiée en octobre 2024,
01:42:10 selon le calendrier, ça répondait déjà à une question.
01:42:13 Sur l'ANSI par rapport également au rôle de contrôle,
01:42:16 l'ENISA en fait, Dora cite à plusieurs reprises l'ENISA,
01:42:23 que ce soit aujourd'hui dans la centralisation des incidents de sécurité,
01:42:26 alors pour analyse, c'est un des points qui est remonté,
01:42:30 par rapport à Terpol qui serait plutôt à des fins répressives,
01:42:34 et également dans la mise en place de projets de normalisation technique
01:42:40 autour de la cybersécurité, donc c'est un rôle.
01:42:43 Le SGDSN par rapport à la réglementation,
01:42:46 il va maintenir évidemment son rôle par rapport à assurer la résilience
01:42:51 des infrastructures de la nation française.
01:42:55 Après, est-ce qu'aujourd'hui il aura un rôle par rapport à la réglementation ou autre,
01:42:59 je n'en suis pas certain, à part bien sûr sur le matière de la nation.
01:43:04 Je pense qu'il a déjà fort à faire.
01:43:07 Est-ce que j'en ai oublié quelques-unes ?
01:43:15 Il y a une question sur Windows, à ce dont on a parlé.
01:43:19 Effectivement, sur les limites des tests de résilience,
01:43:22 ça sera un vrai sujet aujourd'hui.
01:43:25 Est-ce qu'aujourd'hui on est juste sur, je redémarre un système d'information,
01:43:28 est-ce que je vais un peu plus loin ?
01:43:30 De ce qu'on voit quand même, moi je vois quand même une dimension
01:43:33 qui vient davantage, alors de plus en plus métiers,
01:43:36 je ne vais pas dire qu'aujourd'hui on ait une maturité optimale
01:43:39 en termes de tests de résilience,
01:43:42 mais on va dire que ça progresse dans le bon sens aujourd'hui,
01:43:45 que ce soit dans le secteur financier, mais pas seulement,
01:43:47 aujourd'hui on organise des tests qui ne soient pas purement IT,
01:43:50 qui ne soient pas non plus de la sensibilisation à la gestion de crise,
01:43:53 de plus en plus on va dire, on commence à regarder également,
01:43:58 à intégrer la dimension données, la dimension reprise de données,
01:44:02 et encore une fois, pas seulement la dimension IT.
01:44:06 Sur les entreprises, combien d'entreprises seraient concernées par NIS2 ?
01:44:11 On va dire beaucoup, sur beaucoup de secteurs,
01:44:15 pour le coup je n'ai pas le chiffre exact,
01:44:18 je ne sais pas si Olivier tu l'as de ton côté,
01:44:22 je pense qu'on pourrait faire le calcul, mais bon c'est…
01:44:24 Non, sur NIS1 on avait eu des chiffres qui avaient été cités,
01:44:29 et finalement ce n'est pas ceux-là qui sont sortis,
01:44:31 donc on entend des chiffres très importants,
01:44:34 on dit 12 000 en France, on dit 150 000 en Europe,
01:44:37 je n'ai aucune idée, mais je me dis quand même que 150 000,
01:44:43 tous les pays de l'Union Européenne n'ont pas une ANSI,
01:44:46 ils n'ont pas les moyens comme nous on en a en France,
01:44:50 donc je me demande si le bottleneck, si le glouétranglement ne va pas être là,
01:44:55 mais bon pour l'instant réjouissons-nous simplement
01:45:00 qu'on prenne un bras-le-corps du sujet,
01:45:02 après on verra, je pense que je n'ai pas trop de soucis pour l'ANSI en revanche.
01:45:09 Il y a une question sur le CEPD,
01:45:11 donc il n'y a pas d'organisme pour l'instant,
01:45:14 à ma connaissance, l'ENISA si tu en as parlé Laurent,
01:45:18 mais le CEPD c'est toutes les CNIL de l'Union Européenne,
01:45:22 donc pour l'instant il n'y a pas ça,
01:45:25 mais je pense que ça va forcément sortir,
01:45:28 à ma connaissance, en tout cas je n'ai pas vu dans la directive cette précision,
01:45:34 mais c'est évident qu'il faut une coopération,
01:45:37 ça par contre la directive insiste beaucoup là-dessus,
01:45:39 sur les différents CERST, sur le CECIRT,
01:45:45 enfin bon tout ça, il y a une coopération,
01:45:49 donc on peut penser qu'il y aura un équivalent.
01:45:53 Sur la responsabilité, c'est un commentaire que j'avais oublié,
01:45:57 le directeur de l'entité, de l'entreprise reste responsable,
01:46:00 donc dans certains cas, selon l'ATA,
01:46:03 il doit désigner les personnes à qui va déléguer la partie surveillance,
01:46:07 la partie sécurité,
01:46:09 il est responsable in fine aujourd'hui en cas de sanction.
