Sans cyber, pas de réindustrialisation. C’est en tout cas l’idée du forum InCyber qui s’engage cette année aux côtés de la Communauté urbaine du Creusot Montceau, pour ajouter une dimension territoriale à la cyber. L’objectif ? Encourager la mutualisation entre les acteurs publics et privés et garantir un environnement numérique résilient, pour renforcer l’attractivité du territoire.
Catégorie
🗞
NewsTranscription
00:00Le Forum InCyber va se décliner pour la première fois en version régionale, première destination
00:10choisie c'est le Creusot, c'est l'occasion surtout pour nous de faire un point sur ces
00:13nouveaux défis cyber que vont rencontrer les collectivités locales, surtout qu'en
00:18ce moment on discute d'un projet de loi qui renforce des obligations.
00:21Pour en parler, David Marti est avec nous, bonjour, vous êtes maire du Creusot, président
00:26de la communauté urbaine Creusot-Monceau, c'est 34 communes de Saône-et-Loire en
00:31Bourgogne-Franche-Comté, donc vous allez accueillir ce premier Forum InCyber local
00:37on va dire, et on va discuter ensemble de pourquoi le Creusot et les problématiques
00:41que vous rencontrez.
00:42Et avec nous également le général Marc Vatin-Angouar, bonjour, vous êtes vous le
00:48fondateur du Forum InCyber, événement européen incontournable aujourd'hui sur la cybersécurité
00:53mais quand je dis européen, plus seulement, puisqu'il y a aussi une déclinaison au
00:56Canada, nouvellement aussi vous avez décidé de partir au Texas pour aller voir ce qui
01:02se passe du côté des Etats-Unis, mais aujourd'hui notre sujet ça va être la déclinaison dans
01:06les territoires en France, et vous êtes venu avec Guillaume Tissier, bonjour, directeur
01:11général du Forum InCyber, alors est-ce qu'on a déjà un sujet d'inquiétude aujourd'hui
01:17sur les défis cyber au niveau des collectivités locales ? Qui veut commencer ?
01:23Écoutez, je vais simplement vous dire une chose, c'est que pendant longtemps on a dit
01:28les collectivités territoriales, les hôpitaux ne seront jamais touchés parce que c'est
01:32les services publics, parce que ce sont des gens gentils, et les cyberattaquants ne s'intéressent
01:38qu'aux méchants, qu'aux Etats, aux grandes entreprises, et on a découvert, on savait
01:43déjà, mais ça a été accentué avec le Covid, que nul n'était épargné par les
01:50prédateurs et que même l'attaque de collectivités territoriales d'hôpitaux était un moyen
01:59pour les prédateurs de faire une plus grande pression parce qu'on est encore plus tenté
02:05de secourir des hôpitaux, des collectivités territoriales compte tenu de l'ambition
02:09de services publics.
02:10Et alors est-ce que c'est un sujet d'inquiétude quand on est au sein d'une collectivité
02:14de se retrouver face à des cyberattaquants parfois liés à des états, enfin je veux
02:19dire, des attaques d'une ampleur assez importante ?
02:22C'est l'actualité, déjà depuis un certain temps, on ne se pose pas la question de savoir
02:29si on va être attaqué ou pas, nous le sommes, nous le sommes, nous subissons plusieurs attaques.
02:34Vous les voyez ?
02:35Ah oui bien sûr, et donc il faut se préparer à contrer ces attaques, mais il y a, comme
02:40l'a dit le Général, des hôpitaux, des collectivités, sur mon territoire, la ville de Monceau
02:44a été attaquée, a été plusieurs mois sans pouvoir fonctionner, nous sommes, nous, régulièrement
02:50attaqués à la communauté urbaine, nous avons des services qui sont de plus en plus
02:53performants et formés pour contrer ces attaques, mais c'est l'actualité, bien entendu.
03:00Et au-delà des collectivités, c'est les entreprises sur un bassin industriel comme
03:04le nôtre, avec une technologie de pointe, Industrie 4.0, et bien qui sont des cibles
03:10également, d'où l'intérêt de venir sur un territoire.
