« La surface d'attaque est devenue énorme », Joseph Graceffa, président du Clusir Nord de France

 La Gazette : Le Clusir est vu comme l'association de référence de la sécurité du numérique en France. Que pouvez-vous nous dire sur le Club Nord de France qui a plus de 20 ans d'histoire ?

Joseph Graceffa : Nous sommes le plus gros Clusir de France mais aussi l'un des plus anciens ! Notre association réunit à la fois les professionnels de la cyber et de la sécurité de l'information. Nos membres sont dans le partage d'expérience. Plusieurs volets font l'objet d'échanges à savoir comment se protéger face aux attaques, comment la traiter, comment sensibiliser les collaborateurs, comment assurer une mise en conformité des systèmes, etc. Certains membres sont plus impactés mais tous traitent le sujet sérieusement. On se nourrit de tous nos échanges. La parole libérée, c'est l'une des forces du club. Le fait d'être installé dans une région de cyber donne également tout son sens au club.

Qui compose le Clusir Nord de France ?

Notre club compte une cinquantaine de membres qui s’engagent à promouvoir une politique active de sécurité dans leur organisation. On retrouve les entreprises utilisatrices, qui peuvent avoir subi des cyber attaques et qui ont des besoins en matière de sécurité de l'information. Cela concerne toute taille d'entreprise, des PME en passant par les ETI aux grands groupes. Il y a également les offreurs. Ce sont des vendeurs de service mais qui ne sont surtout pas là pour vendre mais pour partager et sensibiliser. Le Clusir se compose à 80% d'utilisateurs et 20% d'offreurs. C'est avant tout un club d'utilisateurs de la sécurité, c'est l'essence même du club. Le troisième type d'adhérents concerne les TPE et les start-up de moins de dix collaborateurs. Ils font partie du Clusir en tant qu'offreurs et seront trois en 2023.

Comment est structurée l'association et qu'est-ce qui est mis en place chaque mois ?

Nous avons un Conseil d'administration de huit personnes. Les décisions sont prises par les responsables sécurité d'entreprises utilisatrices. Notre Clusir organise entre huit à dix rencontres par an. On se réunit chaque mois autour de réunions, d'afterwork et de tables rondes avec un sujet, une thématique bien précise. À titre d'exemple, les dernières réflexions ont porté sur un retour d'expérience d'une cellule de crise après une cyber attaque. Un sujet qui a réuni 75 personnes. Ou encore dernièrement une thématique portée sur la réglementation NIS2 (comparable au RGPD), qui arriverait en 2024 pour les entreprises.

Les menaces sont-elles plus nombreuses, plus dangereuses qu'il y a dix ou 15 ans ?

Au début des années 2000, nous vivions la même chose avec des attaques de virus, des malveillances. Il s'agissait exactement des mêmes techniques de menace. Ce sont les technologies et le cloud qui ont évolué. Aujourd'hui, ce ne sont pas des attaques à la même échelle. La surface d'attaque est beaucoup plus grande. Actuellement, il y a également la question de l'obligation de protection. Les amendes peuvent atteindre jusqu'à 4% du chiffre d'affaires d'une entreprise pour non respect du RGPD. Ce qui amène les entreprises à traiter davantage leurs risques, à mettre en place des systèmes de protection et à dresser un plan de sécurité. Il faut que les entrepreneurs mettent les moyens. La surface d'attaque est devenue énorme. Enfin, je ne dirais pas que la menace est plus dangereuse mais plutôt qu'on en parle beaucoup plus. Il y a des conférences sur la cyber, des grands événements dédiés à ce sujet comme le FIC par exemple, donc on a l'impression que la menace est plus forte.

Comment se porte le marché de la cyber ?

C'est un marché grandissant, passionnant et en perpétuelle évolution. Il suit une croissance à deux chiffres et pèse des milliards, c'est indéniable. Mais aujourd'hui, la filière cyber ne compte pas assez de personnes pour traiter la menace. Il manque environ 2 millions de personnes...

Qu'attendez-vous du FIC 2023 ?

L'objectif est de rassembler nos membres. On les invite à passer du temps entre eux sur le salon. Pour nos membres, l'idée est de faire de la veille, voir le maximum de partenaires et prestataires. Notre stand reste le plan d'ancrage pour rassembler nos membres.

Quel regard portez-vous sur le campus cyber ?

C'est très bien pour la métropole lilloise d'héberger une structure d'une telle dimension ! Nous sommes contents que le campus cyber soit implanté à Lille et non à Paris, cela confirme le fait que nous sommes une région de cyber. En France, les trois grandes régions de cyber sont l'Île-de-France, les Hauts-de-France et la Bretagne. Si le campus cyber nous sollicite, nous interviendrons bien entendu mais pour le moment nous regardons ça de loin.

Quelle est votre feuille de route pour les années à venir ?

Etre toujours plus nombreux dans l'aventure ! Nous souhaitons nous ouvrir davantage aux start-up. Puis l'idée d'ici les prochaines années est d'apporter toujours plus de valeur à nos membres, partager des sujets, des débats toujours plus intéressants et arriver à garder cette énergie collective !