Face à la multiplication des cyberattaques, les médias n’échappent pas à la pression sécuritaire. Julien Tordjman, directeur Cybersécurité du Groupe France Télévisions, revient sur les enjeux spécifiques à une entreprise de service public, les défis de formation et de sensibilisation en interne, et sur la nécessaire coopération entre directions pour garantir la résilience de l’information.
Julien Tordjman (France Télévisions) : “Il est important de sécuriser nos systèmes d’information pour garantir la résilience de nos canaux de diffusion”
Décideurs. Quels sont les grands enjeux de cybersécurité pour un groupe comme France Télévisions ?
Julien Tordjman. En tant que média de service public, notre mission première est d’assurer une information fiable, accessible et continue à tous les citoyens. Cela implique une responsabilité accrue en matière de cybersécurité et de protection des données. Il est notamment important pour nous de sécuriser nos systèmes d’information pour garantir la résilience de nos canaux de diffusion – TNT, web… – ou la confidentialité de nos données. L’attaque de TV5 Monde en 2015, bien qu’elle ne nous ait pas directement touchés, a marqué un tournant : trois jours d’écran noir et des réseaux sociaux piratés, cela reste un traumatisme pour l’ensemble des acteurs du secteur.
Le contexte géopolitique actuel ou certaines catastrophes nous rappellent aussi le rôle crucial des médias. Lors du récent blackout en Espagne ou lors des catastrophes naturelles en outre-mer, la population a notamment pu continuer à s’informer grâce à la radio. Nous devons donc pouvoir tenir ce rôle, en toutes circonstances.
Mais le paysage de la cybersécurité évolue vite : les attaquants sont de mieux en mieux organisés, outillés, financés. C’est une véritable course contre la montre, qui prend parfois les allures d’une lutte entre un David aux moyens limités et des groupes d’attaquants comme autant de Goliath disposant de ressources largement supérieures.
Et sur le plan des ressources humaines ?
C’est l’un des défis majeurs. Il y a une pénurie mondiale de profils qualifiés en cybersécurité, comme l’a souligné l’Anssi. Il est difficile de recruter, mais aussi de fidéliser. Les profils sont rares, très convoités, et les salaires proposés dans le privé sont parfois hors de portée pour nous. C’est un vrai sujet pour le secteur public, bien que les contours de la question soient en train d’évoluer.
« Il y a une pénurie mondiale de profils qualifiés en cybersécurité, comme l’a souligné l’Anssi »
Comment abordez-vous la formation et la sensibilisation en interne ?
Nous avons mis en place un programme de formation ambitieux, en lien avec notre université d’entreprise, la direction RH et la direction de la communication interne. L’objectif est d’acculturer l’ensemble des collaborateurs à ces enjeux, selon leur profil. Nous proposons par exemple des modules d’e-learning, des campagnes régulières de simulation de phishing interne, des newsletters, des quiz, et même un serious game dans lequel les participants doivent identifier des situations à risques. Les retours sont plutôt positifs.
Nous avons aussi développé des parcours spécifiques pour les journalistes, notamment autour de la lutte contre le cyberharcèlement, et nous menons des actions ciblées dans les régions et les outre-mer.
Comment s’organise la gouvernance de ces sujets en interne ?
La cybersécurité est aujourd’hui un enjeu transversal et stratégique, pris en compte au plus haut niveau de l’organisation
« Même avec les meilleures solutions techniques de cybersécurité, tout peut s’effondrer si l’utilisateur clique sur un lien piégé ou communique son mot de passe »
Nous collaborons avec toutes les directions « support », notamment la direction des achats, pour intégrer la cybersécurité dans les appels d’offres ; le juridique, pour les questions de réglementations – données personnelles par exemple ; ou encore les RH pour la montée en compétences. Nous accompagnons également les différentes directions métiers, en proximité étroite.
Quels sont les profils les plus exposés ?
Tout le monde est concerné. Les journalistes, en première ligne et très visibles médiatiquement, sont souvent plus exposés et peuvent être des cibles privilégiées. Le personnel technique, les administrateurs ou les dirigeants ne sont pas épargnés non plus… D’une manière générale, plusieurs études ont montré que l’erreur humaine reste à l’origine de 80 % des attaques. Même avec les meilleures solutions techniques de cybersécurité, tout peut s’effondrer si l’utilisateur clique sur un lien piégé ou communique son mot de passe.
Face à l’essor des IA génératives, comment formez-vous vos équipes à une utilisation responsable ?
Nous avons observé jusqu’à 300 000 connexions mensuelles de nos utilisateurs à des IA publiques. Or, utiliser ces outils peut engendrer des risques majeurs de fuite de données. C’est pourquoi nous avons déployé une plateforme, hébergée sur nos propres infrastructures, qui sécurise l’accès aux assistants d’IA générative. Ainsi, nous garantissons l’accès aux différents LLM par les salariés tout en sécurisant les données de l’entreprise et des utilisateurs. En parallèle, un programme de formation et de sensibilisation spécifique est en cours de préparation.
Propos recueillis par Cem Algul