03:13Et alors donc on a en ce moment en discussion au niveau politique, au Sénat et au printemps
03:19ce sera au Parlement, une loi qui doit renforcer la cybersécurité, qui va aussi, à travers
03:26la déclinaison de la directive NIS 2, donner des obligations à davantage d'entités, dont
03:32des collectivités.
03:33Est-ce qu'aujourd'hui ce texte, vous pensez, est le bon ? Et est-ce qu'on a les moyens
03:37de sa mise en application ? Au niveau local, je veux dire.
03:41C'est tout l'enjeu, c'est-à-dire que c'est un texte ambitieux, donc la transposition
03:45effectivement est en cours de réalisation avec un texte qui devrait être adopté prochainement
03:50et tout le sujet c'est d'accompagner finalement la mise en place de ces exigences, parce que
03:54c'est des exigences de protection, d'analyse de risque, de notification en cas d'incident,
04:01donc c'est très vertueux, c'est un levier formidable, simplement il faut que ce levier
04:05soit adapté, et c'est tout l'enjeu des discussions qui ont eu lieu notamment au Sénat avec la
04:09commission spéciale, que d'accompagner la mise en place de ce texte, notamment auprès
04:13des entreprises et des collectivités, puisque la mise en conformité a évidemment un coût,
04:17c'est une contrainte.
04:18Néanmoins, quand on regarde le niveau et le degré de numérisation des entreprises
04:23et notamment des industriels aujourd'hui, on voit aussi que la cybersécurité est un
04:27levier de performance, de business, et qu'on ne peut pas concrètement aujourd'hui mettre
04:31en place une usine réindustrialisée avec une usine numérisée si on n'a pas cette
04:35démarche de cybersécurité.
04:36C'est intéressant, c'est-à-dire que la cybersécurité est un outil aujourd'hui,
04:40un levier pour la région, pour être plus compétitive, plus attractive ?
04:43Oui absolument, absolument, là aussi c'est une réalité, quand on veut être un territoire
04:49comme le nôtre, à la communauté urbaine, creusot-monceau, d'innovation, territoire
04:54d'innovation dans tous les sens du terme, nous voulons être smart territoire comme
04:58on dit, c'est un facteur d'attractivité, à condition de bien s'y préparer, à la
05:04fois avec les acteurs publics que nous sommes, et puis à la fois avec les acteurs privés
05:07que j'évoquais tout à l'heure, le monde économique et notamment l'industrie, cette
05:11industrie de pointe que nous avons chez nous, qui doit forcément également être à la
05:17pointe de tout ce qui touche à la sécurité, pourquoi ? Parce qu'on a aussi des industries
05:24qui sont dans des process ultraconfidentiels, qui travaillent pour la défense nationale,
05:28donc il y a une question de souveraineté derrière, et on ne peut pas rester sans
05:34rien faire, faute de quoi on pourrait être mis en péril dans les productions par exemple.
05:39C'est-à-dire qu'elles attendent aussi de vous, des élus locaux, des garanties de protection ?
05:44Oui bien sûr, on accompagne nous le monde économique en tant que collectivité, de
05:49manière 360 comme on dit, sur tous les aspects, et ils sont dans cette attente qu'on puisse
05:55les accompagner, les conseiller, et puis mettre en place des process à la fois qui
06:00soient sur, de la part de la collectivité, je prends l'exemple la fibre, nous sommes
06:07un territoire fibré déjà depuis un certain temps, nous devons améliorer tout ce qui
06:11est la sécurité sur la fibre, qui va jusqu'aux entreprises, nous avons un certain nombre
06:15de bureaux d'études qui encore une fois travaillent sur des process ultraconfidentiels,
06:20il faut que ce soit sécurisé, donc il y a une attente de la part du monde économique,
06:24des industriels, que la collectivité vienne en soutien, soit vraiment quelqu'un qui apporte
06:30un niveau de sécurité, parce que si on n'est pas en capacité de le faire, les entreprises
06:35ne viendront pas, et les entreprises ne viendront pas s'implanter sur un territoire qui n'aura
06:39pas réfléchi et qui ne se sera pas préparé à ça.
