Face à l’intensification des menaces numériques, Orange place la cybersécurité au cœur de sa stratégie de développement, conjuguant expertise technologique, souveraineté numérique et expansion internationale pour faire de la confiance un moteur durable de performance.

Face à la multiplication des menaces numériques, Orange fait de la cybersécurité un axe stratégique majeur. En s’appuyant sur l’expertise d’Orange Cyberdefense, le Groupe accompagne entreprises, administrations et collectivités dans la protection de leurs infrastructures critiques. Nous avions organisé lors de l’Assemblée générale de l’AASGO, une table-ronde intitulée : La cybersécurité, une opportunité de croissance dans un environnement très dynamique.

La demande mondiale explose, et Orange capitalise sur sa double compétence de fournisseur de réseaux et acteur de la sécurité numérique pour proposer des solutions intégrées. Dans un contexte d’essor de l’IA et du cloud souverain, cette activité devient un moteur de croissance et de confiance, au cœur du développement international du Groupe.

Afin de restituer avec clarté toute la densité, la richesse et la diversité des échanges consacrés à la gouvernance d’Orange, nous avons choisi de regrouper les interventions par expert, en reprenant fidèlement les propos et analyses de chacun. Cette présentation permet de mieux saisir la cohérence de chaque regard, la complémentarité des expertises et la profondeur des enjeux abordés au fil de cette table ronde stratégique. Nous vous en proposons ici quelques morceaux choisis .… et, pour celles et ceux qui souhaitent retrouver l’intégralité des échanges, la table ronde complète est également accessible sur la chaîne YouTube de l’AASGO.

Nous donnons donc successivement la parole à

Florence Puybareau : Directrice du Clusif
Hughes Foulon : CEO d’Orange Cyberdéfense
Ahmed Baladi : Partner Gibson Dunn– avocat à la cour
Guillaume Contat : RSSI & DPO Assemblée nationale

Merci encore à Sébastien Garnault pour la qualité de son animation, qui a fait de cette table ronde un moment d’échanges particulièrement riche, stimulant et éclairant.

La parole à Florence Puybareau

Pourriez-vous partager votre vision de la menace aujourd’hui et nous présenter le panorama global de ces menaces ?

On remarque une augmentation très forte des attaques, mais c’est normal puisque notre champ numérique ne cesse de s’étendre à tous nos moments de la vie, qu’ils soient personnels ou professionnels, donc ce sont autant de sources d’attaques.

Dans les grandes entreprises, ce sont surtout les attaques sur la supply chain, des attaques à but lucratif et de plus en plus liées à de la déstabilisation et de l’espionnage selon les constatations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Sur les Petites Moyennes Entreprise (PME) et les Entreprises de Taille Intermédiaire (ETI), on voit surtout des ransomwares, de la criminalité financière à but lucratif comme la fraude au président. En ce qui concerne les particuliers c’est surtout de la cyber-malveillance liée à la violation de données personnelles, les données sont récupérées pour être vendues au plus offrant.

Sommes-nous encore collectivement trop naïfs face au cybercrime et à ses acteurs ?

Les grandes entreprises ont pris conscience du risque et investissent, mais dans les PME la cybersécurité n’est pas souvent en haut de la pile des priorités du dirigeant.

Qu’on soit une PME, un particulier ou un grand Groupe, lorsqu’on est attaqué il faut porter plainte et faire remonter l’information pour permettre aux autorités de remonter les réseaux criminels.

Enfin, la prise de conscience progresse chez les grands groupes. Mais comment la faire réellement descendre vers le reste du tissu économique ? En France, près de 80 % de l’économie repose sur des TPE et des PME qui n’ont pas forcément les mêmes moyens.

Le défi est de réussir à toucher les PME, les petites collectivités, les hôpitaux de région ou les petites mairies, alors qu’il existe en France 36 000 communes et une multitude de petites structures .

Comment regarder le sujet de la souveraineté numérique ?

Nous préférons parler d’autonomie stratégique plutôt que de souveraineté : il s’agit d’aller vers des solutions Européennes lorsque c’est possible, tout en restant pragmatique .

La parole à Hugues Foulon

Comment un industriel – comme le Groupe Orange – qui fait partie du peloton de tête de la capacité française répond à la menace cyber ? Une menace à différentes facettes, changeante à la fois en nature et intensité.

