L’intelligence artificielle participe à rendre les cybermenaces exponentielles, sophistiquées et protéiformes. Valérie de Saint Père, cofondatrice de l’école 2600 dédiée à la cybersécurité, revient sur les principaux risques pour 2024.

Décideurs. Quels sont les grands enjeux de cybersécurité pour 2024 ?

Valérie de Saint Père. Commençons par une bonne nouvelle. Un sondage BDO France révèle que 68 % des dirigeants d’entreprise estiment que la cyberprotection fait partie des enjeux prioritaires pour cette année, devant le contexte économique, l’environnement ou l’égalité homme-femme. C’est la première fois que cette préoccupation arrive en tête. Ce qui veut dire qu’on avance. En revanche, la menace est protéiforme et exponentielle. Entre 2020 et 2023, l’Anssi (Agence nationale de la sécurité des systèmes d'information) a constaté une hausse de 400 % des actes cyber en France.

De quoi les entreprises doivent-elle se méfier ?

Les cybercriminels se montrent de plus en plus créatifs. Plus les technologies avancent, plus les attaques sont sophistiquées. Ils utilisent notamment davantage les canaux transversaux pour attaquer leur cible. Les grandes entreprises peuvent être touchées via leurs sous-traitants et leurs fournisseurs, par exemple. Nous constatons également une multiplication des prompts (instructions données à un algorithme, ndlr) malveillants notamment au sein des logiciels des entreprises. Nous avons vu des chatbots infiltrés répondre de manière malintentionnée. Les IA peuvent également se trouver compromises et entraîner des vols de données. Nous notons aussi des attaques grâce à l’ingénierie sociale (clonage de voix, créations de fausses vidéos, etc.) qui décuplent les techniques de manipulation afin d’inciter les personnes à partager des informations confidentielles. Il y a également la menace RaaS. Aujourd’hui, sur le dark web, on peut s’inscrire sur des plateformes et générer des virus sans être un expert. Ce qui crée une nouvelle nature de cybercriminels.

Comment prendre conscience de l’ampleur du phénomène ?

J’ai pris récemment connaissance des chiffres liés aux Jeux olympiques de 2024, qui sont un enjeu majeur de sécurité. Lors des Jeux de Tokyo de 2021, 450 millions d’attaques informatiques avaient été recensées. En France, le comité s’attend à 8 fois plus, soit environ 3,5 milliards d’attaques. Je vous cite ces chiffres car ils sont très parlants mais la réalité n’est pas plus rassurante pour les entreprises même si celles-ci se montrent de plus en plus résilientes.

"Les experts ont besoin de formation en continu afin de répondre aux besoins réels du marché"

La directive européenne NIS 2 entre en vigueur en octobre 2024. En quoi ce texte va-t-il pousser les entreprises à faire davantage en matière de cybersécurité ?

L’Anssi doit encore se positionner sur certains éléments du texte, ce qui permettra de savoir combien d’entreprises seront touchées. NIS 1 prévoyait un certain nombre de contraintes pour les entités essentielles : 19 secteurs d’activité étaient visés. Avec NIS2, ce sera 35. Les entreprises concernées vont devoir intégrer leurs sous-traitants. Toutes les entreprises de plus de 50 salariés et dont le chiffre d’affaires dépasse le million d’euros vont devoir s’y plier et montrer qu’elles sont capables de mettre en place des plans de résilience.

Comment, au sein de l’école 2600, intégrez-vous ces nouvelles contraintes ?

Nous travaillons sur des programmes qui intègrent les contraintes réglementaires afin de répondre aux nouveaux besoins des entreprises. En 2021, l’OCDE estimait la durée de vie moyenne d’une compétence technique – au sens large – entre 12 et 18 mois. Imaginez de combien elle est aujourd’hui dans la cybersécurité. Les experts ont besoin de formation en continu afin de répondre aux besoins réels du marché. Nous adaptons nos programmes et travaillons pour anticiper l’émergence de nouvelles compétences. Il faut un appareil de formation agile.

Combien de personnes entendez-vous former ?

Nous souhaitons former 1 500 élèves dans notre école et prévoyons de former 10 000 collaborateurs déjà en poste à travers notre plateforme d’ici à 2027. Ils seront formés, évalués et micro-certifiés sur les compétences nécessaires à leur entreprise. Les sociétés ont dû mal à savoir de quelles compétences elles ont besoin en interne. Elles estiment aussi encore trop souvent que c’est à l’État de payer les formations. Or, elles doivent comprendre qu’il s’agit d’un investissement réellement nécessaire.

Propos recueillis par Olivia Vignaud