06:43Alors ça veut dire aussi qu'il faut avoir un écosystème cyber, des entreprises de
06:49la cybersécurité en région, et il en est où cet écosystème cyber en région ?
06:53En fait, si vous voulez, pour pouvoir innover, il faut avoir de la cybersécurité, on ne
06:58construit pas ça hors de la vase, il faut donc avoir déjà un socle suffisant, et sur
07:02place, il faut à la fois des entreprises qui soient capables d'offrir des solutions
07:08de sécurité, mais aussi de la formation de personnes aptes à mettre en œuvre des
07:14solutions de cybersécurité, parce qu'aujourd'hui, c'est la vraie question, où sont les compétences,
07:19qui forment les compétences ? Alors quant au Creusot, vous avez des écoles sur l'intelligence
07:23artificielle, sur la cybersécurité, vous voyez bien que c'est une offre directe aux
07:28entreprises locales de personnels formés, et donc tout ça, c'est un ensemble qui se
07:35tient.
07:36Pour pouvoir développer un territoire, en faire une Silicon Valley de la Bourgogne-France-Comté,
07:42c'est l'ambition, il faut l'avoir, et il faut avoir sur place tous les éléments
07:48publics, privés, civils, éventuellement militaires, les forces de sécurité, tout
07:54doit être rassemblé, chacun dans son métier, mutualisé, plateformisé, pour pouvoir apporter
08:01un territoire, une sécurité.
08:03Et pourquoi le territoire, comme la communauté urbaine, est importante ? Parce que c'est
08:09là où les gens se connaissent.
08:10Or, pour pouvoir créer la confiance, il faut d'abord que les gens se connaissent, que
08:14les gens parlent, échangent, et c'est pour ça qu'on va faire notre forum au mois de
08:17mai.
08:18C'est pour créer cet échange, pour décloisonner, faire en sorte qu'il se crée un esprit, un
08:23état d'esprit, une ambition au sein de ce territoire de la communauté urbaine.
08:28Donc, il faut mobiliser cet écosystème cyber, il faut aussi lui apprendre à travailler
08:32avec le public, parce qu'il y a effectivement ce rencontré, enfin il y a des codes spécifiques
08:37pour accéder au marché public.
08:39Là, il y a aussi un travail important à faire, j'imagine ?
08:42Ah oui, oui, mais il y a déjà une culture…
08:44Vous ne parlez pas forcément le même langage ?
08:46Oui, c'est vrai, mais de moins en moins.
08:49Et nous avons la culture sur ce territoire, justement, d'un travail en proximité entre
08:55le public et le privé, parce que depuis très longtemps, les réussites que nous avons,
09:00notamment au niveau industriel, mais pas que, ce sont des réussites qui se sont appuyées
09:05sur ce travail entre le public et le privé, sur un rapport de confiance, avec des codes
09:09différents, certes, mais avec un objectif commun, qui est de porter cette ambition,
09:15comme le disait le Général, d'une sorte de Silicon Valley, à notre niveau, en créant
09:22un écosystème, mais ça passe par le décloisonnement, et ça passe par des échanges continus.
09:28Donc les codes peuvent être différents à un moment donné, mais on se retrouve très
09:32vite vers un point de convergence, qui est cette ambition, et cette sécurité commune
09:37que nous devons créer.
09:40Quels sont les principaux risques cyber au niveau des collectivités locales ?
09:45Il y a des risques, finalement, tout comme les entreprises, qui sont des risques d'une
09:51cybercriminalité assez ordinaire, qui touche finalement tout le monde, et puis un risque
09:59aussi d'une cybercriminalité, pour le coup, beaucoup plus organisée, structurée, qui
10:04fait beaucoup de dégâts, et lorsqu'on parle d'infrastructures critiques, c'est notamment
10:08le cas d'une usine aujourd'hui, à partir du moment où elle a été numérisée, à
10:12partir du moment où on a interconnecté ces systèmes industriels avec l'IT classique,
10:17et bien ça devient une cible potentielle pour des attaquants, avec toujours ces attaquants
10:23soit très opportunistes, soit au contraire, qui font du ciblé, parce qu'ils savent qu'à
10:26tel endroit, ça peut faire mal.
