Arnaud Loubatière: [0:01] Donc, le collaborateur reçoit un message confidentiel de la part du PDG de l'entreprise. Il se connecte à une réunion de Teams où il voit le PDG de l'entreprise. Avec la voix du PDG de l'entreprise, il lui demandait d'effectuer un virement d'une vingtaine de millions de dollars. Et il l'a fait. Et au final, ce n'était pas le PDG de l'entreprise. C'était un deepfake. Monde Numérique : [0:29] Deepfake, phishing, ransomware. La cybercriminalité explose et en plus avec l'intelligence artificielle, ça ne s'arrange pas et on peut même dire qu'on entre dans une nouvelle ère. On l'a vu encore l'été dernier avec toute une série de cyberattaques qui se sont multipliées et souvent, c'est l'humain plus que la technique qui est ciblée. On va parler de ce phénomène dans ce numéro spécial de Monde Numérique en partenariat avec la société spécialisée SoSafe. Bonjour Arnaud Loubatière. Arnaud Loubatière: [0:56] Bonjour Jérôme. Monde Numérique : [0:58] Directeur Europe du Sud de SoSafe. Alors d'abord, en quelques mots, qu'est-ce que c'est SoSafe ? Arnaud Loubatière: [1:04] SoSafe, nous, on est un acteur européen de la sensibilisation à la cybersécurité. On a été créé il y a quelques années. Ce qui fait notre particularité, c'est que notre fondateur, c'est un docteur en psychologie. C'est ce qui fait vraiment la spécificité de notre structure. On a grossi avec les années, on est une société allemande. Aujourd'hui, on est un peu plus de 500 collaborateurs à travers l'Europe. principalement. On a ouvert les bureaux sur la partie Asie-Pacifique il y a quelques temps de ça. Et on va travailler sur plusieurs facteurs, notamment l'humain, en lui amenant de la formation, de la sensibilisation pour lui donner de la connaissance, en l'entraînant à repérer les attaques, mais également en l'accompagnant au jour le jour sur ses actes au quotidien et faire en sorte qu'il ait la bonne Arnaud Loubatière: [1:45] posture cyber pour sécuriser son entreprise. Monde Numérique : [1:48] Alors on va examiner tout ça parce que c'est vrai que c'est super intéressant de voir comment l'homme peut être abusé. Monde Numérique : [1:54] Vous publiez un rapport annuel sur la cybercriminalité chaque année, donc édition 2025. Vous faites le point sur les tendances du moment. C'est quoi les tendances du moment ? Arnaud Loubatière: [2:03] Les tendances du moment, j'ai envie de te dire, elles vont suivre les tendances de l'IA de manière générale. Pourquoi ? Parce que les cyberattaquants, ils vont suivre les mêmes tendances que ce que tu vas avoir dans le monde de la consommation normale. Donc, première tendance, c'est l'IA. L'IA, sur les deux côtés de la chaîne, il y a comme un vecteur d'attaque, c'est-à-dire qu'on va avoir beaucoup d'attaques qui vont être générées grâce à de l'intelligence artificielle. Monde Numérique : [2:27] C'est plus facile de fabriquer des messages sur mesure, des choses qui vont manipuler l'esprit. Arnaud Loubatière: [2:32] Avec un bon script, tu vas pouvoir trouver de l'information sur les réseaux sociaux, sur le web, et grâce à l'IA, tu vas pouvoir créer des chaînes de valeurs qui vont faire de l'email, du téléphone, voire du SMS, et qui vont être vraiment ciblées par rapport à l'utilisateur, que ce soit sur la vie personnelle ou la vie professionnelle. Ensuite, ce qu'on va avoir comme tendance aujourd'hui, c'est sur l'IA, c'est le fait d'avoir l'IA comme une surface d'attaque. Parce que quand on n'est pas formé à l'utilisation de l'intelligence artificielle, on a beaucoup de collaborateurs qui vont mettre des informations un petit peu sensibles, qui vont demander à ChatGPT ou à d'autres solutions qui ne sont pas forcément sécurisées. Et les cyberattaquants peuvent utiliser les informations derrière qui sont absorbées par les outils d'IA. Monde Numérique : [3:12] Il faut les récupérer quand même, ces informations. Arnaud Loubatière: [3:13] Il faut les récupérer, mais il y en a qui sont bons pour le faire. Une autre tendance qu'on va s'accélérer, ça, c'est les deux principales, c'est l'attaque de la chaîne d'approvisionnement pour les entreprises. C'est-à-dire que quand tu es une entreprise, notamment sur les gros groupes, on voit beaucoup de sécurisation, que ce soit sur le côté humain ou sur le côté du SI, des systèmes. Par contre, tout gros groupe va travailler avec des sous-traitants. Et en fait, c'est cette chaîne de sous-traitants qui a accès à des informations qui est de plus en plus ciblée. Parce qu'ils sont plus fragiles ? ils sont plus fragiles. On voit qu'il y a des divergences, en fait, d'un point de vue sécurisation, et c'est beaucoup plus simple, potentiellement, pour certains cyberattaquants qui sont bien renseignés, Arnaud Loubatière: [3:56] quand même, d'attaquer un fournisseur que d'attaquer la maison mère. Monde