Les dernières attaques massives (WannaCry, Not Petya) le montrent : la cyber sécurité est plus que jamais au cœur de l’actualité. Elle fait également partie des missions de Bretagne Développement Innovation, notamment au sein du croisement de filières. Tous les secteurs sont concernés mais plus ou moins bien préparés. Tiphaine Leduc, responsable projet cyber sécurité, nous apporte un regard éclairant sur ce secteur et sa place au sein de Bretagne Développement Innovation.
Quels enseignements tirés des dernières cyber attaques en masse ?
Les attaques récentes nécessitent un très gros travail de préparation. Elles sont menées par des experts. Elles ciblent directement un scope très large d’entreprises et d’organisations ; celles qui ne sont pas visées directement vont les subir par rebond. Maîtriser la propagation devient alors très compliqué. Les infrastructures vitales sont mieux protégées en raison du cadre réglementaire auquel elles sont contraintes et des obligations qu’elles doivent remplir. Elles sont suivies par l’ANSI et donc bien encadrées. Le problème c’est plutôt toutes les PME et les ETI qui ne savent pas ce que c’est la cyber et surtout se retrouvent démunies. C’est là où le besoin de s’appuyer sur des acteurs locaux ou des experts en cybersécurité va se faire sentir.
Un chiffre frappe les esprits : celui du temps qui s’écoule entre l’attaque et le moment où les entreprises s’en rendent compte…
En effet, les entreprises mettent 200 jours avant de se rendre compte qu’elles ont été victimes d’une attaque. Ces dernières sont de plus en plus sophistiquées donc elles ne sont pas toujours visibles. Une fois qu’elles le deviennent, il s’est souvent passé beaucoup de temps. C’est déjà trop tard. L’idée est donc bien de prévenir et d’essayer d’être capable de détecter les signaux faibles. C’est d’ailleurs ce que développent les entreprises spécialisées en cyber, leur capacité à détecter ces signaux et la vulnérabilité.
Quelle est la place de la Bretagne en France ?
La Région Bretagne parle légitimement de cyber en raison de son écosystème. On compte plus d’une vingtaine d’établissements de formation, une trentaine d’équipes de recherche, 130 entreprises de cyber sur les 700 référencées par l’ANSI au niveau national, 8000 emplois. Toute organisation qui subit un évènement cyber dans la région peut avoir en voisin un expert susceptible de lui fournir une solution. C’est un cercle vertueux. Il faut plutôt aller sur une culture de risque donc de sensibilisation d’abord, de prévention ensuite et de mise en place d’outils qui vont permettre de se prémunir plutôt que d’arriver en pompier, une fois que l’attaque a eu lieu.
Quel rôle joue Bretagne Développement Innovation dans cet écosystème ?
Il s’agit clairement de mettre en relation les entreprises de cyber avec les filières qui en ont besoin que ce soit sous la forme de services, de formations ou de solutions techniques. Notre rôle passe aussi par la sensibilisation. Nous devons être capable de diffuser l’enjeu de la cybersécurité sur des grandes filières. Par exemple, quand une turbine dans la filière des énergies renouvelables tourne, il y a des données et de l’automatisme. Il faut le sécuriser. Tout comme pour une industrie agroalimentaire, pour le secteur de la Défense, la banque, les industries de santé, toute l’électronique connectée (les objets connectés qui se développent énormément). Tous ces domaines ont besoin d’être sécurisés.
Quelles actions met en place Bretagne Développement Innovation pour mener à bien sa mission ?
Nous allons éditer des articles qui s’intéresse aux enjeux métier en se demandant quels sont les enjeux critiques d’un métier et comment la cyber peut y contribuer. Nous mettons les différents acteurs en relation grâce à des journées dédiées ou des rendez-vous B2B. Par exemple, en novembre, nous organisons la conférence santé : on fait venir les acteurs de la santé pour identifier leurs besoins et les manières d’y répondre. Nous amenons une trentaine d’entreprises bretonnes au FIC, le rendez-vous cyber par excellence. Entre 25 et 30 secteurs applicatifs visitent le FIC : aéronautique, BTP, énergie, banque, assurance, défense, industrie, e-commerce. La visibilité est donc importante. Enfin le dernier élément est l’appel à projet annuel de la Région Bretagne qui existe depuis presque 10 ans. Il finance l’expérimentation. Une notion fondamentale pour que les entreprises ne soient pas dans leur coin à développer des solutions en décalage avec les besoins des différents secteurs.
L’avis de l’expert :
« En matière de cybersécurité, la France était à la traîne mais elle est en train de rattraper son retard. On sent une volonté forte avec des lignes budgétaires débloquées. Le problème concerne les ressources. Il y a un besoin de 20 000 experts en France, malheureusement il n’y a pas autant de profils disponibles »
David Bizeul, expert en cybersécurité