10:27Mais alors, si on parle d'industries critiques, même de nucléaires en région, ça, aujourd'hui,
10:33il y a l'Annecy qui pilote, qui veille, ces grands groupes, ils ont déjà les codes
10:38sur leur cyberprotection, ils ont déjà les éditeurs qui les accompagnent, les solutions
10:42technologiques.
10:43À quel niveau, vous dites, en revanche, là, il y a des failles ?
10:47C'est la chaîne, en fait, derrière les grands donneurs d'ordres, et c'est tout l'objectif
10:51de Nice 2.
10:52Nice 2, l'ambition, indépendamment du renforcement des exigences, c'est de passer de 600 entreprises
10:58ou des organisations couvertes, assujetties au texte, à 15 000, pour couvrir la chaîne.
11:04Parce qu'on sait bien que, dans une chaîne, il suffit qu'un maillon soit faible pour,
11:07finalement, que la sécurité de l'ensemble soit remise en cause, et typiquement, ces
11:11grands donneurs d'ordres qui sont présents au Creusot, notamment, derrière, ils ont
11:16énormément de sous-traitants, des sous-traitants de sous-traitants, et c'est donc la sécurité
11:20de ces composants-là auxquels il faut, aujourd'hui, s'attaquer.
11:25Et vous vous sentez suffisamment armé, vous, au niveau local, face aux nouvelles menaces ?
11:29Quand on entend la menace russe, elle est là, en France, elle peut passer, aussi, justement,
11:35par des attaques en région, par des attaques sur des hôpitaux.
11:38Est-ce que vous vous sentez suffisamment armé, aujourd'hui ?
11:41Non, on n'est pas suffisamment armé, encore, mais il faut tout faire pour l'être, et c'est
11:48ce que nous faisons, au travers de tout le travail que nous avons engagé, à la fois
11:53avec les entreprises, à la fois, nos collectivités, puis avec des partenaires, comme peut l'être
11:58le Forum, c'est pour être le mieux préparé possible, parce que, je le disais tout à
12:02l'heure, des attaques, nous en avons continuellement, alors, ça peut être des petites attaques,
12:07qui n'ont pas beaucoup de conséquences, mais ça peut avoir, aussi, de graves conséquences,
12:11comme nous l'avons vu, aussi, donc, nous ne sommes pas encore suffisamment armés, mais
12:16nous faisons...
12:17Donc, pourquoi vous avez besoin ?
12:19On a besoin d'expertise, on a besoin de ressources, de ressources humaines, il faut les trouver,
12:26à un moment donné, et puis, on a besoin de certaines garanties qui peuvent être données,
12:33et de certains soutiens, vous parliez de l'agence, notamment, l'Anssi, oui, pour nous, c'est
12:39important, parce qu'elle nous donne des process, elle nous conseille, et elle nous donne la
12:45possibilité de mieux nous protéger, mais la sécurité n'est pas à 100%, on le sait
12:52très bien, et ce qu'il faut, c'est, quand on est attaqué, et malheureusement, quand
12:57on a subi cette attaque qui a des conséquences, c'est comment, très vite, on peut sortir
13:01de cette attaque, parce que, là aussi, il y a une véritable difficulté, certains se
13:05font attaquer, ne le disent pas, il y a un véritable marché de la rançon, c'est une
13:12réalité, ça, certains en parlent, refusent de payer les rançons, d'autres les payent,
13:18ce qui, du coup, alimente aussi les attaques.
13:21Donc, là, il faut aller sensibiliser, en fait, les entreprises du territoire, pour
13:26leur dire, n'ayez pas peur, finalement, la cybersécurité, on l'a dit tout à l'heure,
13:31c'est plutôt, au contraire, quelque chose qu'on doit mettre en avant, aujourd'hui,
13:34plutôt que masquer.
13:35Absolument.
13:36Et au niveau des industries, parce que je sais qu'au forum Incyber, il y a vraiment
13:40un focus qui est mis sur la sécurité industrielle, on progresse à ce sujet ?
