Expert cyber-sécurité, co-fondateur de Shelaon Partners (Cyberfreelance) avec Ekaterina Shelek, Clément Faraon accompagne dans leur approche des cybermenaces plusieurs grands noms de l’évènementiel tels La Phratrie, le groupe Moma ou le groupe WMH. Le patron de cette entreprise parisienne de six collaborateurs, labellisée France Cybersecurity, revient pour nous sur les enjeux de cybersécurité dans le MICE.
Un point d’abord sur la réalité de la menace aujourd’hui dans les entreprises…
Clément Faraon : D’après le panorama dressé chaque année par l’ANSSI (l’autorité nationale compétente en matière de cybersécurité, ndr), on note une recrudescence des cyber-attaques. La principale menace c’est le social engineering (l’ingénierie sociale vise les êtres humains plutôt que les ordinateurs ou les logiciels, ndr), devant le ransomware.
Les menaces sont de plus en plus sophistiquées. Avec la double explosion de l’IA et du social-engineering, les acteurs de la cybersécurité et les collaborateurs de l’entreprise ont plus de mal à les identifier. On constate aussi que les grands groupes font l’objet de nombreuses attaques supply-chain, c’est-à-dire qu’elles passent par le biais des fournisseurs. Au-delà des menaces, il y a toute une partie réglementation qui entre en jeu, qui impacte tous les secteurs et l’économie dans sa globalité.
Ces questions à la fois de réglementation et de supply-chain concernent bien évidemment l’événementiel…
C.F : L’événementiel dispose de beaucoup de données personnelles, y compris parfois de données de santé. C’est à la fois très encadré et très disparates selon les entreprises. Les grands groupes ont davantage de moyens pour se défendre et se conformer aux réglementations. Il est donc plus simple pour les cybercriminels d’attaquer les petites entreprises, moins protégées. Aujourd’hui, 40% des attaques visent les PME.
Le secteur de l’événementiel a comme caractéristique de compter de nombreux acteurs de petites tailles qui travaillent aussi avec de grands groupes…
C.F : Les acheteurs intègrent désormais le fait que la cybersécurité, au même titre que la RSE, entre dans le budget achat. Et faire entrer des lignes conformité-sécurisation ne choque plus les grands groupes. On commence à voir les agences facturer à leurs clients ces prestations.
Il faut rapporter aussi ces démarches à l’évolution de la législation européenne. Ce début d’année est entré en application le règlement DORA (Digital Operational Resilience Act) qui est lié au domaine financier. La transposition dans le droit français de la directive NIS2 est pour sa part en cours. NIS2 concerne un nombre beaucoup plus important d’entreprises et collectivités locales que NIS1; environ 15 000 d’entre elles sont désormais soumises à ce nouveau cahier des charges en France, soit un fort impact notamment sur celles du SBF120 et autres grosses structures de l’Hexagone.
Avec ce qu’on évoquait précédemment sur la supply chain, les nouvelles règles introduisent des exigences de vérification conformité des sous-traitants. On voit soit un partage équitable pour gérer cette problématique sécuritaire entre l’entreprise et le prestataire, soit le coût supporté uniquement par le client, surtout lorsque celui-ci désire spécifiquement un prestataire et n’envisage pas de faire appel à un autre.
Quel est le prix de la cybersécurité ?
C.F : Il n’est pas négligeable, surtout pour des petites entreprises. Une mise en conformité RGPD par exemple, pour ceux qui ne l’ont pas encore fait, coûte entre 5 et 6 000 euros pour une structure d’une dizaine de collaborateurs. Quand nous accompagnons des clients sur une certification ISO27001 (la référence mondiale en matière de sécurité des informations, ndr), nécessaires pour les grands groupes s’ils veulent gagner de gros contrats, cela inclut le plan d’action et l’accompagnement, et cela peut aller de 40 000 à 100 000 euros. Ce n’est pas accessible, on s’en doute, pour des entreprises de taille moyenne, et même pour un groupe événementiel important.
Quelles sont vos solutions plus particulièrement dédiées à l’événementiel ?
C.F : Nous avons des offres à tiroir. Sur l’événementiel, nous sommes très souvent sollicités par de petites structures pour compléter le questionnaire de Cybervadis, de plus en plus demandé par de grands groupes. Je citerais en exemple Total qui, à compter de cette année, impose à ses prestataires un Cybervadis 700 (une note minimale de 700 sur 1000 sur le questionnaire de cette start-up française spécialisée dans la cybersécurité, ndr).