Je pense que nous sommes peut-être à la fin d’une période de naïveté. La question aujourd’hui n’est plus de savoir si une attaque va nous arriver, mais quand elle va arriver, et si nous sommes réellement préparés.

Les attaques se structurent autour de trois grandes catégories d’acteurs : les groupes soutenus par des États, les cybercriminels organisés et les hacktivistes, qui peuvent se coordonner très rapidement autour d’une cause politique ou idéologique.

Il y a une forme de convergence entre les cyberattaques à proprement parler et les campagnes de désinformation massive.

Quels sont aujourd’hui les principaux enjeux de gouvernance de la cybersécurité, compte tenu des risques humains, de l’industrialisation de la cybercriminalité ?

La cybercriminalité est devenue une véritable industrie, qui se chiffre aujourd’hui en plusieurs dizaines, voire centaines de milliards de dollars.

La cybersécurité n’est pas seulement un sujet d’experts, c’est un sujet de management. C’est une des raisons pour laquelle, elle est inscrite au comité exécutif du groupe Orange depuis 2018.

40 % des failles que nous observons sont liées à des erreurs humaines, même lorsque les outils technologiques sont correctement déployés et paramétrés.

Dans le monde numérique, il n’y a pas d’amis ni d’alliés : tout le monde espionne tout le monde.

Orange a été victime d’une demande de rançon récemment, quelle est la position d’Orange face à ce type de situation ?

Nous sommes cyber-attaqués en permanence : tous les jours il y a des tentatives d’intrusion, des vulnérabilités qui apparaissent et des systèmes qu’il faut corriger.

La question n’est pas d’éviter toutes les attaques, mais de savoir si l’on est capable de les repousser et, si elles réussissent, d’éviter qu’elles n’entravent le fonctionnement du système.

Sur la souveraineté numérique, comment regarde-t-on ce sujet ?

Aujourd’hui il faut avoir conscience qu’on est biberonné à des solutions américaines. Dans le monde de la cybersécurité 90% des solutions sont américaines et c’est ce que demandent nos clients.

La parole à Ahmed Baladi

Comment les entreprises peuvent-elles gérer la triple pression que représentent les menaces internes, les menaces externes et les contraintes juridiques comme le Cloud Act ou certaines lois chinoises sur l’accès aux données ?

Gérer juridiquement une cyberattaque pour un groupe international, c’est devoir satisfaire simultanément de nombreuses exigences réglementaires dans différents pays, qui n’ont pas nécessairement la même approche que l’Union européenne.

Lorsqu’on doit répondre à une cyberattaque globale, c’est un peu comme entrer dans un tunnel : on ne sait pas vraiment quand on en sort, car il faut analyser les législations applicables et déterminer rapidement les actions à mener, le tout sans pouvoir maitriser un calendrier qui est imposé par les régulateurs.

La difficulté est qu’il faut réunir en très peu de temps – souvent entre 24 et 72 heures – les équipes juridiques, cyber, communication, RH et métiers pour prendre des décisions critiques sous forte pression.

La réglementation constitue-t-elle aujourd’hui à la fois une réponse et un facteur de maturité pour les organisations ? Ou existe-t-il un risque de dérive vers une approche purement de conformité, au détriment de la cybersécurité réelle ?

Lorsqu’une entreprise subit un incident cyber, elle doit non seulement gérer l’attaque sur le plan technique, mais aussi répondre aux régulateurs qui vont vérifier si ses mesures de sécurité étaient conformes aux exigences réglementaires.

L’incident cyber ne fait souvent que révéler l’état réel des mesures de sécurité : celles qui ont été bien mises en place, partiellement mises en œuvre, ou pas mises en œuvre du tout.

N’attendons pas la survenance d’un incident pour vérifier si nous sommes conformes aux exigences réglementaires, car les régulateurs peuvent ensuite mener des audits très poussés et prononcer des sanctions.

Concernant la directive NIS2, est-elle selon vous simple à appréhender pour les organisations ? Et surtout, est-elle réellement adaptée aux enjeux actuels ?

Ce serait une erreur de penser que parce qu’un pays n’a pas encore transposé une directive comme NIS2, les entreprises peuvent attendre avant de se préparer, car leurs activités dans d’autres États membres sont déjà soumises à ces obligations.