01:46:13 Donc il n'y aura pas une autorité par RSSI,
01:46:18 ou une autorité de compétences qui sera plus responsable
01:46:21 que le dirigeant de l'organisation.
01:46:23 Je pense qu'on a répondu à peu près à tous les commentaires.
01:46:29 Merci.
01:46:30 Est-ce qu'il y a d'autres questions ?
01:46:32 Oui, d'autres questions en direct peut-être ?
01:46:34 En tout cas merci à vous, vraiment c'est très intéressant,
01:46:38 très complet et puis effectivement il faut coopérer.
01:46:40 Il y aura un compte rendu,
01:46:43 c'est par une élève de l'université Paris Cité,
01:46:48 Clarisse Véran.
01:46:50 Clarisse, si tu veux te montrer peut-être avec ta photo.
01:46:54 Oui, qui travaille régulièrement tous les mois pour nous.
01:46:58 Bonjour.
01:47:00 Bonjour, Clarisse.
01:47:01 Merci pour ce super compte rendu qui se trouve sur le site de l'ARCSI.
01:47:06 C'est à lire, à relire,
01:47:11 et celui-là que tu vas écrire aussi.
01:47:14 Clarisse d'ailleurs, elle cherche…
01:47:17 Est-ce que tu peux en parler quelques secondes de ce que tu cherches ?
01:47:20 Devant 69 personnes,
01:47:23 je ne pourrais pas en parler plus tard pour ma recherche.
01:47:30 Comme vous voulez, pourquoi ?
01:47:32 Vous cherchez quoi, un stage ?
01:47:33 Non, je cherche…
01:47:34 En fait, je suis auto-entrepreneur
01:47:36 et avec les cinq mois entre le M1 et le M2,
01:47:39 je recherche des clients soit en cybersécurité,
01:47:42 soit en informatique en général.
01:47:44 Et du coup, voilà.
01:47:46 Clarisse est donc auto-entrepreneuse
01:47:49 en plus d'être étudiante à l'université
01:47:52 et elle suit un cours cybersécurité et santé.
01:47:56 Oui, c'est ça.
01:47:58 Bravo.
01:47:59 Merci.
01:48:01 Bon, donc le message est quand même passé auprès des 60.
01:48:03 Oui, voilà.
01:48:04 De toute façon, j'ai l'ingredient, etc.
01:48:06 Très bien.
01:48:08 Merci, Clarisse.
01:48:09 Merci à vous.
01:48:10 Merci beaucoup, Clarisse.
01:48:14 Plus de questions, plus de remarques ?
01:48:16 Le professeur Delahaye, s'il est toujours là,
01:48:19 peut dire quelques mots sur le lundi de la cyber du mois de mars ?
01:48:23 Oui, parce qu'en mars, ce ne sera plus sur la sécurité et la santé,
01:48:27 n'est-ce pas, Ahmed ?
01:48:28 Ce sera plus tard,
01:48:29 ce sera sur la cyber, sur l'intelligence artificielle générative.
01:48:35 Jean-Paul, tu es toujours là ?
01:48:40 Cyber criminel, c'est d'Olivier Etéhanus, ça ?
01:48:45 Cyber criminel ?
01:48:46 Nicolas ?
01:48:48 Jean-Paul est parti.
01:48:49 Bon, écoutez, merci à tous.
01:48:52 Est-ce que je peux dire un mot ?
01:48:53 Oui, oui, oui, Albert, bien sûr.
01:48:54 Je suis désolé.
01:48:55 Pour Gérard, je sais que tu cherches des volontaires pour la FIC, c'est ça ?
01:49:01 Oui, oui, oui, oui, oui.
01:49:03 Alors, en fait, je donne des cours le 26 et le 27,
01:49:07 donc je suis à Paris.
01:49:09 En général, j'ai énormément de cours, j'ai l'intention d'être épuisé,
01:49:12 mais le 28 après-midi, moi, je peux être là.
01:49:14 Ah, tu seras là avec Isabelle Landreau aussi.
01:49:18 Je ne sais pas avec qui tu veux.
01:49:19 Il y a juste un truc, je ne sais pas si je crois avoir vu,
01:49:23 c'est payant pour venir au FIC maintenant ?
01:49:25 Non.
01:49:26 Comment ?
01:49:27 Non, c'est gratuit.
01:49:29 C'est gratuit, bon, d'accord.
01:49:30 Donc, dans ce cas-là, je vais vérifier.
