La vulnérabilité des décideurs publics face aux cybermenaces [Marc Bidan]
Xerfi Canal a reçu Marc Bidan, professeur des universités à Polytech Nantes, ancien président de l’Association Information et Management (AIM), pour parler des décideurs publics face aux cybermenaces.
Une interview menée par Jean-Philippe Denis.
Une interview menée par Jean-Philippe Denis.
Category
🗞
NewsTranscript
00:00Bonjour Marc Bidan.
00:09Bonjour Jean-Philippe Denis.
00:11Marc Bidan, professeur des universités, spécialiste de système d'information,
00:14Polytech Nantes, Université de Nantes.
00:16Marc Bidan, la vulnérabilité des décideurs publics face aux cybermenaces,
00:21c'est dans la revue gestion et management public,
00:23article écrit avec Rémi Février, le colonel Rémi Février et Olivier Lassemolle.
00:29Marc Bidan, les cybermenaces et les cyberattaques, le cyber tout court j'ai envie de dire.
00:35Alors quand on s'interroge aux décideurs publics, qu'est-ce qu'on voit ?
00:39Eh bien on voit qu'on est vulnérable.
00:42Un peu.
00:43On voit qu'on est vulnérable.
00:44Alors l'article donc a été écrit avec Rémi Février et puis Olivier Lassemolle
00:49et l'idée c'est d'essayer de mettre à jour des études qui datent de 2013,
00:57les travaux de deux Rémi Février, d'une dizaine d'années, pas plus,
01:01sur l'état de maturité des décideurs publics, pas des techniciens, pas des SI,
01:06des décideurs publics au sens du directeur d'une intercommunalité, un maire, un décideur public,
01:12l'étude de sa maturité face à la cybermenace, aux cyberattaques, peu importe.
01:18Et donc 2013, il avait publié un papier dans la GMP déjà,
01:24puis en 2020 un autre papier dans la RFG et là on fait en 2003, on revient sur GMP
01:29parce qu'en fait là on a eu des retours d'enquête qui sont assez riches et assez inquiétants,
01:34tout simplement.
01:35Une petite centaine de décideurs publics de petites intercommunalités,
01:41de petites, moins de 3000, moins de 3500.
01:44Et qu'est-ce qu'on voit ?
01:46Et bien voilà, qu'est-ce qu'on voit ?
01:48Alors on a fait…
01:49Mais ça arrive aux autres, aux grands, mais nous, on écoute qui ?
01:53On met en évidence trois caractéristiques, trois profils types, les trois P comme le dit Rémi,
01:59les prudents, les perplexes et les pragmatiques.
02:04En gros les pragmatiques c'est 60%, puis après on a à peu près 20 et 20%.
02:10Qu'est-ce que c'est que les pragmatiques ?
02:12C'est un peu ce que vous évoquez, c'est bon allez on n'est pas concerné,
02:17mais si on est confronté à une attaque ou une menace,
02:21et bien on va réagir et on sera réagir.
02:23Je pense qu'ils se surestiment, mais c'est pas mal, ils sont déjà pragmatiques,
02:28c'est-à-dire qu'eux ils ont déjà la conscience et quand on pose des questions c'est…
02:33Voilà, la première menace c'est le virus, la deuxième c'est l'usurpation d'identité,
02:37la troisième c'est la rançon, la quatrième c'est la perturbation dans le système,
02:48et puis un peu plus loin l'ingérence.
02:51Donc c'est déjà bien, le pragmatique il sait qu'il est une cible potentielle,
02:55mais bon allez on verra au pied du mur.
03:00Voilà, 60%.
03:0120% de perplexe, ça c'est plus embêtant, perplexe c'est bon allez je suis tout petit,
03:07j'intéresse personne, allez j'y crois pas trop, je sais que ça existe mais c'est pas pour moi.
03:15Et alors ça on voit que ce sont des maires ou des intercommunautés de moins de 1000,
03:21sauf qu'en France des moins de 1000 il y en a 20 000, il y a 35 000 communes en France,
03:27moins de 1000 il y en a 20 000, 25 000, donc peut-être qu'ils ne sont pas confrontés,
03:34sauf que rien que 1 ou 2% de eux c'est terrible.
03:38Alors, et enfin les derniers, les prudents, alors les prudents eux c'est ceinture et bretelles,
03:44c'est-à-dire voilà, c'est plutôt des gens qui sont au-dessus de 1000,
03:49entre 1000 et 3000, et donc ceinture et bretelles, j'investis beaucoup de la formation etc.
03:56Je pense pas être une cible mais de toute façon je suis prêt.
03:59Alors ils sont pas si prêts que ça mais au moins ils ont déployé un peu d'informations
04:05et un peu de formation.
04:06Alors ce qui a évolué depuis 2013, depuis 2020, c'est l'information est là.
04:11Maintenant ça fait la une.
04:14Voilà, on sait que ce qui n'a pas beaucoup évolué c'est la formation.
04:18La formation, même les bonnes pratiques, c'est quand même assez peu développé dans
04:25les petites collectivités territoriales, peu développé.
04:29L'information est là, oui il y a un risque, n'ouvrez pas une pièce jointe si vous la
04:34connaissez pas, faites attention à vos mails, faites attention à l'arnaque au président
04:40etc.
04:41Il y a des choses comme ça, l'information.
04:42Maintenant la formation, c'est-à-dire une espèce de mise à jour régulière par rapport
04:47à l'évolution de l'intelligence des hackers, ça c'est un peu décevant, on n'est pas au point.
04:53La vulnérabilité des décideurs publics face aux cybermenaces et dans le gestion et le
04:57management public.
04:58Voilà, vulnérabilité égale responsabilité, vraie responsabilité.
05:03Merci Marc Bidan.
05:04Merci.