L’enjeu est d’adopter une approche globale en identifiant un socle commun de cybersécurité, puis d’ajuster ensuite selon les exigences locales plutôt que de construire une politique pays par pays.

Si une rançon est payée à un Groupe . listé par les autorités américaines comme étant sanctionné (pour terrorisme, criminalité), vous pourriez être poursuivi et sanctionné par les Etats-Unis, même si vous n’êtes pas forcément implanté aux Etats-Unis. Donc il y a également ce risque très fort de faire l’objet de poursuites pénales en payant une rançon.

La parole à Guillaume Contat

Comment devrions-nous aborder le sujet de souveraineté numérique ?

La souveraineté ne veut pas dire nationalité des solutions : l’enjeu est de garder la maîtrise de ses données et de rester résilient.

La résilience repose sur la diversification des technologies et la cartographie des données sensibles, afin d’héberger celles-ci dans des environnements adaptés, limitant notamment les risques d’extraterritorialité juridique.

A quoi est-on sensible dans le cyberespace ?

L’atteinte à l’image des parlementaires est quelque chose que nous devons préserver à tout prix, car elle conditionne la confiance des citoyens dans l’institution.

Nous devons préserver une indépendance parlementaire vis-à-vis de l’exécutif, ce qui crée un enjeu de cybersécurité spécifique que peu d’institutions publiques connaissent.

Le niveau de cybersécurité d’un système d’information est déterminé par son maillon le plus faible.

Le secteur privé peut-il apporter les outils que l’État ne peut pas mettre à disposition ?

En effet, les solutions apportées par l’État ne sauraient suffire à elles seules ; celles issues du secteur privé viennent utilement les compléter ..

Pour comprendre comment la cybersécurité s’affirme comme un levier stratégique de croissance pour Orange !

Face à l’intensification des menaces numériques, Orange place la cybersécurité au cœur de sa stratégie de développement, conjuguant expertise technologique, souveraineté numérique et expansion internationale pour faire de la confiance un moteur durable de performance.

La parole à Florence Puybareau

Pourriez-vous partager votre vision de la menace aujourd’hui et nous présenter le panorama global de ces menaces ?

Sommes-nous encore collectivement trop naïfs face au cybercrime et à ses acteurs ?

Comment regarder le sujet de la souveraineté numérique ?

La parole à Hugues Foulon

Comment un industriel – comme le Groupe Orange – qui fait partie du peloton de tête de la capacité française répond à la menace cyber ? Une menace à différentes facettes, changeante à la fois en nature et intensité.

Quels sont aujourd’hui les principaux enjeux de gouvernance de la cybersécurité, compte tenu des risques humains, de l’industrialisation de la cybercriminalité ?

Orange a été victime d’une demande de rançon récemment, quelle est la position d’Orange face à ce type de situation ?

Sur la souveraineté numérique, comment regarde-t-on ce sujet ?

La parole à Ahmed Baladi

Comment les entreprises peuvent-elles gérer la triple pression que représentent les menaces internes, les menaces externes et les contraintes juridiques comme le Cloud Act ou certaines lois chinoises sur l’accès aux données ?

La réglementation constitue-t-elle aujourd’hui à la fois une réponse et un facteur de maturité pour les organisations ? Ou existe-t-il un risque de dérive vers une approche purement de conformité, au détriment de la cybersécurité réelle ?

Concernant la directive NIS2, est-elle selon vous simple à appréhender pour les organisations ? Et surtout, est-elle réellement adaptée aux enjeux actuels ?

La parole à Guillaume Contat

Comment devrions-nous aborder le sujet de souveraineté numérique ?

A quoi est-on sensible dans le cyberespace ?

Le secteur privé peut-il apporter les outils que l’État ne peut pas mettre à disposition ?

A la une

Benchmark FAS de l'actionnariat salarié et des meilleures pratiques des entreprises par la Fédération Française de l'Actionnariat Salarié

Nos actions au conseil de surveillance du FCPE Orange Actions

Retour sur l'AG Orange à J+2

Newsletter

Accès rapide

L'essentiel

En action

Rencontrons-nous

Restez informés

Le cercle des experts

Nous rejoindre et Adhérer

L’AASGO vous informe !