Fabrice Epelboin est enseignant et entrepreneur dans la cybersécurité. Il regrette que le sujet soit totalement absent des discussions « au sommet » des entreprises. D’après lui, c’est ce qui entraînera la disparition des grandes entreprises historiques au profit des géants de la tech.
Interview.
Les chiffres sur les cyberattaques qui visent les entreprises font froid dans le dos. À quoi sont-ils dus ? Les hackers sont-ils de plus en plus puissants ou les entreprises de moins en moins préparées ?
Fabrice Epelboin : Je dois bien admettre que les entreprises ne font pas de progrès phénoménaux en la matière. À leur décharge, on leur demande toujours d’agir a posteriori : c’est comme si l’on construisait une maison et qu’on se rendait compte au cours d’intempéries que le toit était en carton. Il y a un vrai problème d’éducation à ce niveau-là. Par ailleurs, ce n’est pas un secret, il y a un réel déficit en ressources humaines que d’importants salaires ne suffisent plus à combler.
Vous parlez d’un problème d’éducation sur les sujets de cybersécurité : quelle en est l’ampleur ?
F. E. : On ne s’en rend pas forcément compte, mais une grande proportion du personnel de bureau en France n’a aucune compréhension du fonctionnement d’un ordinateur. Pour beaucoup, il s’agit encore d’un outil magique, sur lequel on doit taper un bon coup lorsqu’il y a un bug informatique. Il y a donc énormément de gens qui utilisent un appareil tous les jours, sans aucune compréhension ni précaution. Pour les hackers, cela représente des opportunités phénoménales !
On entend souvent que la cybersécurité est un sujet de dirigeants. Mais est-ce que c’est vraiment le cas ?
F. E. : Bon nombre de dirigeants des grandes entreprises en France ne sont pas mieux lotis que leurs salariés en termes de compréhension informatique, dans la mesure où ils suivent des cursus « classiques » d’écoles de commerce. Il s’agit souvent de très bonnes écoles, mais qui n’enseignent pas les subtilités de la cybersécurité. C’est une problématique éducative propre au pays : les écoles d’ingénieurs ne sont toujours pas perçues comme des viviers de dirigeants potentiels, mais comme vectrices d’ascension sociale. Pour dire les choses clairement, les classes les plus aisées poussent leurs enfants à faire des écoles de commerce ou du droit, et les bons élèves des classes moyennes ou modestes vont intégrer les écoles d’ingénieurs – Polytechnique étant peut-être l’exception qui confirme la règle. C’est une hiérarchie que l’on retrouve au sein des entreprises : très peu d’ingénieurs se retrouvent à la tête de sociétés, ou même au sein des comex. Je ne dis pas qu’il est indispensable que tous les dirigeants soient des experts en cybersécurité, mais ils doivent a minima en comprendre les enjeux, et accepter le dialogue. Or dans le schéma actuel, la conversation entre les responsables de la sécurité des systèmes d’information (RSSI) et les chefs d’entreprise est quasiment inexistante.
Pourrait-on, un jour, voir plus d’ingénieurs à la tête d’entreprises françaises ?
F. E. : Un jour, oui, quand les entreprises du CAC 40 auront disparu parce qu’elles n’auront pas suffisamment réussi à s’emparer des enjeux cyber. Toute la presse a relayé avec enthousiasme les bons résultats du CAC 40 en 2021, mais il convient de prendre du recul. Si l’on compare la capitalisation d’une entreprise comme Google et celle d’une entreprise du CAC 40 – au moment de la rédaction de cet article, la capitalisation boursière de TotalEnergies, qui est l’entreprise du CAC 40 dont le chiffre d’affaires est le plus important, valait 131,63 milliards de dollars et une celle d’Alphabet (Google) valait 1 671 milliards de dollars, ndlr. – on voit bien que le vent tourne. Je pense sincèrement que dans quelques années, nos mastodontes actuels seront anecdotiques face aux géants technologiques. Dans d’autres pays, comme Israël, c’est déjà le cas : les start-up et entreprises à succès sont plus souvent fondées par des profils scientifiques que business.
Quid des dirigeants actuels ? Peuvent-ils se mettre à niveau ?