13:44Il faut progresser, mais, en fait, si vous voulez, la difficulté, l'industrie, c'est
13:50qu'elle repose sur ce qu'on appelle des SCADA, des systèmes de contrôle d'acquisition
13:54de données, qui sont souvent anciens, et qui doivent être en permanence remis à
14:00niveau, mais on ne peut pas le faire avec la même vitesse, la même rupture, lorsque
14:07vous changez, par exemple, l'informatique de gestion, vous pouvez dire, on est vendredi,
14:12lundi, vous aurez tout un nouveau système informatique, parce que les gens ont travaillé
14:15pendant le week-end, on n'arrête pas l'eau, on n'arrête pas les aiguillages, on n'arrête
14:18pas les centrales nucléaires, on n'arrête pas...
14:20C'est pour ça que les week-ends sont très dangereux, d'ailleurs, dans le monde numérique.
14:22Donc là, il y a une vraie question, et ça fait partie des sujets qui sont traités,
14:26Guillaume peut d'ailleurs le confirmer, c'est vraiment un des sujets que nous traitons à
14:32la fois au forum à Lille, mais aussi dans ce forum, l'initiativaire des territoires
14:38au Creusot, où il y aura toute une partie dédiée, justement, à cette solution 4.0.
14:42On passe en fait de système industriel, auquel on a apporté des rustines, parce que c'était
14:47des systèmes anciens, qu'on avait simplement interconnectés, donc il a fallu mettre des
14:51rustines pour gérer la sécurité pendant cette période transitoire, avec de la segmentation
14:56par exemple des réseaux, de façon à ce que les attaques ne se propagent pas, aujourd'hui
15:00on a maintenant des nouveaux équipements qui arrivent, qui sont numériques par design,
15:06et donc qui intègrent de la cybersécurité, on voit bien ce mouvement, et puis il y a
15:10la 5G qui apporte énormément en termes de flexibilité, de rapidité, etc., et de productivité
15:18bien sûr.
15:19Le vrai sujet, c'est qu'en même temps, comme toujours, il y a une face plus sombre,
15:23qui est qu'à partir du moment où vous avez ces technos, ça veut dire que vous allez
15:25avoir des objets industriels connectés un peu partout, que ces objets eux-mêmes vont
15:30élargir la surface d'exposition au risque, et que donc il y a encore plus besoin de sécurité.
15:34La bonne nouvelle, c'est qu'effectivement, on arrive aujourd'hui à trouver des solutions,
15:38d'une part parce que les industriels qui fournissent ces équipements, ces SCADA, ces
15:42ICS, ont intégré de la sécurité, il y a des éditeurs aussi, et par ailleurs il y
15:47a de l'intelligence artificielle, heureusement, c'est-à-dire qu'on arrive aujourd'hui à
15:51faire beaucoup, par exemple, pour détecter sur un réseau des anormalités, et donc ça
15:56apporte aussi beaucoup, alors à la fois pour l'IT, mais en même temps pour les technologies
15:59opérationnelles, ça apporte beaucoup en termes de sécurité.
16:01J'ai un exemple précis, si vous permettez.
16:03Ah bah alors, juste pour terminer.
16:04Voilà, sur la sécurité, et notamment pour les collectivités, il y a une start-up qui
16:10a mis au point notamment une plateforme collaborative, qui s'appelle Interstice, une start-up du
16:16Creusot, qui du coup a apporté un niveau de sécurité maximal pour les collectivités
16:25notamment, et même l'État, puisque maintenant Interstice c'est aussi l'État, une plateforme
16:30collaborative qui a supprimé tous les mails, qui permet de collaborer à une grande échelle
16:37de manière très directe et interactive, et ça c'est un exemple pour nous de plateformes
16:42collaboratives qui nous sécurisent, et ils vont aller bien plus loin, et c'est du Creusot
16:47qu'est née cette plateforme.
16:48Et puis on va en découvrir plein d'autres David Marty quand on va suivre ce forum EnCyber
16:52chez vous, notamment Smartech Isra, donc ça c'est la grande nouvelle, bonne nouvelle.
16:57Merci beaucoup aussi Général Vatan Angouar de nous avoir éclairé, Guillaume Tissier,
17:01sur ces nouveaux enjeux, et merci à vous de nous accueillir, donc très bientôt !
17:06Mais avec grand plaisir, merci.