Numérique : [3:59] C'est quoi la pire attaque de 2025, Arnaud, selon toi ? Arnaud Loubatière: [4:03] Moi, celle qui m'a fait réagir d'un point de vue, conséquence, il y en a eu plusieurs, mais je vais t'en évoquer deux, et on y reviendra peut-être par la suite, c'est celle de Mark & Spencer. Je ne sais pas si tu en as entendu parler de celle-là. Monde Numérique : [4:17] Dans le lot, je n'ai pas forcément retenu celle-là. Arnaud Loubatière: [4:22] Moi, elle m'a marqué pour plusieurs raisons. Déjà, c'est le coût de la cyberattaque, le temps qu'elle a pris. En fait, cette cyberattaque, elle a reflété plusieurs éléments que nous, on voit dans la tendance. Première chose, la porte d'entrée, c'était la chaîne d'approvisionnement. Ça a été un sous-traitant. Ça a bloqué, en fait, le système de Mark & Spencer qui ne pouvaient plus faire de livraison. L'impact derrière, ça a été plus de 300 millions d'euros de chiffre d'affaires de perte et 4 mois pour s'en remettre. Donc, tu vois, c'est plusieurs secteurs. La chaîne d'approvisionnement, le temps, le coût que ça a eu à l'entreprise. Moi, celle-là, elle m'a marqué. Et ensuite, il y en a trois autres. Monde Numérique : [5:01] Et comment ça s'était passé, celle-là ? Le mode opératoire ? Arnaud Loubatière: [5:04] Le mode opératoire, en fait, ça a été le fait de trouver une faille dans l'accès de Market Spencer via un sous-traitant. En fait, ils ont exploité cette faille pour contourner les systèmes de paiement. Ce qui fait que les gens commandaient, mais l'argent n'allait plus chez Mark & Spencer. Et ensuite, ils ont bloqué le système de livraison. Et du coup, ça a bloqué le SI. Ils ont dû bloquer et mettre tout ça en conteneur pour ensuite ressegmenter et repouvoir le faire marcher par la suite. Monde Numérique : [5:34] Ça, c'était dans quelle région ? Arnaud Loubatière: [5:36] Ça, c'était sur l'Angleterre principalement. Monde Numérique : [5:37] L'Angleterre. Arnaud Loubatière: [5:38] Là où Market Spencer. C'était au global. C'était une attaque qui était au global. Market Spencer, on les connaît surtout aux Etats-Unis. Mais là où c'est impactant, c'est sur le fait que ce soit une entreprise grand public, qui va avoir des répercussions de l'humain. C'est-à-dire que les gens ne pouvaient Arnaud Loubatière: [5:55] plus faire leurs courses, etc. Toi, tu peux l'utiliser. Souvent, on parle de grosses entreprises, mais ça nous parle au moins. Quand on a parlé de France Travail avec Viveris, oui, France Travail, ça nous touche, mais Viveris, on connaît moins. Mark & Spencer, c'est un petit peu l'équivalent de Carrefour en France. Monde Numérique : [6:08] Oui, bien sûr. Arnaud Loubatière: [6:09] Donc, c'est là où ça a un impact. Et les gens, pour le business, ils ont mis plus de trois mois à pouvoir redémarrer leur business en ligne. Donc, une perte qui est colossale derrière. Monde Numérique : [6:18] Autre exemple frappant, tu allais dire, tu allais parler à trois ans. Arnaud Loubatière: [6:22] Moi, il y en a qui sont différentes, bien sûr, mais c'est le fait qu'on ait trois des quatre plus gros opérateurs télécom qui aient été touchés récemment. Monde Numérique : [6:30] Ah bah oui, cet été, Orange, Bouygues, SFR, Free. Arnaud Loubatière: [6:37] Même les quatre. Monde Numérique : [6:37] Free aussi, ouais, les quatre. Arnaud Loubatière: [6:38] Les quatre ont été... Orange, c'était un petit peu différent, mais les trois autres, on peut parler, en fait, de prise de data, au final, pour une grosse partie de leurs abonnés. Et en fait, là où elles sont un petit peu particulières, ces cyberattaques, c'est qu'au final, il y a très peu de conséquences économiques directes pour l'entreprise. Par contre, tu vas avoir des conséquences pour tous les utilisateurs. Parce qu'eux, les cyberattaquants... Monde Numérique : [7:04] Parce qu'on voulait leur donner leur nom, leur prénom, leurs IBAN dans certains cas. Arnaud Loubatière: [7:07] Leurs IBAN dans certains cas. Alors ça, on va dire que ça peut être facile à contrer à partir du moment où tu es averti. Par contre, derrière, ta donnée, elle est dans la aventure, où elle est sur le DAC-Oil. Et en fait, toutes ces données-là, indépendant des années, Elles vont pouvoir s'échanger et ces personnes-là vont être victimes sûrement Arnaud Loubatière: [7:25] de tentatives de fraude, d'usurpation d'identité, ce genre de choses-là. Et c'est là où c'est plus problématique, au final, pas forcément pour l'entreprise, mais pour l'utilisateur final. Monde Numérique : [7:36] Et en plus, ça peut s'étaler sur une très longue période. On sera peut-être victime dans six mois ou dans un an ou plus, sans même savoir qu'à l'origine, c'est un piratage de l'un de ses opérateurs. Arnaud Loubatière: [7:47] Exactement. Monde Numérique : [7:48] Et alors, pareil, est-ce qu'on sait un peu comment ça