01:49:34 Évidemment, il faut espérer que nos amis de la SNCF aient des trains,
01:49:39 parce que moi, je ne peux pas me barrer de moi.
01:49:40 J'espère, oui, j'ai réservé l'hôtel et tout.
01:49:42 Ah, voilà.
01:49:44 Non, moi, je ne ferai pas l'hôtel parce que je sortirai très tard de mes cours.
01:49:48 Je fais six heures de cours la veille jusqu'à huit heures du soir.
01:49:51 Donc, je ne suis pas sûr de me lever à six heures du matin,
01:49:54 mais au fin, l'après-midi, je peux être là.
01:49:56 Et on fait des cours ensemble pour les visiteurs de notre stand, Herbert.
01:50:02 Vous faites des quoi ?
01:50:03 Des cours.
01:50:04 Enfin, des cours.
01:50:05 On va présenter l'AC36 sûrement.
01:50:08 On va parler crypto, puisque c'est sur le bon stand, toi et moi et Isabelle.
01:50:14 Ah, ce sera la dernière demi-journée alors.
01:50:17 Ah, parce qu'il faut que je me dépêche de masquer.
01:50:19 Tu viendrais quand, toi ? Toute la journée ?
01:50:21 L'après-midi.
01:50:22 Tu viendrais toute la journée ?
01:50:24 Non, je viendrais le matin, mais je pense que je ferai un petit tour le matin.
01:50:28 Je vais déjeuner et après le déjeuner, je suis à vous.
01:50:32 Oui, alors je t'attendrai que tu sois là pour moi, pour voir aller déjeuner.
01:50:37 Bah oui, je vais essayer de déjeuner très, très rapidement.
01:50:41 J'aurais fini à midi et demi.
01:50:43 On s'appelle pour cela.
01:50:44 On n'a pas besoin de déranger tout le monde ici.
01:50:46 Oui, bien sûr.
01:50:47 Bon, écoutez, merci à tous.
01:50:50 Si personne n'a plus rien à rajouter.
01:50:52 Merci à vous pour l'organisation.
01:50:54 Merci infiniment à tous les quatre.
01:50:56 Et puis, félicitations à Laurent.
01:50:59 C'est plutôt au général Dévigne ou à Joël Auzade de le dire,
01:51:02 mais félicitations à Laurent pour rejoindre l'Arxis.
01:51:05 Et puis, nous nous retrouverons le 18 mars.
01:51:08 Et n'oubliez pas de vous inscrire à partir de demain.
01:51:11 Merci encore.
01:51:13 Merci à tous les participants d'être encore là, présents.
01:51:17 Merci à vous.
01:51:19 Si vous voulez être dans ma liste, à partir de demain,
01:51:23 les inscriptions au lundi de la Cyber du mois de mars sont ouvertes auprès de Béatrice.
01:51:28 Et si vous voulez tout savoir là-dessus,
01:51:31 eh bien, vous pouvez lire ma lettre numéro 68,
01:51:37 des lundis de la cybersécurité, que je poste demain aux inscrits,
01:51:42 pas aux inscrits, il n'y a encore personne, mais à ceux qui sont sur ma liste.
01:51:46 Vous voulez rentrer dans ma liste, vous me demandez.
01:51:48 J'ai une dernière question.
01:51:49 J'ai une dernière intervention à faire.
01:51:51 J'en ai pour une minute.
01:51:54 Vas-y.
01:51:55 C'est féliciter Joël Eusate qui a réussi à trouver la solution à mon petit problème
01:52:01 que Lian a pas réussi à faire.
01:52:04 Bon.
01:52:06 Très bien, merci.
01:52:08 C'est l'intelligence naturelle.
01:52:10 Oui, c'est mieux.
01:52:12 C'est le papier et le crayon.
01:52:14 Papier et le crayon, bah oui, mais c'est comme ça qu'on fait.
01:52:17 C'est ce qui marche encore le mieux.
01:52:19 Voilà.
01:52:20 Merci beaucoup.
01:52:21 Merci, au revoir.
01:52:22 Au revoir à tous.
01:52:23 Au revoir, merci.
01:52:24 Merci à Jawi Iqviang, enseigneur cherchant de l'université Paris-Cité,
01:52:28 pour nous avoir aidés sur le plan logistique et d'être encore présents.
01:52:34 Nous mettrons en ligne la vidéo et les supports, ainsi que le tchat
01:52:41 et le compte-rendu résumé par Clarisse Véran.
01:52:44 Bonne soirée à tous.
01:52:46 A bientôt.
01:52:47 Et puis, au mois prochain.
01:52:49 Prochain lundi.
01:52:50 Merci, le maître.
01:52:51 Au revoir.
01:52:52 A bientôt.
01:52:53 Au revoir.