Joffrey Célestin-Urbain (Campus Cyber) : Avec Mythos, les entreprises françaises redoutent un « déluge » de cyberattaques - 12/05

L'essentiel

Le paysage numérique français se transforme, et avec lui, les menaces qui pèsent sur les entreprises. Joffrey Célestin-Urbain, représentant du Campus Cyber, a récemment alerté sur le danger d’une montée en puissance des cyberattaques, notamment à travers le projet Mythos. Selon lui, les entreprises françaises doivent se préparer à ce qu’il qualifie de « déluge » de cyberattaques, une affirmation qui mérite d'être examinée de près.

L’initiative Mythos, comme le rapporte BFM Business, vise à renforcer la cybersécurité des entreprises en France. Ce projet s'inscrit dans un contexte où les cybermenaces sont en constante évolution, alimentées par des technologies toujours plus sophistiquées. Célestin-Urbain souligne que les entreprises doivent non seulement se protéger contre les attaques actuelles, mais aussi anticiper des menaces futures qui pourraient être encore plus destructrices.

Pour plus de détails sur les déclarations de Joffrey Célestin-Urbain, on se reportera à son interview complète dans Tech & Co.

Les chiffres sont alarmants : selon une étude menée par l’ANSSI (Agence nationale de la sécurité des systèmes d'information), 80% des entreprises françaises ont été victimes d'une cyberattaque en 2022. Ce chiffre met en lumière l’urgence d’une réponse collective et coordonnée. Mythos pourrait ainsi jouer un rôle clé en rassemblant les acteurs de la cybersécurité autour d’une stratégie nationale.

Le projet se veut également un lieu de partage de compétences et d'innovations. En impliquant des start-ups, des entreprises établies, ainsi que des institutions publiques, Mythos ambitionne de créer un écosystème dynamique propice à l'échange de bonnes pratiques. Cette approche collaborative pourrait permettre à la France de se doter d'outils et de solutions plus performants face à la cybercriminalité.

Célestin-Urbain n'hésite pas à évoquer le spectre de scénarios catastrophe, où des attaques massives pourraient paralyser des infrastructures critiques. À titre d’exemple, il cite le cas de l’attaque par ransomware subie par l’hôpital de Vilnius en 2020, qui a conduit à l'interruption de services essentiels. Les entreprises françaises, souvent jugées moins préparées que leurs homologues américaines, doivent donc redoubler d’efforts pour éviter de tels désastres.

Les inquiétudes de Célestin-Urbain ne sont pas infondées. Le rapport annuel du Forum économique mondial souligne que les cyberattaques sont désormais considérées comme l’une des principales menaces pour la stabilité économique mondiale. En France, la dépendance croissante aux technologies numériques dans tous les secteurs de l’économie, qu'il s'agisse de la santé, de la finance ou des infrastructures publiques, rend la situation encore plus critique.

En réponse à cette menace croissante, des mesures gouvernementales ont été mises en place, comme le Plan France Relance qui inclut des investissements dans la cybersécurité. Cependant, Célestin-Urbain plaide pour une approche plus proactive, en mettant l’accent sur la formation des employés et la sensibilisation aux risques cybernétiques. Selon lui, une entreprise bien formée est une entreprise mieux protégée.

L’infrastructure de cybersécurité en France est en pleine mutation. Avec le soutien d'initiatives comme Mythos, il est possible que les entreprises françaises deviennent plus résilientes face à la cybercriminalité. Néanmoins, le chemin est encore long. Les entreprises doivent comprendre que la cybersécurité ne doit pas être considérée comme une simple dépense, mais comme un investissement vital pour leur pérennité.

Les défis qui attendent les entreprises françaises sont immenses, mais la mise en réseau des compétences et des ressources à travers des projets comme Mythos pourrait bien leur offrir un bouclier contre les menaces à venir. La vigilance, l'innovation et la collaboration seront les clés pour naviguer dans ce paysage numérique de plus en plus complexe et dangereux. La lutte contre les cyberattaques est un combat qui nécessite l'engagement de tous, et le temps pour agir est venu.

Contexte

Les alertes de Joffrey Célestin-Urbain s'inscrivent dans une séquence historique marquée par une accélération des cyberattaques à l'échelle mondiale. Depuis le début des années 2020, la France a connu plusieurs incidents de grande ampleur, touchant des collectivités territoriales, des hôpitaux et des entreprises du CAC 40. L'attaque contre l'hôpital de Corbeil-Essonnes en 2022, qui avait contraint les équipes médicales à revenir au papier et au crayon, illustre la vulnérabilité d'infrastructures pourtant critiques.

Le projet Mythos émerge dans un cadre institutionnel déjà structuré. Le Campus Cyber, inauguré à La Défense en 2022, rassemble plus de 300 acteurs publics et privés, de l'ANSSI aux start-ups spécialisées. Sa création répond à une volonté politique de faire de la France une "nation cyber", ambition affichée par le président de la République lors du salon Vivatech en 2021. Le Campus entend mutualiser les compétences et favoriser l'émergence de solutions souveraines, face à une concurrence internationale dominée par les États-Unis, Israël et la Chine.

La temporalité de cette alerte n'est pas anodine. Le 12 mai, date de l'interview, coïncide avec une période de tensions géopolitiques accrues, où les cyberattaques sont devenues un outil de pression hybride. Depuis l'invasion de l'Ukraine par la Russie en février 2022, les groupes de hackers pro-russes ont multiplié les actions contre des cibles européennes, dont des entreprises françaises du secteur de l'énergie et des transports. Dans ce contexte, les propos de Célestin-Urbain résonnent comme un appel à ne pas relâcher la vigilance.