s'est passé ? Parce que là, c'est plus récent, c'est plus frais, ces attaques-là. Donc, on n'a pas toujours les explications. Arnaud Loubatière: [7:57] Là-dessus, moi, j'ai... Alors, c'était les dernières, notamment celles de Bouygues, c'était cet été. Malheureusement, c'était quand je partais en vacances. On n'a pas forcément toutes les informations a priori. Mais il semblerait que ce soit également dû à une problématique de chaîne d'approvisionnement. C'est-à-dire un sous-traitant, une faille via un sous-traitant qui ait pu laisser une porte d'entrée dérober. Monde Numérique : [8:18] Et alors, de plus en plus, et très souvent, ça passe donc par les gens, les collaborateurs, c'est ce qu'on appelle de l'ingénierie sociale, c'est de la manipulation mentale, on peut dire ça comme ça. Arnaud Loubatière: [8:29] C'est exactement ça, en fait. L'ingénierie sociale, c'est assez particulier, parce que l'objectif de l'ingénierie sociale pour un hacker, c'est de se dire, je vais travailler sur le côté psychique, le côté psychologique, pour faire en sorte que le collaborateur ou l'humain mène une action pour moi. Alors, ça va prendre différentes formes. On peut le voir d'un point de vue personnel sur... Moi, j'aime bien donner l'exemple de la livraison de colis. Si tu attends un colis par hasard, que tu reçois un SMS, eh bien, on a deux facteurs qui font que tu peux être porté à croire que ce qui est dit dans le SMS est vrai. Tu vas avoir la même chose dans l'entreprise. C'est-à-dire, ça va être sur un changement de document, ça va être sur un virement, ça va être sur quelque chose qui peut être encore différent, ça va être sur... On voit beaucoup de cas en ce moment avec des demandes de changement d'Iban. Imagine, tu es un service comptabilité, tu reçois un email d'un fournisseur qui te dit, on change d'Iban. et comment je vérifie que c'est la réalité. Et en fait, tout ça... Monde Numérique : [9:31] Ça paraît simple, pourtant. Ça paraît simple comme arnaque. Arnaud Loubatière: [9:34] C'est hyper simple. Monde Numérique : [9:36] Il faut changer l'Iban, on a changé. Arnaud Loubatière: [9:38] C'est hyper simple, mais maintenant, on a des technologies qui vont te permettre de cacher les emails. Donc, tu fais faire croire que tu as, je ne sais pas, la société X qui t'envoie, alors que c'est la société Y. Arnaud Loubatière: [9:48] Tu peux faire des faux Iban. Et tout ce genre d'informations-là est assez complexe à détecter. Donc, nous, ce qu'on fait, c'est qu'on permet aux collaborateurs de les former et en fait de leur donner quelques chips pour faire en sorte qu'ils arrivent potentiellement à détecter ce genre d'arnaque. Monde Numérique : [10:07] Avant de parler de ces chips pour se prémunir, comment est-ce que vous détectez, vous analysez dans les entreprises ce type de menace ? Vous arrivez à la quantifier ? Arnaud Loubatière: [10:19] C'est assez ce qu'on aime à dire ou ce qu'on voit. on va dire que sur l'ensemble des cyberattaques, tu as plusieurs études qui mettent ça. Tu as nous dans nos études, on fait des sondages auprès des entreprises. Tu as Verizon également qui sent un rapport chaque année. On aime à dire, alors c'est difficile de chiffrer, ça va être entre 60 et 80% des attaques qui vont viser l'humain en premier. Ou sur lequel tu as l'humain qui est part de la cyberattaque. Ça veut dire qu'il n'a pas forcément été ciblée à un instant T, mais une action humaine, et responsable de la cyberattaque dans 70% d'écran environ. Monde Numérique : [10:58] Ce qu'on dit, le maillon faible, c'est ce qu'il y a entre le clavier et la chaise. Arnaud Loubatière: [11:02] Nous, ce qu'on essaie de faire, j'aime pas trop cette expression parce qu'il y en a beaucoup qui le voient comme un maillot faible parce que l'humain, c'est assez difficile de travailler avec lui. On ne va pas cliquer sur un bouton pour lui faire prendre un automatisme. En fait, ça peut devenir une force. L'idée, c'est de transformer ton maillot faible en force pour que ce soit lui. Monde Numérique : [11:19] Que ce soit ta posture. En étant hypersensibilisé ? Arnaud Loubatière: [11:23] Hypersensibilisé, mais surtout en l'accompagnant. Parce que pour nous, pour que tu aies quelque chose de vertueux, ce qu'on s'aperçoit, c'est que déjà, tu es obligé de donner l'information, de donner de la connaissance. C'est hyper important que les personnes soient informées qu'est-ce un email de phishing, comment reconnaître, quelles sont les règles de sécurité dans ton entreprise, etc. Derrière, tu vas l'entraîner. Et c'est important d'entraîner les gens à reconnaître un email de sécurité. Sur Internet, tu tapes un email Outlook de Microsoft. Tu as des exemples qui sont très bien faits. Tu vois, entre un faux email et un vrai email, ça t'explique comment les faire. Nous, on a des techniques autres. Monde