Lancé en novembre 2022, l’EDIH (European Digitial Innovation Hub) Bretagne, dont BDI est l’un des 9 membres du consortium, permet aux collectivités publiques et aux entreprises de type PME/PMI/ETI (Maritime – Agro/Agri – Numérique – Santé – Industrie) d’amorcer leur transition vers un numérique plus sûr. Dans ce programme, trois diagnostics sont proposés pour mesurer et effectuer un état des lieux en matière de transformation digitale, d’intelligence artificielle (IA) et de cybersécurité. À travers une série d’interviews, nous revenons en détail sur chacun de ces diagnostics mais aujourd’hui, pleins phares sur la cybersécurité et son programme d’accompagnement sous la responsabilité du Pôle d’excellence cyber avec Olivier Gouin, chef de programme EDIH.
Pouvez-vous rappeler ce qu’est le Pôle d’excellence cyber ?
Créé sous l’égide du Ministère des Armées et de la Région Bretagne, le Pôle d’excellence cyber a pour objectif de développer l‘écosystème de la cybersécurité, avec une vocation régionale, nationale, européenne et internationale. Le Pôle d’excellence cyber associe des acteurs civils et militaires, publics et privés, académiques et industriels en matière de recherche, de formation et de développement industriel. Réunis à travers le Pôle d’excellence cyber, ces trois domaines forment un écosystème complet pour structurer la filière. Aujourd’hui, le Pôle compte plus d’une centaine de membres.
Quelles sont les missions du Pôle d’excellence cyber au sein de l’EDIH ?
Nous avons plusieurs rôles et contributions. Tout d’abord pour la dimension cyber du programme, nous sommes porteurs de la phase de diagnostic et d’accompagnement vers une maturité cyber. Pour mener à bien cet accompagnement, les clients peuvent, d’une part, tester des solutions sur-mesure avant d’investir. Cette partie “test before invest” intègre les offres de services des membres du consortium suivants : l’IRT b<>com, Biotech Santé Bretagne et ses affiliés : HUGO, Cowork Hit, Kereval, TeraLab et le Pôle d’excellence cyber. D’autre part, le Pôle d’excellence cyber propose l’écosystème de la cybersécurité à travers un catalogue d’offres de solutions et de prestations : “CyberLab”. Il s’agit de recommander des solutions de remédiation post-diagnostic, qui correspondent à la feuille de route coconstruite avec le client. L’ensemble de ces solutions sont regroupées sous un « Work Package » (lot) piloté par le Pôle d’excellence cyber.
Réaliser un état des lieux de la sécurité des systèmes d’information
Pouvez-vous donner une définition de ce diagnostic cybersécurité ?
Nous avons nommé ce diagnostic PACTE pour : Programme d’Accompagnement pour la Cyber-résilience des Territoires et des Entreprises. Il ne s’agit pas de mener un audit mais de réaliser un état des lieux de la sécurité du système d’information et de la cybersécurité. Nous nous appuyons sur des référentiels et normes en vigueur tels que : l’ISO 27000, les recommandations de l’ANSSI (Agence nationale de la Sécurité des Systèmes d’Information) et le référentiel de la DGA (Direction Générale des Armées).
Quelles sont les étapes du diagnostic ?
PACTE se déroule en quatre phases. D’abord, nous menons une étape préparatoire de prise d’informations, d’éléments de contexte et de cartographie. Ensuite, nous nous déplaçons chez le client pour mener des entretiens qui comportent actuellement 160 questions. Elles portent sur des aspects tant organisationnels que techniques. En parallèle, nous lançons durant plusieurs semaines un test de vulnérabilité externe de leur surface d’attaque. Nous effectuons cette opération (automatique et manuelle) dans une démarche d’Ethical Hacking. Précision, nous n’opérons pas à ce stade de pen-test. Pendant ce laps de temps, nous analysons les réponses collectées et les éléments détectés dans le cadre de l’analyse de vulnérabilité.
La dernière phase constitue le temps de la restitution. Nous challengeons, de nouveau, le client sur un certain nombre de sujets en fonction des failles détectées ou de non-conformités. Nous remettons un rapport circonstancié et documenté. Nous y retrouvons une feuille de route standardisée avec des préconisations à mettre en place.
C’est à cet instant que nous entrons et basculons dans la phase d’accompagnement du programme avec la coconstruction d’une feuille de route personnalisée, adaptée à l’environnement et aux exigences du client.
L’accompagnement, enjeu essentiel du programme EDIH Bretagne
L’EDIH laisse une large place à l’accompagnement, cette phase est donc la plus importante ?
Effectivement, le diagnostic n’est qu’une étape qui amène vers l’enjeu essentiel du programme EDIH, à savoir l’accompagnement vers une maturité cyber.
Aujourd’hui nous avons réalisé les premiers diagnostics et validé la pertinence de notre outil et de notre méthode. Cette approche pratique et réaliste permet de prendre des mesures efficaces et efficientes qui correspondent aux besoins spécifiques de l’organisation tout en tenant compte des ressources disponibles, des priorités, d’une planification propre de sa capacité d’investissement, ou de son besoin de certification.
Cet accompagnement est alimenté par les membres du consortium qui apportent leurs compétences au travers un catalogue d’offres de services. Ces solutions de remédiation sont complétées à l’aide d’un référentiel de prestations que nous recommandons (CyberLab). Il vient enrichir la palette des services qui pourrait être exigés comme par exemple : des problématiques liées à la gestion de crise, aux plans de continuité d’activité ou aux tests d’intrusion.
Dans le cas spécifique d’un besoin de certification, il est nécessaire de se tourner vers un prestataire capable de mettre en place la certification idoine pour le client. Ceci se fera également à travers ce catalogue.
Pour quelles raisons la cybersécurité fait partie intégrante de l’EDIH ?
La sécurité de l’information, capitale en matière de compétitivité, est à l’origine même de l’EDIH. La cybersécurité n’est pas uniquement un risque de rançongiciel, de virus malveillant ou de cybercriminalité, c’est également un enjeu de compétitivité des entreprises, de préservation de ses actifs et de ses savoir-faire face à l’espionnage industriel et à l’intelligence économique.
De même, les établissements publics doivent préserver les informations et données de leurs patients ou administrés afin de préserver leur confiance tout en assurant leurs services.
Il est à noter que tous les EDIHs de France n’intègrent pas cette branche cybersécurité. C’est pourquoi celui de la Bretagne a vocation à les irriguer en matière de sécurité de l’information et de la protection des systèmes d’information en valorisant l’écosystème breton et son savoir au niveau national et européen.
Comment est perçu le programme EDIH au sein du Pôle d’excellence cyber ?
Le Pôle d’excellence cyber est totalement mobilisé et impliqué dans le succès de ce programme. En étant partie prenante du programme EDIH Bretagne, nous devenons opérateur. C’est évidemment une dimension nouvelle au regard des missions historiques du Pôle d’excellence cyber. Nos atouts et notre vision du domaine nous permettent d’être un acteur majeur et souverain qui concoure à l’élévation de la maturité de la cybersécurité des territoires et des entreprises .
Contact :
Thomas Laine