Présentation et retour sur le Forum InCyber 2026
@cyber-esr
Posted 1d ago · 9 min read
As my focus is on the french ecosystem, I will post in French. Feel free to use your favorite translation tool to read it in other languages.
Ce compte servira à présenter une veille sur les sujets de cybersécurité centrée sur les besoins du monde de l'enseignement supérieur et de la recherche en France. Je suis @pboulet et j'occupe la fonction de chargé de mission au Ministère de l'Enseignement Supérieur, de la Recherche et de l'Espace français. Ce compte, bien que lié à cette mission, est personnel et n'engage en rien le ministère.
Pour inaugurer cette veille, voici ce que je retiens de ma visite au Forum InCyber Europe qui a eu lieu au début du mois d'avril à Lille.
ID forum
Tous les ans se tient une session dédié aux questions d'identité numérique (l'ID forum), sujet d'actualité avec le règlement sur l'identité numérique européen (EUDI/eIDASv2). J'y ai passé la journée et voici ce que j'en retiens.
- L'idée de majorité numérique à 15 ans progresse en Europe (projet de loi en cours de discussion à l'Assemblée). L'ANTS se positionne en animateur de l'écosystème technique et propose de transférer la preuve d'âge à d'autres wallets à partir de France Identité. Les solutions techniques sont attendues en septembre.
- Cas d'usages du projet européen Aptitude : documents de voyage (compagnies aériennes, contrôles aux frontières, enregistrement à l'hôtel), paiement (appli bancaire n'est plus la source de l'identité).
- Feuille de route FI priorité les jeunes : preuve d'âge et cas d'usages étudiants. Libération du code pour transparence et confiance avant fin 2026.
- L'adoption de l'identité numérique est extrêmement variable dans le monde. Les standards européens ont une forte influence, mais ne sont pas tout à fait secs. Dans les pays du sud, la signature est le plus important, pas le véhicule (wallets). La disponibilité d'attestations est ce qui permettra la démultiplication des usages. Défis : comment déléguer son ID (à un agent IA ou autre), le déploiement wallets entreprise, l'inclusion des gens qui n'ont pas de wallets, la finalisation des standards d'interopérabilité, l'accélération des cas d'usages.
- EUDI Wallets : regarder AMLR règlement (antiblanchiment d'argent) qui arrive en août 2027. Plus de 200 standards techniques qui en référencent plusieurs milliers. Les services vont arriver très progressivement. Tout le monde doit se préparer ! Temps de déploiement de l'ordre de 5 ans.
- Lutte contre la fraude : l'ordre de grandeur de l'impact des escroqueries en ligne est de 442 G€/an, comparable à celui du narcotrafic. Les escroqueries en ligne devient le cœur volumétrique de la criminalité. Il y a un aspect massif et universel de la menace car elles offrent un meilleur ROI : investissements, fraude au président…, arnaques aux sentiments ; et le risque est plus faible. Les attaquants manipulent la réalité par l'ingénierie sociale (exploitation des fuites de données personnelles massives), ils n'attaquent plus les firewalls.
Plénière gouvernance du forum InCyber
L'ANSSI s'inquiète du décalage entre un monde géopolitique qui se durcit et un monde numérique qui n'est pas à la hauteur de ce durcissement. La révision du Cybersecurity Act n'oublie pas les risques non techniques (dépendance à des lois extra-territoriales par exemple), c'est le début d'une discussion européenne structurée. Le Cyber Resilence Act va aider aussi avec la cyber par design. Il y a un objectif partagé de souveraineté européenne d'abord dans la cybersécurité. Le Campus Cyber est là pour ça.
Quelques points de vigilance généraux :
- Il faut bien réfléchir à comment implémenter les exigences, de manière adaptée au contexte.
- Il y a besoin de flexibilité et d'adaptabilité pour réagir aux évolutions des menaces.
- Il faut associer les métiers, investir, travailler en réseau SSI, DSI, DPO, métiers.
- Sujet essentiel de la chaîne d'approvisionnement logicielle (SBOM, accompagnement).
- 40 min entre publication faille et exploitation => besoin de pouvoir patcher très rapidement.
- L'indice de résilience numérique permet de communiquer avec la direction (cartographie des dépendances).
« La cybersécurité est le frein qui permet à la voiture d'aller vite » (y compris récupération d'énergie).
Quelques références :
- Cyber4Tomorrow, Rassembler les professionnel·le·s de la cybersécurité pour construire un numérique de confiance
- Modèle de maturité et d’audit de la gouvernance du numérique du Cigref
Coût d'une cyberattaque
Voir l'argumentation du projet de loi résilience pour chiffres : 13 M€ pour ETI, peut aller jusqu'à 150 M€ pour des grands groupes, et menace la survie de l'entreprise. Moyenne tous cas confondus autour de 1 à 2 M€.
Le coût RH caché est très élevé. Voir le documentaire Don't go to the police. Impact sur équipes techniques, collaborateurs de toute l'entreprise, des clients, des fournisseurs… Besoin de préparation (exercices de gestion de crise), tester la journée sans informatique pour identifier les mesures de continuité. Apprendre à travailler en mode dégradé.