Parmi les autres solutions de cybersécurité à leur échelle, nous avons installé, pour un coût très limité, des backups de sécurisation dans une entreprise qui aurait tout perdu en cas de cyberattaque. Une autre des solutions c’est aussi de leur apporter du conseil pour aider à répondre à un questionnaire client, à un appel d’offres, pour recommander un outil pour un événement,
Bref, si vous optez pour une solution SaaS, une certification de sécurité est obligatoire. Ce n’est pas le cas en revanche si vous faites de la prestation de services, vous pouvez alors vous rabattre sur un Cybervadis qui coûte beaucoup moins cher, et cela vous permet d’avoir quelque chose à montrer. Quant à l’ISO27001, on peut l’envisager quand on est plus gros, qu’on a des équipes RH structurées…
J’en profite pour rappeler que les petites structures peuvent obtenir une aide de l’Ile-de-France pour réaliser des diagnostics de cybersécurité (le Chèque Diagnostic Cyber, d’un montant maximum de 5 000 euros, ndr). Sur les grands groupes, on aide à répondre à des questionnaires de clients, pour des appels d’offres par exemple.
Quid des étapes quand on veut s’engager dans un process de cyber-sécurisation ?
C.F : La première est l’état des lieux. On passe ensuite à la mise en place d’une démarche pour sensibiliser les collaborateurs, les premières mesures à prendre en matière de sécurité. Nous allons proposer un accompagnement, des mesures de sécurité à mettre en place, identifier ce qui apporte un vrai gain en termes de sécurité, sans coûter cher pour autant.
Il s’agit aussi de corriger rapidement les points critiques. Nous faisons par exemple des tests de phishing, ce qui permet en six mois de diviser par deux le nombre de clics sur des liens dangereux. Un autre exemple est l’installation d’un MFA (système de sécurité à plusieurs niveaux, ndr) qui offre rapidement un grand gain en termes de sécurité.
Les problématiques sont bien sûr multiples et diffèrent d’un client à l’autre, voire d’un secteur à l’autre. La démarche passe par l’analyse du risque par rapport au business. Une caractéristique de l’événementiel c’est le nombre de prestataires qui interviennent. C’est une galère en termes de sécurité, il y a beaucoup d’entrées-sorties et de points de contacts.
Lorsque vous préparez une convention par exemple, certaines données sont confidentielles, et des détails de Comex parfois sensibles. On essaye ainsi d’apporter un cadre pour éviter des fuites de données. Le principe de base c’est le cloisonnement des datas. On va vérifier que seules les bonnes personnes ont accès à certaines d’entre elles. Cela peut passer aussi, par exemple, par le chiffrement des clés USB.
Le sabotage est également une réalité dans l’événementiel, avec des collaborateurs mécontents qui partent avec des données et vont les livrer à la concurrence.
De nombreuses agences peuvent se dire que ces solutions restent encore trop onéreuses pour elles…
C.F : Êtes-vous sûr de pouvoir aujourd’hui faire abstraction de la dimension RSE quand vous répondez à des appels d’offres ? C’est pareil pour la cybersécurité. Et c’est d’autant plus vrai que DORA et NIS2 peuvent désormais se traduire par des sanctions financières. Pour moi, la question ne se pose plus, même si la démarche est plus lente et mesurée pour les plus petits acteurs du secteur. Un autre aspect c’est celui de la réputation de l’entreprise. Laquelle peut être gravement entachée par une cyberattaque et mettre des années à se reconstruire.
Qu’en est-il des assurances, indemnisent-t-elles comme il le faut en cas de cyberattaque ?
C.F : Oui c’est le cas, à condition que les entreprises aient effectué en amont le travail sérieusement, aient bien regardé ce que demande l’assurance, aient pris le temps de remplir correctement les questionnaires, et qu’elles se soient assurées de la bonne application des mesures de cybersécurité. Car il faut bien sûr avoir une démarche de sécurité pour être correctement assuré…
Il faut donc s’engager tout en étant lucide sur le fait que le risque zéro n’existe pas…
C.F : De très grands groupes, tel Airbus, malgré toutes leurs précautions, continuent de se faire attaquer. Mais si le risque zéro n’existe pas, on peut en revanche réduire drastiquement la menace. Le principe de base de la cybersécurité, c’est de faire de la défense en profondeur et de l’amélioration continue.
La sécurité est un sujet qui évolue sans arrêt. Ainsi, nous utilisons des solutions basées sur l’IA pour nous défendre, notamment avec des antivirus très pertinents. Mais les attaquants eux aussi recourent à l’intelligence artificielle. Nous sommes engagés dans une course avec eux. Et nous ne devons pas oublier les défis que pose l’IA. La sécurité c’est de la technique mais aussi de la gouvernance.
