Les diagnostics cyber de la CCI pour les entreprises béarnaises prennent leur essor
Thibault Chenevière, délégué à la cybersécurité à la CCI Pau-Béarn et administrateur du cyber campus Nouvelle-Aquitaine. Crédit : PhC
Programmé dès 2020 et inauguré, pour son poste de commandement, en février 2022 à la Défense, le campus cyber s’était fixé l’objectif de proposer la granularité la plus fine. Après la déclinaison régionale, sur le site Ampéris de Pessac, c’est la CCI Pau Béarn qui propose depuis quelques mois un centre de ressources cyber. La phase de test bouclée, la CCI appuie sur l’accélérateur. Thibault Chenevière, délégué à la cybersécurité à la CCI Pau-Béarn, explique à Placeco comment.
Le sujet est encore dans les mémoires. Il aura fallu neuf mois au centre hospitalier d’Oloron pour se remettre de l’attaque de hackers dont il a fait l’objet en 2021. Etablissements publics, grandes entreprises de souveraineté nationale espionnées, PME cyber-rançonnées, les exemples ne manquent pas.
Thibault Chenevière, délégué à la cybersécurité à la CCI Pau-Béarn et administrateur du cyber campus Nouvelle-Aquitaine*, rappelle le contexte : « Il y a deux aspects sur ces questions. Il s’agit d’évangéliser rapidement ceux qui n’ont jamais été confrontés à ces sujets et qui, de ce fait, n’en mesurent pas pleinement les enjeux. Il y a ceux, ensuite, qui y ont été confrontés et la difficulté, si nous voulons leur apporter des solutions expertes, est de les identifier alors que 50% seulement d’entre elles portent plainte. »
La souplesse recherchée par le dispositif national pour contribuer à sa mise en œuvre rapide, prend en compte la nature des acteurs du territoire. En Béarn, c’est la CCI qui a pris en charge le dispositif. Les chefs de file locaux peuvent être ailleurs des EPCI, des clusters, des organismes publics. Ce n'est pas la structure qui importe, c'est son action. Même chose pour la composition des équipes. La CCI ne souhaitait (et ne pouvait) pas affecter ses équipes sur ces sujets, non par manque d’intérêt, mais parce que l’idée a, dès le départ, été de constituer des collectifs pluridisciplinaires mêlant public et privé.
Thibault Chenevière précise : « Sur un tel sujet, les réponses ne peuvent être que pragmatiques. Il y a bien sûr les signaux forts, comme l’hameçonnage par email ou le déni de service qui consiste à bloquer l’accès à une ressource. Mais il y a aussi des procédés plus discrets, des signaux faibles, par lesquels les hackers instillent discrètement dans le code des mouchards qui récoltent des données. »
C’est la raison pour laquelle le cyber campus, national comme régional, propose des diagnostics, sous forme de questionnement à l’attention des services informatiques, publics et privés, ou des dirigeants pour les TPE.
La cybersécurité suppose de l'agilité
La chambre a dimensionné le dispositif à l’échelle du territoire avec une grande souplesse :
« Ces diagnostics, je le précise, gratuits, portent sur sept thématiques :
• Connaissance des processus et du SI
• Gouvernance et ressources cyber
• Sécurisation des accès
• Sécurisation des postes
• Sécurisation des infrastructures
• Sensibilisation des utilisateurs
• Détection et réaction à une cyberattaque.
Ils sont portés par des profils très différents. À ce jour, ici en Béarn, nous avons par exemple fait former une élue et un agent de communauté de communes, un expert-comptable, une conseillère de la chambre, un membre du service informatique de la communauté d’agglomération, et même un stagiaire de la CCI. Le process défini par le cyber campus national et régional nous permet d'offrir une prestation unifiée et de qualité. »
La mise en œuvre des préconisations issues des diagnostics est assurée par un certain nombre d’acteurs locaux, publics comme privés, qui ont les expertises et qui s’engagent sur une charte commune : consacrer 1% de leur temps à l’action, et ce, de façon bénévole. Ils ont été choisis dans le vivier des acteurs qui avaient formulé leur intérêt lors du lancement du programme en Béarn.
Il peut s’agir de prestataires de formation, de consultants, d’universitaires, d’ingénieurs, de chefs d’entreprises. C’est ce qui fait la richesse de la démarche. Une formule gagnant-gagnant que la CCI entend promouvoir. La déclinaison de l’action sur le territoire répond aux priorités que Thibault Chenevière détaille :
« Tout d’abord déployer ce diagnostic le plus rapidement possible. Nous en avons réalisé une dizaine à cette heure et plutôt dans notre écosystème, sous forme de POC (preuve de concept). Nous allons désormais impliquer les branches professionnelles pour qu’elles mobilisent leurs adhérents et les renvoient vers nous.
Le deuxième axe est d’agir en amont. Il est évident que les écoles d’ingénieurs autour de l’informatique ont intégré ces démarches dans leurs programmes, mais tel n’est pas le cas d’autres filières d’enseignement, je pense aux écoles de commerce, au droit, à la gestion.
Pour amplifier rapidement la sensibilisation, nous souhaitons aussi nous appuyer sur notre très beau tissu industriel d’ETI, voire de majors industriels. Dans les marchés de sous-traitance, ils exigent déjà nombre de certifications. À partir du moment où il y a échange, et compte tenu de la haute sensibilité de certains secteurs, comme l’aéronautique, il pourrait être logique de conditionner les marchés à un niveau de sécurité assuré dans les échanges de donnés entre donneurs d’ordre et sous-traitants.
Enfin, nous devons promouvoir partout et par tous les moyens, le dispositif mis en place par la région qui s’adresse aux victimes de cyber-attaques et qui vise à les accompagner. »
Le numéro auquel Thibault Chenevière fait référence est le 08 05 29 29 40
☞ La Région Nouvelle-Aquitaine a désormais conditionné tous ses concours aux acteurs économiques à la réalisation de ce diagnostic cyber.
* inauguration ce jeudi 6 juillet