Crise cyber = crise totale, on n'est pas prêt ! On arrête tout en 2 h pour 7 jours…
Coût réputationnel, manque à gagner, juridique. Penser à la gestion de crise cyber dans les contrats avec fournisseurs et clients. Plainte à déposer dans les 72 h doit être priorisée pour mobilisation d'une assurance, peut être vague. Ce délai est inscrit dans la loi LOPMI (encadrement assurance cyber). Le marché assuranciel est très compétitif, donc prix bas et garanties élevées. Il y a un besoin de maturité cyber pour pouvoir s'assurer. Paiement de la rançon en dernier recours après négociations et en accord avec autorités et assureur. Important de toujours négocier pour ralentir l'attaquant.
Pénalités potentielles : inexécution contractuelle, amende administrative CNIL suite à cyberattaque ayant mené à fuite de données personnelles, amendes NIS2.
Plénière maîtrisons nos dépendances
Souveraineté / autonomie stratégique = capacité à choisi et maitriser ses dépendances ou résilience nationale (technique et financière). L'Arcep veut faire en sorte que le marché soit loyal (compétitivité, résilience et responsabilité). Transformer nos interdépendantes EU en solidarités. La puissance vient de la capacité à maitriser les flux de données. Les dépendances numériques sont technologiques (sur l'ensemble de la pile), juridiques, économiques et cognitives.
Pb n'est pas une question d'offre, mais de passage à l'échelle. Besoin d'une filière forte.
Références :
- Black-out - Et si les États-Unis coupaient nos services numériques ?
- Stratégie nationale de cybersécurité 2026-2030
- Indice de résilience numérique pour discuter avec la direction
- Livre blanc « maîtriser nos dépendances numériques » par FIC et CESIN : axes micro (pour RSSI) et macro (pour directions), passage d'un sujet technique à un enjeu stratégique.
Plénière attaque hybrides
Les attaques hybrides regroupent plusieurs types de menaces, telles que les attaques par déni de service (DDoS), les rançongiciels, le prépositionnement dans des systèmes sensibles, ou encore les manipulations d’élections. Ces attaques sont principalement orchestrées par des acteurs comme la Russie, dans le but de déstabiliser les soutiens à l’Ukraine. On observe également une forte présence de fraudes crapuleuses et de vols d’informations. L’intelligence artificielle (IA) a joué un rôle clé dans l’industrialisation de ces menaces, rendant les attaques plus rapides, plus ciblées et plus difficiles à contrer.
Pour les défenseurs, il est essentiel d’accélérer l’adoption de l’IA et de renforcer la collaboration entre les agences gouvernementales, les entreprises et les citoyens, notamment à l’échelle internationale. La rapidité de la prise de décision est un enjeu majeur, tout comme le suivi des flux financiers, en particulier ceux liés à certaines cryptomonnaies. La gendarmerie nationale souligne la nécessité d’évolutions réglementaires pour accélérer les réponses, tout en maintenant un contrôle démocratique sur ces mesures.
L’ingénierie sociale repose sur une méthodologie en plusieurs étapes : reconnaissance, identification d’une cible, analyse de ses vulnérabilités, puis attaque technologique. Ces attaques peuvent viser aussi bien un individu qu’une organisation. Un défi majeur réside dans la surinformation, qui conduit à une méfiance généralisée. Il est crucial de progresser dans la gestion du risque humain, en renforçant la prise de conscience, en cartographiant les vulnérabilités, en développant des capacités de réponse et en bâtissant une véritable résilience. L’entreprise Human Factor est citée comme un exemple de bonne pratique dans ce domaine.
Les retours d’expérience de la mairie de Lille et de Jaguar Land Rover (JLR) mettent en lumière des enseignements clés. Pour la mairie de Lille, il est impératif d’anticiper la continuité des services en cas de panne informatique, notamment en sécurisant des sauvegardes hors ligne. Le cas de JLR montre que la cyberrésilience repose sur des organisations où les leaders peuvent prendre des décisions rapides et avec endurance. Une attaque est inévitable, et la préparation est donc essentielle. Travailler en communautés et partager les bonnes pratiques s’avèrent déterminants pour renforcer la protection collective.
Enfin, il existe une continuité évidente entre les attaques cyber et la désinformation. On assiste à une montée en puissance des attaques non crapuleuses, visant moins le vol de données que l’injection de fausses informations pour déstabiliser des institutions ou des sociétés. Cette tendance souligne l’importance d’une approche globale, intégrant à la fois la sécurité informatique et la lutte contre la manipulation de l’information.
Mise en conformité : survivre au tsunami réglementaire
Le réglementaire est là pour permettre de survivre, c'est aussi une opportunité, un levier stratégique. Il ne faut pas subir, mais surmonter la réglementation pour répondre à la menace.
La réglementation donne une grille de lecture qui permet d'avancer opérationnellement. La cyber est devenue un risque systémique à traiter comme d'autres risques (environnementaux, industriels…). La conformité permet de démontrer qu'on gère les risques, qu'on n'est pas dans la négligence ; elle participe de la confiance dans l'organisation. Le manquement fait la sanction. Il faut pouvoir faire face à un audit de contrôle. Les certifications permettent de se mettre dans cette démarche. C'est un bien nécessaire, qui permet la montée en maturité par rapport à l'augmentation de la menace. Il faut avoir une posture dynamique, ne pas rester passif.
L'offre de service cyber française couvre tout le spectre des besoins. Certains plaident pour des experts cyber sur le modèle des experts comptables (assermentés).
Réglementations à surveiller : NIS2, DORA, CRA, AI Act. Pas de chevauchement entre lois 🙂. Voir les pages https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age_en et https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-policies pour accéder aux textes.
Ce texte est mis à disposition selon les termes de la Licence Creative Commons Attribution - Partage dans les Mêmes Conditions 4.0 International.