Numérique : [11:59] Comment on repère ? C'est encore avec l'adresse. Arnaud Loubatière: [12:02] Etc. Déjà, je peux te donner un exemple. Tu vois, les cyberattaquants, à la place d'un O, ils vont mettre un 0. À la place d'un L, ils vont mettre un I. Ça, c'est... Il faut arriver à le détecter, tu vois. Tu as des méthodologies pour le faire. Et puis derrière, ce qui est important, à mon avis, c'est un petit peu comme dans le sport. Moi, j'aime faire cette analogie-là. Tu vois, donner des techniques que tu vas enseigner, tu vas entraîner. mais après, il faut un coach. C'est ça, en fait, qui va les aider. Nous, on a développé quelque chose à travers l'IA, un cyberaccompagnant, et c'est lui qui va être une posture, qui va aider le collaborateur à avoir une bonne posture cyber au quotidien, parce qu'il va être là pour pouvoir l'aider, il va être là pour pouvoir répondre à ses questions. Et au final, des fois, les collaborateurs, ils ont peur de te poser une question, parce que, tu vois, ça peut faire passer la personne pour être nul ou quoi que ce soit. Monde Numérique : [12:50] Tandis qu'à l'IA, on a moins de scopules. Arnaud Loubatière: [12:52] Exactement. Tu poses la question et au moment où tu as une réponse, c'était... Monde Numérique : [12:56] Ce qui veut dire qu'aujourd'hui, finalement, les entreprises, mais aussi les particuliers, tous les systèmes informatiques sont relativement bien protégés d'un point de vue technique. Il y a beaucoup d'outils, de barrières, de firewall, de détecteurs de spam, de virus, etc. Mais, et c'est pour ça d'ailleurs que les pirates s'en prennent aux humains qui restent, malgré tout, on va dire quand même le maillon faible dans l'histoire. Arnaud Loubatière: [13:20] Il reste le maillot faible et en fait, c'est plus simple à attaquer. C'est pour ça qu'on voit de plus en plus... Enfin, on continue à voir ces attaques au niveau de l'humain. Tu as eu l'avènement de l'intelligence artificielle, comme on le disait au début. Ça a vraiment aidé à... Alors, je n'aime pas trop ce mot, mais c'est une réalité. C'est le fait de dire, ça démocratise en fait la capacité à... Monde Numérique : [13:42] De nuisance. Arnaud Loubatière: [13:43] Exactement. Et en fait, ça a facilité, au final, vu qu'on a des systèmes qui sont de plus en plus perfectionnés, de plus en plus sécurisés, un travail de masse alimenté par l'IA, c'est un petit peu comme aller à la pêche gros. Tu jettes un gros filet, tu as beaucoup de poissons qui vont passer à travers, mais il suffit que tu en touches un ou deux et surtout que tu touches le bon pour que ça passe. et pour que tu sois gagnant dans cette histoire. Monde Numérique : [14:06] Et puis en plus, c'est complètement multicanal. C'est-à-dire que ça peut être du mail, du SMS. Est-ce qu'il y a d'autres canaux même qui sont exploités aujourd'hui par les cybercriminels ? Arnaud Loubatière: [14:14] Oui, il y en a beaucoup. Alors, tu vois, le mail, le SMS, c'est le plus connu. C'est le plus simple à utiliser. Monde Numérique : [14:21] On peut citer notamment, pardon, le SMS ces derniers mois. C'était le « Vous êtes chez vous ». On reçoit un SMS. « Vous êtes chez vous ». Et puis là, c'est pour engager la conversation, soit une pseudo-livraison, etc. Arnaud Loubatière: [14:33] Celui-là, il marche super bien. Tu le vois d'ailleurs en fonction des réponses que tu fais. Tu vois que c'est une IA qui est derrière parce que ça ne te répond pas forcément. Elle n'est pas très bien entraînée, mais ça ne te répond pas forcément de la bonne manière. Donc, SMS, email. J'ai envie de dire, c'est un peu particulier, mais l'email pour le professionnel, l'SMS pour le particulier. Tu vois, sur le B2B, l'email, sur le B2C, le SMS. Et après, tu vas avoir d'autres angles. Tu as les outils de messagerie au sens large du terme. WhatsApp. Teams, Slack, qui peuvent être des vecteurs. Donc, tu vois, tout ce qui va être... Monde Numérique : [15:07] Ils peuvent être aussi vérolés. Arnaud Loubatière: [15:10] Si tu as... Je te donne un exemple. Ça a été... On avait fait une conférence la dernière fois. Tu avais une personne d'un grand groupe hôtelier, une directrice générale, qui s'était fait voler sa photo WhatsApp de son compte perso. Il avait écrit à notre compte. Je ne fais pas attention... Tu vois la photo, c'était déjà général, t'as pas forcément son numéro perso. Monde Numérique : [15:35] Bien sûr. Ça s'est même passé à de très hauts niveaux. C'était pas du piratage, mais aux Etats-Unis, avec cette fameuse réunion WhatsApp où s'est retrouvé un journaliste pour des choses complètement confidentielles. C'était pas du piratage. Arnaud Loubatière: [15:47] C'était une erreur. C'est là où je te dis, le facteur humain est hyper important. Une erreur peut avoir des conséquences dramatiques. Monde Numérique : [15:56] Est-ce qu'il