Couverture du journal du 23/02/2024 Le magazine de la semaine

[Cyberdéfense] Entretien avec Jean-Luc Gibernon, vice-président du PEC : « Le 100% sécurité est impossible »

Alors même que la Bretagne est une région forte en matière de cyber, les entreprises ne sont pas toutes équipées pour faire face à une menace grandissante. Certains secteurs sont d’ailleurs particulièrement vulnérables, tels que la santé ou les collectivités. Jean-Luc Gibernon, vice-président du PEC - Pôle d’Excellence Cyber - représentant les quelque 60 entreprises de l’association et directeur du développement chez Sopra Steria, fait un tour d’horizon du domaine en constante évolution.

Jean-Luc Gibernon ©Studio Carlito

Jean-Luc Gibernon ©Studio Carlito

Entretien avec Jean-Luc Gibernon, vice-président du PEC – Pôle d’Excellence Cyber – représentant les quelque 60 entreprises de l’association et directeur du développement chez Sopra Steria.

Où se situe la Bretagne en matière cyber ?

Le domaine de la cyber représente 10 000 emplois en Bretagne (86 000 au niveau national), en croissance de 10 à 15% tous les ans. C’est un domaine qui commence vraiment à peser dans l’industrie. Si toutes les régions montent en puissance, la Bretagne reste la seconde région en matière d’emplois cyber en France, derrière l’Île-de-France. La région a pris très tôt le virage de la Cyber. Cela se voit notamment avec la création du PEC en 2014, il y a déjà 9 ans.

Quel constat chez les entreprises ?

Elles progressent, année après année, dans leur défense cyber. La plupart ont compris qu’il y avait des menaces et y font face, d’autres moins, c’est lié à la culture des entreprises. Parmi les plus réactives, les banques et les militaires (avec la cyberdéfense), ceux qui ont cette « culture de l’ennemi » ont vite assimilé que le numérique devenait le vecteur d’une nouvelle menace.
D’autres comme les entités du secteur de la santé et les collectivités territoriales sont très en retard. Elles n’ont pas la culture de l’ennemi. Entres les deux, il y a les acteurs économiques, dans l’agroalimentaire, l’industrie, les ports, etc., qui ont compris la nécessité de se lancer dans la course cyber. La plupart des attaquants frappent au hasard, c’est là que l’on se rend compte que les systèmes d’exploitation ne sont pas à jour, que les sauvegardes des données sont accessibles en ligne pour les attaquants… Ils s’engouffrent dans cette brèche. En revanche, quand ils se rendent comptent qu’ils n’auront probablement pas la rançon, ils passent à une autre cible.

Des fraudes ont lieu malgré la mobilisation générale, est-ce qu’une « contre-attaque » est lancée ?

Nous ne parlons pas vraiment de contre-attaque, plutôt de défense. L’attaque est un terme réservé à nos ennemis. Dans cette optique, nous n’atteignons jamais le 100% de sécurité, c’est impossible. Il faut se lancer dans un parcours de sécurisation et ne pas viser la lune. Le mieux est d’atteindre  un niveau suffisant qui va décourager l’attaquant. Il y a une course permanente entre les attaquants et les défenseurs, il faut toujours être en avance, toujours préparer, anticiper.

En Bretagne : 170 établissements de formation, soit 16% des établissements bretons pour 450 diplômes, certifications, titres ou autres formations (11% du niveau régional).*

Comment se défendre ?

Beaucoup se demandent ce qu’ils doivent faire, une fois attaqués. C’est trop tard, à ce stade ce n’est plus le moment d’agir.
Le PEC a créé le programme Care, proposant deux offres : un diagnostic cyber et une offre d’accompagnement initial. Le diagnostic permet aux entreprises ou collectivités territoriales de se lancer dans un parcours cyber, avec notamment un état des lieux pour voir si les éléments d’une bonne cybersécurité sont en place. À l’issue, l’entreprise peut être accompagnée dans le début du parcours.
Toutes ces offres sont subventionnées par la Commission européenne dans le cadre d’un programme européen nommé EDIH (European digital innovation hub), pour lequel la Région Bretagne avait candidaté et le PEC assure aujourd’hui les diagnostics et les accompagnements. Il y a une trentaine d’EDIH spécialisés en cyber en Europe, dont 2 en France : une en Bretagne et une en région parisienne.
En tant qu’entreprise, en général PME ou ETI, il faut contacter le PEC ou l’EDIH Bretagne pour bénéficier de ce dispositif et se lancer dans un parcours cyber.

Des recrutements en cours ?

Il y a toujours beaucoup de recrutements et cela continue. De nombreux besoins ne sont pas satisfaits et il y a plus de besoins que d’offres d’emplois. Peu d’offres sont diffusées, tout se passe en réseau (salons, LinkedIn, partenariats avec les écoles…). Nous recrutons des personnes sans avoir besoin de savoir à l’avance sur quels projets précis les faire travailler, tout en sachant que nous aurons besoin d’eux.
Pour pallier aux besoins d’emploi, de nombreuses formations sont créées, et la Bretagne ne fait pas exception : 170 établissements de formation, soit 16% des établissements bretons pour 450 diplômes, certifications, titres ou autres formations (11% du niveau régional).*
De plus, le projet Cyber Skills 4 All du PEC, monté en 2023, vise à créer de nouvelles formations cyber, en association avec une douzaine d’écoles bretonnes. Doté d’un budget de 23 millions d’euros, dont 40 % d’aide de l’État, ce projet vise, en 5 ans, la formation de 15 000 étudiants et de 4 000 spécialistes de la cybersécurité, dont un millier d’apprenants dans le cadre de la formation continue.

* Source : Base OFELI du Gref Bretagne et ONISEP