F. E. : Je ne pense pas que ceux qui n’ont aucune base puissent rattraper leur retard. C’est comme si on demandait à quelqu’un qui ne sait ni lire, ni écrire, ni parler de pondre un roman. Il lui faudrait plus que des exercices d’écriture. Or les dirigeants manquent souvent cruellement de temps.
Tous les futurs dirigeants ne passeront pas par la case « école d’ingénieurs ». Comment s’assurer qu’ils aient un minimum de compétences cyber ?
F. E. : J’imagine plusieurs niveaux. Dès l’école primaire, les enfants pourraient apprendre en e-learning les bases de l’ordinateur : qu’est-ce qu’un OS ? Un logiciel ? Un processeur ? Une mémoire vive ? Une API ? Un serveur ? J’estime qu’il s’agit de fondamentaux aussi importants que la lecture ou l’écriture. Plus tard, peut-être au moment d’entrer dans la vie active, il faudrait une sorte de « permis d’utiliser un ordinateur« . Comment détecter un e-mail un peu louche ? Quel comportement adopter si l’on trouve une clef USB sur son bureau ? À mon sens, c’est un sujet dont devrait s’emparer l’État. Et à chaque fois qu’une personne postulerait dans une entreprise, l’employeur pourrait lui demander son « score cybersécurité« , qui serait mis à jour chaque année – puisque chaque année le risque cyber évolue. De façon plus réaliste, j’imagine qu’une partie de la responsabilité va glisser du côté des assurances : on ne peut pas stopper la recrudescence des attaques, il faut donc que les entreprises minimisent les dégâts potentiels. Et cela va passer par une augmentation des budgets cybersécurité, ce qui éliminera d’entrée de jeu un certain nombre d’acteurs.
Biographie
Fabrice Epelboin est un entrepreneur français, spécialiste des médias sociaux et du web social. Après une enfance passée entre la France et les États-Unis, il commence comme éditeur au début des années 1990 et participe à la réalisation de l’un des premiers cédéroms français, pour le compte de la Réunion des musées nationaux. Il fait ses premiers pas sur Internet en 1994. Il est planeur stratégique pour la web agency Babel@Stal à partir de 1995 et travaille notamment sur des sites d’eCommerce, d’eTrading et d’eBanking ainsi que sur les sites web de différents ministères. Il rejoint la web agency Owendo en 1999 et participe activement à l’introduction en bourse de la société. Il cofonde par la suite le site Prizzo.com, un site de commerce électronique consacré à la vente de produits touristiques en price-fixing, qui ne survit pas à l’éclatement de la bulle financière. Il rejoint alors, Zebank devenu Egg, pour lequel il crée les campagnes online, s’occupe d’e-branding et conçoit, en 2004, l’un des premiers blogs de marque en France. Il fonde ensuite Yades, un cabinet de consultants spécialisés dans le design et la gestion de marque sur internet lance l’un des premier réseaux d’influenceurs sur les médias sociaux. En 2005 il développe Agorami, une technologie de réseautage social destinée aux médias. En 2008, il devient l’auteur principal puis l’éditeur de la version française du blog ReadWriteWeb. En un an, le blog se classe parmi les 5 blogs high tech les plus influents de France. En 2009 il est distingué parmi les meilleurs blogueurs de l’année5 par un jury présidé par Nathalie Kosciusko-Morizet pour le magazine Challenges6. Il cofonde par la suite le site OWNI avec Nicolas Voisin, et travaille avec Techtoc.tv, une WebTV dédiée aux nouvelles technologies. En 2011, il cofonde le média en ligne Tunisien http://Fhimt.com ainsi que l’Association Tunisienne des Libertés Numériques, une ONG consacrée à la mise au point de solutions d’eDemocratie et d’Open Gouvernance qui réalise et produit de nombreuses initiatives en ligne ainsi que des événements liés à la démocratie et au numérique. Il a été enseignant dans la section Masters de l’université de la Sorbonne CELSA avant de rejoindre Sciences Po où il enseigne la guerre informationnelle, les usages politiques des réseaux sociaux, la surveillance de masse et l’astroturfing. Depuis 2019, il officie aux côtés de Bertrand Lenotre et Damien Douani dans Le podcast des Éclaireurs du Numérique en décryptant l’actualité de la semaine et les grandes tendances.