y a des tendances Conjoncturelles et d'actualité Est-ce que l'actualité est un élément Je ne sais pas Les grandes périodes de fêtes Les périodes de promotion, Black Friday Tu vas. Arnaud Loubatière: [16:16] Avoir des tendances En fonction de la saisonnalité Notamment plus sur. Monde Numérique : [16:20] Le B2C Le. Arnaud Loubatière: [16:23] Saisonnalité ça va être plus sur l'individu en tant que tel que sur. Monde Numérique : [16:26] L'entreprise. Arnaud Loubatière: [16:27] Tout ce qui va être Black Friday, etc. Je suis sûr qu'on va avoir une augmentation du nombre de textos pour de la livraison qui va être très classique. Les fêtes, c'est pareil, les fausses promotions, ce genre de choses-là. Sur l'entreprise, on voit que c'est assez stable, en fait. Ça va être de plus en plus précis, ça va être sur des sujets de plus en plus techniques. Ce que je veux dire, sur des sujets de plus en plus techniques, on va avoir de moins en moins d'approches de masse sur des tentatives de phishing. Et on va revoir des cyberattaquants qui auront fait des meilleures recherches. Pourquoi ? Parce que le gain est plus gros. Au final, tu vois, toutes les attaques que tu vas avoir sur du particulier, on va essayer de te gratter quoi ? 3, 4, 5 euros pour une livraison. Généralement, ce n'est pas des gros montants, mais qui font de la masse. Sur une entreprise, dès que tu commences à taper dedans, au final, si tu arrives à bloquer une entreprise, tu peux très rapidement, grâce à un ransomware, demander des grosses sommes d'argent et c'est beaucoup plus rentable. Donc, les collaborateurs sont beaucoup plus ciblés par des cyberattaquants sur des scénarios bien spécifiques. Monde Numérique : [17:30] Alors, il y a un chiffre que j'avais noté, c'est que moins d'un quart des entreprises seraient capables de détecter une cyberattaque assistée par intelligence artificielle. Donc, ça montre bien l'ampleur du problème. Arnaud Loubatière: [17:42] Ça montre bien l'ampleur du problème et en fait, c'est en adéquation avec la vitesse dont l'économie va. C'est-à-dire que tu vas avoir des entreprises qui vont être hyper sécurisées parce qu'elles sont ce qu'on appelle du security by design. C'est-à-dire qu'elles sont mythos, elles sont sur des scénarios qui sont plutôt avancés là-dessus. Et à contrario, tu vas avoir des structures généralement. Je fais une généralisation, ce n'est pas toujours le cas. Arnaud Loubatière: [18:10] Mais on va dire que les grosses structures sont plutôt bien sécurisées. Et en fait, plus tu vas aller sur la chaîne de traitance, plus tu vas avoir des problématiques. Pourquoi ? Parce que tu as des raisons de coûts. Tu as des raisons de ressources aussi. Parce qu'on parle de coût logiciel, il faut penser aux ressources qu'on va avoir en interne. Une personne qui est dédiée à la cybersécurité, pour sécuriser tout le SI, pour accompagner les collaborateurs dans la sécurisation et dans leur développement de compétences, ça a un coût et tout le monde ne peut pas aujourd'hui le faire. Donc tu vois, il y a des priorisations qui sont faites. Et justement, par rapport à l'IA, il y a de plus en plus de solutions, heureusement aujourd'hui sur le marché qui vont permettre d'accompagner les entreprises là-dessus. Monde Numérique : [18:51] On a l'impression qu'en plus, il y a beaucoup de cyberattaques, on l'a un petit peu évoqué au début, qui ne font pas de bruit, qui sont un peu silencieuses. Mais quand elles marchent, c'est plus tard qu'on va en payer le prix. Arnaud Loubatière: [19:02] Le meilleur exemple, tu vois, on en a parlé tout à l'heure, c'est quand même les opérateurs. Pourquoi ? Parce qu'elles, oui, ça fait le buzz sur le moment. Mais au final, on en a parlé, on n'en parle plus aujourd'hui. Monde Numérique : [19:13] Mais ça, on ne peut pas tracer, on ne peut pas savoir, ce qui va se passer ou arriver à se prémunir ensuite pour ça. Arnaud Loubatière: [19:24] Exactement, c'est là où c'est dangereux et c'est là où ces cyberattaques sont hyper impactantes, notamment pour les utilisateurs de ces solutions ou alors les clients finaux. C'est-à-dire que toutes les personnes qui ont été volées, qui ont été dupées, ou les identités ont été prises par des cyberattaquants, ça se retrouve sur le DAG Web et c'est là où on a un effet à long terme et c'est là où c'est insinueux. C'est-à-dire qu'on n'a pas d'effet « waouh ». Je me rappelle, ce n'était pas une cyberattaque, mais je vais faire en parallèle si tu me le permets. Il y a deux ans ou un an, on a eu le crash sur la mise à jour de Cross-Strike. Je te rappelle, il y avait des aéroports qui avaient été bloqués pendant 24 heures. Tu vois, les gens avaient été impactés à ce moment-là. Tu ne pouvais pas prendre ton avion ou quoi que ce soit. Il y a dix jours, une semaine, il y a Euro-Information qui fait la gestion