Par ailleurs, le cadre réglementaire français et européen se densifie. La directive NIS 2, adoptée en 2022, impose des obligations renforcées de cybersécurité aux entreprises considérées comme essentielles. Le projet Mythos pourrait constituer un outil opérationnel pour aider les PME et ETI à se conformer à ces nouvelles exigences, alors que bon nombre d'entre elles manquent encore de moyens et d'expertise.

Analyse

L'alerte lancée par Joffrey Célestin-Urbain peut être lue de plusieurs manières. D'un côté, elle reflète une inquiétude légitime face à la sophistication croissante des attaques. Les ransomwares, qui bloquent les systèmes contre rançon, sont devenus plus ciblés et plus coûteux. Le recours à l'intelligence artificielle par les cybercriminels pour automatiser les phases de reconnaissance ou générer des courriels de phishing plus crédibles constitue une évolution préoccupante. Les entreprises françaises, notamment les PME, disposent souvent de budgets informatiques limités et peinent à recruter des experts en cybersécurité, ce qui les rend vulnérables.

D'un autre côté, la rhétorique du "déluge" pourrait servir un agenda politique et économique. Le Campus Cyber, comme tout écosystème émergent, a besoin de visibilité et de financements pour justifier son existence et attirer des partenaires privés. La dramatisation du risque, si elle n'est pas infondée, peut être un levier pour accélérer les prises de décision et convaincre les entreprises de consacrer davantage de ressources à la cybersécurité. Ce biais est classique dans le secteur : les spécialistes de la sécurité ont intérêt à ce que la menace soit perçue comme imminente.

Il convient également de relativiser le constat. Si 80% des entreprises françaises ont subi une cyberattaque en 2022, la plupart de ces incidents étaient de faible gravité (tentatives de phishing, malwares bénins). Les attaques paralysantes restent statistiquement rares, même si leur nombre augmente. Le risque zéro n'existe pas, mais la panique n'est pas une stratégie. Certains experts estiment que le niveau de préparation des entreprises françaises s'est amélioré ces dernières années, notamment grâce aux campagnes de sensibilisation de l'ANSSI et à la généralisation de l'assurance cyber.

Enfin, la comparaison avec les entreprises américaines mérite d'être nuancée. Les États-Unis investissent massivement dans la cybersécurité depuis les années 2000, mais ils subissent aussi des attaques d'une ampleur inédite, comme celle contre le pipeline Colonial en 2021. La résilience ne se mesure pas seulement aux budgets alloués, mais aussi à la capacité de réaction et de coordination entre acteurs publics et privés.

Implications

À court terme, les déclarations de Célestin-Urbain pourraient inciter les directions d'entreprises à accélérer leurs investissements dans la cybersécurité. On peut s'attendre à une hausse des demandes d'audits, des formations pour les employés et des souscriptions à des polices d'assurance cyber. Les entreprises du secteur de la santé, de l'énergie et des transports, particulièrement exposées, devraient être les premières à réagir. Le projet Mythos, s'il parvient à démontrer son efficacité, pourrait attirer de nouveaux adhérents et renforcer son rôle de plateforme de coordination.

À moyen terme, plusieurs scénarios sont envisageables. Dans le scénario le plus optimiste, la mutualisation des compétences et des outils via Mythos permettrait de réduire le nombre d'attaques réussies, notamment grâce à un partage d'informations en temps réel sur les menaces. Les entreprises françaises gagneraient en maturité cyber, ce qui renforcerait leur compétitivité et leur attractivité auprès des investisseurs étrangers, sensibles à ces critères.

Le scénario pessimiste verrait une multiplication des attaques de grande ampleur, dépassant les capacités de réaction des dispositifs actuels. Une attaque coordonnée contre plusieurs hôpitaux ou une plateforme bancaire pourrait provoquer une crise systémique, avec des conséquences économiques et sociales majeures. Dans ce cas, l'État serait contraint de renforcer son rôle, peut-être en imposant des obligations plus contraignantes ou en créant un corps d'intervention spécialisé, sur le modèle du FBI américain.

Pour les PME et ETI, l'enjeu est existentiel. Beaucoup d'entre elles, faute de moyens, pourraient être tentées de sous-estimer le risque ou de reporter les investissements. Une vague d'attaques ciblant spécifiquement ces structures, moins protégées, pourrait entraîner des faillites en chaîne et fragiliser le tissu économique local. La formation des employés, pointée par Célestin-Urbain, devient alors un impératif stratégique, mais elle nécessite du temps et des ressources que toutes les entreprises n'ont pas.

Pour aller plus loin

Les propos de Joffrey Célestin-Urbain ouvrent plusieurs pistes de réflexion. La première concerne la souveraineté numérique : jusqu'où la France et l'Europe peuvent-elles aller dans la création de solutions cyber indépendantes des géants américains et chinois ? Le projet Mythos s'inscrit dans cette ambition, mais sa capacité à fédérer des acteurs aux intérêts parfois divergents reste à démontrer.

Une autre question porte sur le rôle des assurances. Le marché de l'assurance cyber, en pleine expansion, pourrait-il devenir un régulateur de facto, en imposant des standards de sécurité sous peine de refus de couverture ? Les primes augmentent déjà fortement, ce qui pourrait inciter les entreprises à mieux se protéger, mais aussi à exclure les plus frag