Franz Regul (Bpifrance) : « nous voulons travailler avec davantage de start-ups »

Pouvez-vous nous présenter Bpifrance ?

Comme l’a expliqué Lionel Chaine dans sa propre interview, nous avons comme mission d’aider les entreprises à se développer. Nous intervenons notamment sur leur financement mais pas seulement.

Comment y est organisé la cybersécurité ?

En tant que directeur de la cybersécurité, je suis rattaché à Lionel Chaine et j’ai en charge la protection de tout le groupe Bpifrance. Je suis en charge de la sécurité des systèmes d’information et des informations elles-mêmes mais pas de la sécurité physique (qui est plutôt moins importante chez nous que dans les banques de détail).

Nous sommes évidemment une cible de choix pour les pirates. D’une part, nous sommes présents sur les marchés financiers avec des outils de paiements puissants (certaines opérations sont de montants considérables). D’autre part, nous avons « France » dans notre nom et nous sommes donc une cible des opérations de déstabilisations.

La volonté de notre direction est que Bpifrance soit une vraie Fintech. Notre propriété intellectuelle comme la totalité de notre patrimoine de données doivent donc être protégées.

Quelles sont vos approches et particularités ?

Par rapport à d’autres établissements financiers, nous avons une vraie différence : nous sommes agiles à l’échelle. Nous avons ainsi plus de 2000 collaborateurs en mode agile ! Nous sommes déjà en mode DevOps et nous musclons actuellement notre DevSecOps.

En tant qu’institution financière, nous avons beaucoup de réglementation à mettre en œuvre. Tout en sachant que la conformité n’est pas la sécurité même si elle peut y contribuer.

Nous sommes une relativement petite structure mais nous avons suffisamment de risques pour mettre en œuvre notre propre SOC en le justifiant.

Enfin, dans le cadre des actions de Bpifrance, nous devons participer à la cyber-protection des entrepreneurs mais aussi aider au développement d’acteurs de la cybersécurité français. Par exemple, nous commercialisons une offre commune avec Docaposte destinée aux entrepreneurs et nous souhaitons la renforcer.

DORA et NIS2 sont-elles des problèmes pour vous ?

Je dois avouer que ne pas avoir à me préoccuper de ces sujets ne me manquait pas quand j’étais en charge de la cybersécurité du COJOP Paris 2024…

Mais les exigences réglementaires vont dans le bon sens même si elles ne sont pas toujours directement opérationnelles. Il faut donc à la fois tenir compte de la réglementation sans négliger l’opérationnalité de la cybersécurité. De même, il nous faut anticiper les évolutions probables de la réglementation et les impacts de celles-ci sur nos manières de travailler.

Travailler avec des structures innovantes (donc non-éprouvées) en cybersécurité peut certes être utile pour elles mais quels avantages en tirez-vous et quelles précautions prenez-vous ?

En effet, il y a un challenge à travailler avec les start-ups et il faut se poser la question de comment cadrer l’expérimentation dans une banque. Il peut y avoir un doublon entre nos outils actuels éprouvés et ceux des start-ups. On peut aussi choisir de remplacer la solution en place par une solution innovante.

C’est dans la mission même de Bpifrance d’aider les start-ups à se développer, même si cela peut avoir un coût pour nous. Bien entendu, nous n’accepterons jamais de compromis sur notre cybersécurité mais nous devons être prêts à aider. Nous voulons travailler avec davantage de start-ups.

Et, même si une solution innovante ne convient pas dans notre contexte particulier, nous pouvons avoir la capacité à aider la start-up à améliorer son offre ou à la développer. Et leur offrir d’être une référence fait évidemment partie du jeu.

Bpifrance a l’habitude de travailler avec les réseaux bancaires pour couvrir les risques liés à des entrepreneurs. Pour les start-ups en cybersécurité, nous pouvons être une aide, un tremplin et une référence. En interne, nous devons suivre les innovations avec une mentalité d’explorateur.

Aujourd’hui, nous travaillons avec quelques start-ups, pas des dizaines, mais, je le répète, nous avons la volonté de nous structurer pour en augmenter le nombre.

D’une manière générale, dans notre sourcing, nous privilégions les acteurs français. Quand j’ai été recruté, nous avions une contradiction entre notre mission et notre pile technologique très américaine et j’ai été embauché pour que nous gagnions en cohérence à ce niveau.

Plus personnellement, qu’avez-vous retiré de l’expérience COJOP Paris 2024 pour vos nouvelles fonctions ?

D’abord, j’ai pu redécouvrir, au-delà de la seule technologie, toute la dimension humaine de notre métier. Nos collaborateurs ont les expertises, la maîtrise des outils et des processus… Cela dit, le COJOP partait d’une page blanche avec peu de réglementation, ce qui est un peu différent à Bpifrance. Nous avons ici des obligations mais aussi un réel dynamisme.

Un autre enseignement du COJOP a été l’importance de la solidarité et de la collaboration qui ont fait beaucoup pour notre sécurité. L’écosystème français s’était préparé avec des budgets appropriés. Aujourd’hui, chez Bpifrance, nous discutons avec les autres entités du pôle CDC sur un modèle de collaboration finalement assez similaire.

Je pense qu’entre banques, il faudra faire de même assez rapidement.

Enfin, quels sont vos défis pour 2025 ?

Je ne vais pas être très original en citant les défis de la conformité réglementaire, qu’il s’agisse des réglementations actuelles ou attendues.

Les nouvelles technologies émergentes représentent également des défis en cybersécurité, comme notamment l’IAG et l’IA agentique qui peuvent être préoccupantes.

Nous devons aussi faire preuve de « crypto-agilité » et ça ne se limite pas aux algorithmes post-quantiques. Nous devons absolument savoir faire évoluer nos chiffrements en fonction de l’état de l’art. Nous travaillons en effet avec des données d’une haute sensibilité, en particulier dans l’assurance export.

Bien sûr, comme tout le monde, nous devons améliorer notre efficacité et démontrer le ROI de nos investissements. Il nous font être capables de démontrer l’efficacité et l’efficience de ce que l’on fait. Nos décisions doivent être guidés par des éléments factuels. En quelque sorte, c’est de la cybersécurité data driven…

Mais ce n’est pas tout. Il faut aussi une cybersécurité risk driven. Il faut déterminer ce qui est vraiment sensible et important afin de concentrer nos efforts à ces endroits. Il nous faut ainsi être capable de garantir que la cybersécurité arrivera à suivre la croissance des usages numériques.