de paiement pour la Société Générale, si je ne te dis pas de bêtises, et d'autres entités bancaires, qui a eu un bug pendant une heure et demie. Pendant une heure et demie, les magasins ne pouvaient pas prendre de paiement. Tu te rappelles de ça ? Ça, c'est un impact. Ce n'est pas des cyberattaques. Monde Numérique : [20:30] C'est du concret. Arnaud Loubatière: [20:31] Mais ça, c'est du concret. Ça parle aux gens. Au final, un vol de données, ça ne parle pas aux gens sur le début, mais l'impact, il arrive après. Alors que là, les exemples que je te donnais, même si ce ne sont pas des cyberattaques, ça a un impact dès le début. Monde Numérique : [20:45] Est-ce que ça augmente ou ça diminue ? Est-ce qu'on devient plus prudent ou bien on est de plus en plus crédule ou surtout que les attaques sont de plus en plus nombreuses ? Arnaud Loubatière: [20:57] J'ai envie de te dire, on devient de plus en plus prudent, mais il faut faire toujours attention au contexte. Le contexte est hyper important. Je vais te donner un exemple très concret en entreprise. Tu es un salarié. Tu as une discussion avec ton manager concernant une promotion. Et deux jours après, tu reçois un e-mail d'une solution de signature électronique, pour ne pas citer de nom, que ce soit DocuSign, Usign ou quoi que ce soit, qui te dit nouveau complan à jour ou quelque chose comme ça. Tu peux y aller rapidement parce que tu as eu cette discussion avant. Autant c'est une cyberattaque. En fait, c'est le contexte. Les gens font attention. sauf que si tu arrives au bon endroit au bon moment. Monde Numérique : [21:42] Mais ça c'est du hasard, on est d'accord. Arnaud Loubatière: [21:44] C'est du hasard mais c'est de la masse en fait. Il y avait un SMS qui tournait il y a quelques mois tu sais sur le papa, j'ai perdu mon téléphone tu l'as connu celui-là ? Et franchement, tes parents, tes papa, tes maman, tu reçois ce genre de texte-là, tu peux être prêté en confusion malgré le fait qu'au final ça reste une cyberattaque. Tout dépend du contexte, tout le temps. C'est pour ça qu'il faut être en vigilance permanente. Monde Numérique : [22:08] Oui, c'est quand on a le malheur de se trouver à une conjonction d'événements, en fait. C'est quelque chose qui est réel, qui nous concerne. Et paf, on a un input qui arrive et qui correspond. Arnaud Loubatière: [22:20] C'est exactement là où elles se produisent le plus souvent. Monde Numérique : [22:23] C'est terrible. Alors, sur la prudence, on a l'impression quand même qu'on devient tous un peu plus méfiant, un peu plus prudent. Et du coup, est-ce que ça n'occasionne pas un effet inverse, une espèce d'hyper prudence ? Et on voit des faux positifs partout. Enfin, on voit des fausses attaques partout. Arnaud Loubatière: [22:41] Oui, alors c'est une tendance qu'on a chez certains clients. Monde Numérique : [22:43] On voit des vraies attaques qui, en fait, n'en sont pas, ça que je voulais dire. Arnaud Loubatière: [22:47] Oui, on le voit chez certains clients. L'hyper méfiance, en fait, ça ralentit. Ça ralentit, ça peut ralentir la productivité. Tu vas penser chaque fois que tu vas reporter des emails. Tu ne vas pas répondre parce que tu vas avoir peur. Alors, tu as des outils. Nous, typiquement, on a un outil, ce que je te disais, d'accompagnement du collaborateur. sur la boîte mail qui va te permettre de donner une première analyse, pour ne pas surcharger les équipes. Monde Numérique : [23:10] Qui nous indique si ce mail est suspicieux ou pas. Arnaud Loubatière: [23:14] Exactement, ça va checker les expéditeurs, les URL de redirection, la syntaxe, les fautes d'orthographe, et ça va te dire l'expéditeur a l'air... Typiquement, l'adresse de l'envoyeur et l'adresse de réponse ne sont pas les mêmes. Ça, c'est un red flag. Donc ça, on va être capable de le détecter, et on va le dire à l'utilisateur. Donc, ça va... Ça va leur permettre, tu as des solutions aujourd'hui sur le marché qui vont leur permettre de pouvoir auto-juger, grâce à de l'intelligence artificielle justement, quelles sont les bonnes choses, quels sont les bons emails et justement reporter que les vraies malitions. Monde Numérique : [23:49] Mais alors, il y a beaucoup de logiciels de messagerie tout simplement qui sont entraînés aussi pour détecter les spams ou les scams éventuels. Mais on sent que là, il y a beaucoup de faux positifs. Arnaud Loubatière: [24:01] Il y aura toujours des faux positifs. tu as des solutions qui vont traiter 95%, 96% des emails, qui vont me bloquer de la bonne manière. Mais après, derrière, sur ces 4%-là, tu as d'autres solutions qui vont aller un petit peu plus dans le détail et tu as le bon sens du collaborateur. D'où l'importance d'avoir une bonne formation et d'avoir un bon entraînement en avance. Monde Numérique : [24:21] Est-ce que vous êtes partisan, par