Alain Bouillé (CESIN) : « toutes les entités soumises à NIS2 ne le savent pas forcément »

Pouvez-vous nous rappeler ce qu’est le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) ?

Le CESIN est une association d’individus, tous RSSI ou dans le management de la sécurité (comme des responsables de CERT, de SOC…). Nous avons également des membres associés qui sont des institutionnels, cette fois personnes morales : gendarmerie nationale, ANSSI…

Pour un peu moins de 800 entités (entreprises, administrations, collectivités…), nous regroupons environ 1200 membres.

Les 3 et 4 décembre 2024, à Reims, vous organisez votre douzième Congrès. Quel en sera le contenu ?

Le thème, cette année, sera « Gouvernance Cyber et Conformité : unies pour le meilleur ». 2025 sera en effet une année consacrée largement à la conformité et à la réglementation. Mais il ne faut pas oublier ceux qui ne sont pas soumis à DORA ou à NIS2. Pour eux, nous avons élargi la thématique à la gouvernance.

Si les entreprises soumises à DORA sont au courant, à l’inverse, toutes les entités soumises à NIS2 ne le savent pas forcément. Il existent encore des incertitudes dans certains secteurs, typiquement la distribution. Nous ne pouvons donc pas encore faire de statistique fiable sur la proportion de nos membres qui sont soumis ou non à cette réglementation.

Comme à chaque édition, nous allons alterner plénières et conférences avec des ateliers. Le premier après-midi, nous allons tenir huit ateliers en parallèle selon diverses thématiques. Dans chacun, il y aura une vingtaine de participants et des partenaires. En fin de première journée, il s’agira de finaliser une restitution des travaux des ateliers. Le deuxième jour, les membres sont répartis en huit groupes avec deux témoins de chaque atelier dans chacun. Nous avons donc des travaux participatifs jusqu’au bout et largement interactifs.

2024 a été largement marqué par les Jeux Olympiques et Paralympiques Paris 2024 qui se sont particulièrement bien passés. Quel bilan plus global tirez-vous de cette année ?

En effet, la France a été sous les feux de la rampe avec les JO et l’année a donc été un peu spéciale. C’est un beau succès d’une manière générale et la réussite en cybersécurité constitue une cerise sur le gâteau.

Plus globalement, avec notre baromètre, nous voyons que le taux de cyber-attaques réussies baisse dans les entités ayant un RSSI et des outils. C’est la meilleure preuve (surtout après les JOP Paris 2024) que, quand on s’occupe sérieusement de cybersécurité, les attaquants sont éloignés ou défaits. Les pirates s’attaquent évidemment aux plus faibles.

Mais, du coup, les plus grands entreprises, bien que globalement bons élèves, doivent s’apprêter à affronter des risques de type supply-chain. Il y a toujours, dans l’écosystème d’une grande entreprise, un fournisseur qui a mal fait son travail. Et, dans toutes les grandes fuites récentes de données, nous avons pu voir que, à chaque fois, il y avait un fournisseur en cause.

Les systèmes d’information s’ouvrent de plus en plus et la supervision, de ce fait, doit couvrir un périmètre de plus en plus vaste. Si le budget augmente moins que la surface à surveiller, en réalité, le budget baisse… Et ce n’est vraiment pas le moment.

La période n’est guère à l’euphorie budgétaire. Comment voyez-vous cette question des budgets ?

La question des budgets va être de plus en plus primordiale. Et la situation est d’autant plus grave que la réglementation va amener des projets obligatoires de mises en conformité. Il y a donc un risque que certaines nécessités soient différées car pas traitées par la réglementation.

Pourtant, il est plus qu’urgent de ne pas attendre !

Certains projets de mises en conformité peuvent être faits sans attendre et sans budget dédié, typiquement la notification d’incident.

Quels autres défis voyez-vous pour la communauté cybersécurité ?

Dans un cadre géopolitique compliqué (Etats-Unis, Israël, Russie/Ukraine…), la dépendance aux grands éditeurs étrangers constitue un réel problème. Kaspersky est d’origine russe mais la plupart des autres éditeurs sont américains ou israéliens. Or, comme on a pu le voir avec Crowdstrike, si un outil majeur tombe (y compris suite à une action hostile), c’est la moitié du monde qui tombe… En matière de certification, de cloud de confiance ou de souveraineté, il est tout à fait essentiel de poursuivre les efforts et de ne rien céder, de ne jamais reculer. La résilience en prend un sacré coup quand aucun PCA ne fonctionne face à un incident de type Crowdstrike.

Dans le cas de Crowdstrike, le problème était un soucis dans une mise à jour. On pensait pourtant que ce genre de bêtise ne pourrait plus advenir…

2024 a été une année où quelques gros incidents ont mis en avant l’importance de la supply-chain. 2025 sera une année consacrée à la réglementation.