exemple, chez SoSafe, de ce qu'on appelle le zéro trust ? Arnaud Loubatière: [24:27] Chez SoSafe, c'est une belle avancée. Monde Numérique : [24:31] Il faut peut-être rappeler un petit peu ce que c'est. Arnaud Loubatière: [24:33] Ouais, alors le Zero Trust, c'est du security par design, c'est-à-dire que... Monde Numérique : [24:38] On part du principe que tout est douteux, en fait. Arnaud Loubatière: [24:41] Tout est suspicieux, tout est douteux, alors que jusqu'à présent, on se disait à partir du moment où le terminal fait partie de la flotte de l'entreprise, c'est bon, on est sécure. Ça a du bon. Moi, franchement, je trouve que ça a du bon. la seule méfiance que je vais avoir dessus, c'est pas une méfiance, c'est parfois ça peut ralentir en fait l'innovation et la productivité. Je vais te donner un exemple, si tu es sur du Zero Trust, tu as des produits, tu as des solutions, qui vont être, qui vont pouvoir potentiellement être apportées par des entreprises ou par des startups qui vont avoir du mal à se développer. Pourquoi ? Parce que c'est du security par design et au final ça va être du travail qui va être fait en dehors de toutes les règles qui peuvent apporter du risque pour l'entreprise. C'est-à-dire que le Zero Trust, il est bien, mais il faut toujours avoir un contrôle. Il faut que les équipes du RSSI ou des responsables de sécurité de l'entreprise, aient vraiment une relation de confiance avec leurs collaborateurs pour des essais de solutions. Parce qu'il ne faut pas qu'il y ait des choses qui se fassent en dehors. Il est là, le risque. Monde Numérique : [25:51] Donc, on voit à quel point il est difficile. Et c'est un vrai tonneau d'edanaïde, en fait, cette histoire-là. Il faut en permanence essayer d'améliorer les choses. Monde Numérique : [26:03] Ce qui est intéressant aussi dans ce que tu dis, c'est qu'on comprend bien que c'est autant les entreprises que les particuliers qui sont visées. Chez les particuliers, est-ce que les enfants deviennent une cible particulière aussi ? Arnaud Loubatière: [26:17] Elles deviennent une cible particulière, mais j'ai envie de te dire, elles sont une cible déjà d'une autre manière. C'est-à-dire que tu as tous les grands acteurs de la tech américaine et qui utilisent nos enfants comme des produits. Il faut toujours se rappeler que tout ce qui est free est gratuit. Donc, au final, les enfants sont des cibles, surtout des vecteurs d'attaque. C'est-à-dire que, notamment dans le monde de l'entreprise, tu es un PDG, tu as tes enfants sur les réseaux sociaux, un bon hacker qui te fait un faux profil, qui contacte son père pour avoir des infos, ce genre de choses-là, ça peut être des vrais soucis. Alors, ils ne vont pas être directement la cible de cyberattaque. On n'a pas vu trop cette tendance pour l'instant. Par contre, on voit que c'est des vecteurs de cyberattaque. Monde Numérique : [27:05] Il y a une chose dont on n'a pas parlé, Arnaud, c'est les attaques vocales par téléphone. On sait qu'il y a aujourd'hui, qui permet de cloner des voix avec des résultats spectaculaires. est-ce que c'est un phénomène véritablement significatif en entreprise ? Arnaud Loubatière: [27:19] Oui, on le voit. On le voit sur des populations de sea level. Le meilleur exemple, c'est ce qui s'est passé. Monde Numérique : [27:24] Les dirigeants ? Arnaud Loubatière: [27:25] Oui, les dirigeants, les dirigeants d'entreprise. On va dire que les dirigeants d'entreprise sont les personnages qui sont pris, Et les cibles vont être des deuxièmes lignes ou troisièmes lignes. Je vais te donner un exemple très concret qui s'est passé, je pense que vous en avez entendu parler, à Hong Kong il y a neuf mois. Mais il faut le rappeler parce qu'il est assez incroyable. C'est plus que de la voix, c'est de la vidéo. Donc le collaborateur reçoit un message confidentiel de la part du PDG de l'entreprise. Il se connecte à une réunion de Teams où il voit le PDG de l'entreprise avec la voix du PDG de l'entreprise, je lui ai demandé d'effectuer un virement d'une vingtaine de millions de dollars, à peu près. Et il l'a fait. Et au final, ce n'était pas le PDG de l'entreprise. C'était un deepfake. C'était un deepfake. Donc, tu vas avoir ça avec la voix qui se fait de plus en plus. Monde Numérique : [28:20] Mais ça paraît, j'allais dire, ça paraît facile à contourner. Après, techniquement, il suffit peut-être qu'il y ait des process de validation et autres. Mais c'est vrai que la dimension humaine est super importante parce que, j'imagine, il y a une relation privilégiée, de confiance. On ne va pas remettre en question ce que nous dit notre PDG en face à face. Arnaud Loubatière: [28:42] Tu sais, il y a un truc qui se dit dans le milieu des ciseaux, qui est, avant, on te disait, il y a quelques années, on te disait, si tu veux être sûr, tu utilises le deuxième facteur. Le deuxième facteur, c'est que tu reçois quelque chose, une info, tu passes un coup de téléphone. Monde Numérique : [28:58] Oui, bien sûr. Arnaud Loubatière: [28:58] Maintenant, ça ne suffit plus. Maintenant, il te faut trois facteurs. Tu passes un coup de téléphone et tu vérifies derrière grâce à quelque chose. Alors, ça peut être des codes, ça peut être des process. Comme tu dis, tu vois, une double validation dans les entreprises. Maintenant, ça se fait beaucoup pour des virements de telle ou telle somme. Tu dois avoir deux approuvals pour être sûr que ce soit bon. Et c'est la seule manière aujourd'hui de contourner ça. Après, c'est quand même très spécifique. Tu vois, les deepfakes et les vichings, ça se fait vraiment sur les populations de haut niveau qui sont clonées pour des gros montants. Monde Numérique : [29:36] Ce n'est pas industrialisé. Arnaud Loubatière: [29:38] C'est très ciblé. Monde Numérique : [29:39] C'est très ciblé, oui. Mais le viching, c'est-à-dire avec la voix, c'est ça ? Arnaud Loubatière: [29:43] Oui, le viching et la voix. Monde Numérique : [29:44] Il y a des particuliers aussi qui ont été... Arnaud Loubatière: [29:45] Il y a des particuliers qui l'ont été. Monde Numérique : [29:47] Il y avait le cas de cette mère de famille qui avait reçu un appel de sa fille en détresse, etc. Et en fait, c'était complètement faux. Arnaud Loubatière: [29:53] Et c'était complètement faux. Quand je te disais ça, quand je dis que c'est très ciblé, ce n'est pas quelque chose qui est reproductible en masse. Donc c'est pour ça que c'est assez difficile à cibler. Il faut toujours se poser la question de la double vérification. Je peux te donner dix exemples de ce type-là de situations qui sont passées dans nos entourages à nous, parce que tu connais toujours quelqu'un qui a eu ce type de problématique, et où la vérification, juste via un autre canal, a permis d'éviter la catastrophe. Monde Numérique : [30:25] Arnaud, on arrive à la fin de cette interview encore une question sur qu'est-ce qu'on peut faire, on voit qu'il y a des solutions techniques on voit qu'il y a des solutions d'accompagnement etc, tout passe par la sensibilisation est-ce qu'on en fait assez en matière de sensibilisation y compris du côté des pouvoirs publics ? Arnaud Loubatière: [30:44] On essaye est-ce qu'on en fait assez ? Ça c'est assez compliqué il y a des nouvelles régulations qui sont rentrées en jeu elles ne sont pas totalement rentrées en jeu au final, tu as Dora, tu as Nice 2 qui sont rentrées en jeu justement pour faire en sorte de donner un cadre réglementaire justement pour donner une posture cybersécurité, aux industries les plus à risque on n'en fera jamais assez aujourd'hui, ça c'est le postulat, On ne peut pas considérer que quand on travaille sur l'humain, one shot, c'est fini. On ne peut pas dire, je te donne une formation et mes collaborateurs sont formés. En fait, c'est un travail du long terme, de la répétition, du jeu. C'est des techniques d'apprentissage. Monde Numérique : [31:29] Il faut qu'il y ait une sensibilisation aussi en entreprise. Arnaud Loubatière: [31:30] Il faut que tout le monde joue le jeu. Monde Numérique : [31:32] Est-ce que c'est une obsession dans la tête de tous les dirigeants aujourd'hui, comme ça devrait l'être ? Arnaud Loubatière: [31:37] Pas forcément. Pas forcément. On sent qu'il y a certaines... C'est toujours pareil. Tant que ça ne t'est pas arrivé, c'est un peu comme ton assurance. Tant que tu n'as pas eu d'accident avec ta voiture, ou tant que tu n'as pas eu ta maison qui a brûlé ou qui a eu une problématique, ton assurance, ça ne te sert pas à grand-chose. Monde Numérique : [31:52] Après, il y a des questions de mentalité. Il y a des gens, même s'ils ne leur Monde Numérique : [31:55] ont rien arrivé, qui ont besoin d'être blindés de partout au niveau assurance. Arnaud Loubatière: [31:58] Sécurité et autres. Et ceux-là, ils le sont. Tu vois, la sensibilisation, tu as des gens qui jouent le jeu, tu as des très bons exemples dans l'industrie, mais il y en a d'autres, c'est vrai, qui pensent que l'humain, comme tu le disais tout à l'heure, ça reste la problématique, c'est le maillon faible. Alors que si tu amènes des bonnes formations, si tu es répétitif et si ton entreprise a une posture cyber par rapport à ça, tu peux faire en sorte que ça devienne ton maillon fort. Et même lui est capable de te détecter des choses que n'auront pas détecté tes firewalls, tes antivirus. Monde Numérique : [32:26] Ce sera le mot de la fin. Donc, il reste de l'espoir, c'est ça ? Arnaud Loubatière: [32:30] Il y a de l'espoir, il faut toujours avoir de l'espoir. Monde Numérique : [32:32] Merci beaucoup Arnaud Loubatière, directeur Europe du Sud de l'entreprise SoSafe. Arnaud Loubatière: [32:38] Merci Jérôme.