Résilience cyber des services publics : passer à l’action face à la montée des risques
0:06 Claire SIMON : Bonjour à tous, je me présente Claire Simon, je suis responsable commerciale de la CANUT au sein de Sopra Steria. J'ai le plaisir aujourd'hui d'animer ce webinaire consacré au nouvel accord-cadre
de la CANUT : Presta Cyber. Nous aurons l'occasion d'aborder ensemble le renforcement de la résilience réservé aux acteurs publics face aux menaces. Ce webinaire durera 45 Min : 30 Min de présentation, 15 Min de questions /
réponses. N'hésitez pas à déposer vos questions sur le fil de conversation. 0:35 Régis, acheteur à la CANUT, va d'abord nous parler du contexte et des enjeux de ce nouvel accord-cadre, puis nos experts Frédéric
et Yanis, nous présenterons notre offre. Ensuite Régis reprendra la main pour nous parler des modalités de souscription. Et enfin je conclurai avant de passer aux sessions de questions/réponses.. 1:01 Bonjour Régis,
merci d'être parmi nous aujourd'hui. Est-ce que vous pourriez nous décrire brièvement la CANUT ainsi que l'accord cadre ? Régis KAMINSKI : Oui, Bonjour à tous. Bonjour à Frédéric, Bonjour à
Yanis. Donc, la CANUT est la centrale d'achat du numérique et des télécoms. Nous sommes une association, donc loi 1901, à but non lucratif, et on est une association qui œuvre pour les collectivités territoriales
et tout un ensemble d'acteurs de l'écosystème public. D'ailleurs notre conseil d'administration est composé de collectivités et de bailleurs sociaux. Notre mission, c'est de réaliser et de massifier les marchés
publics dans le domaine du numérique et des télécoms et de les adresser à nos bénéficiaires. Alors notre périmètre couvre plusieurs offres. 2:01 On a des marchés de matériel, on a des
marchés évidemment en cybersécurité, on a des marchés de Télécom, on a des marchés de prestations AMOA AMOE et on a évidemment des marchés où on vend du logiciel. Donc on est
une centrale d'achat public, c'est à dire qu'on a des pouvoirs adjudicateurs : on a le droit au sens du code de la commande publique de réaliser des appels d'offres. En termes de modèle économique, on ne se finance uniquement
que sur le coup d'adhésion à nos marchés. 2:30 On n'a pas de markup, on n'est pas un opérateur qui intervient entre vous et nos bénéficiaires. D'ailleurs, nos bénéficiaires, si on peut en dire un
mot à qui on s'adresse, on s'adresse essentiellement évidemment aux collectivités territoriales et à tous ceux qui représentent les collectivités territoriales. Donc on va avoir par exemple les métropoles,
les régions, les départements, les communautés d'agglomération, les communautés de communes, les communes. Donc ils sont éligibles à notre centrale d'achat. À côté de ça, tout,
tout l'ensemble des acteurs en France qui sont en capacité ou qui sont soumis au code de la commande publique peuvent souscrire à nos marchés. 3:28 Je vais pas tous les citer mais on les a regroupés dans la slide suivante.
On a évidemment les bailleurs sociaux. D'ailleurs les bailleurs sociaux aujourd'hui, au moment où on se parle, sont présents au salon des bailleurs sociaux qui se trouvent à Porte de Versailles à Paris. Et donc la CANUT
est présente sur ce salon. Évidemment, les secteurs de secours, les SDIS sont présents aussi et peuvent adhérer à nos marchés. 3:57 L'ensemble de la sphère éducative peut également accéder
à nos marchés. On a évidemment les universités et puis au travers des régions, des départements, les lycées, les collèges, les écoles. On a tout un ensemble d'acteurs, établissements
publics, EPCI. Je crois qu'on parlera tout à l'heure des aéroports. Donc les aéroports sont éligibles évidemment, les régies de transport, les syndicats mixtes. 4:26 Et puis la sphère médicosociale,
établissements sociaux, médicosociaux pour lesquels les conseils départementaux participent un peu à la gouvernance. Donc ça fait un périmètre et un ensemble d'acteurs qui peuvent utiliser nos services
qui est assez important et on peut même encore un peu plus l'élargir au besoin. 4:52 En tant que centrale d'achat, évidemment, on est confronté à la concurrence puisqu’il y en a d'autres sur le secteur. Ce qu'il
faut savoir, c'est que déjà, la CANUT, c'est une structure qui a été créée par les collectivités pour les collectivités. Et donc ça veut dire que c'est la seule centrale dans laquelle les
collectivités territoriales font partie de la gouvernance. Ça, c'est extrêmement important. Ce sont eux qui, entre guillemets, orientent un peu la stratégie ou qui accompagnent à l'orientation de la stratégie.
5:24 Ensuite, on a évidemment des atouts et des éléments différenciant par rapport au reste de l'écosystème. La première chose, elle est liée au fait qu'on est peu nombreux. On est 7. Et en fait,
ça nous permet de proposer à la fois une gestion assez rapide des relations avec nos bénéficiaires. 5:46 Ça nous permet de prendre le temps de pouvoir faire des appels d'offres et de sécuriser les appels d'offres
parce qu’il y a la consommation, mais il y a toute la partie sécurisation qui va autour. Et puis c'est un modèle qui est en exécution directe, c'est à dire qu’on ne fait pas de cotation, on n'est pas interlocuteur,
on n'est pas intermédiaire. On est là pour évidemment défendre les intérêts de nos bénéficiaires. On est là aussi pour superviser l'exécution des marchés pendant la durée
des marchés, donc on fait des comités de pilotage et on en a fait un il y a pas très longtemps. 6:18 Mais par contre, les échanges commerciaux et les échanges économiques se font en direct entre titulaires et
bénéficiaires. On a des frais d'accès qui sont extrêmement réduits. On est extrêmement transparent puisque les coûts d'accès à nos marchés sont sur notre portail, donc ils sont vraiment
accessibles au plus grand nombre. Et puis surtout, quand on souscrit un accord-cadre, on souscrit à l'ensemble des lots de cet accord-cadre, par exemple le marché dont on parle aujourd'hui. 6:46 Il y a 7 lots. Donc si on souscrit à
l'accord-cadre, on peut bénéficier des 7 lots. Et enfin on a une spécificité, c'est que nos marchés ne sont pas hors sol. Les acheteurs, dont je fais partie, on a un background technique, on a une vie professionnelle
avant d'être acheteur qui a été orienté technique et donc on a tous des sensibilités. Alors moi je m'occupe de la partie cybersécurité hébergement. 7:13 Mon collègue Frédéric
s'occupe de tout ce qui est autour de de l'assistance à maîtrise d'ouvrage ou des services. Et puis on a Julien qui se définit comme le quincailler, qui lui, s'occupe de toute la partie matérielle, accessoires, composants, etc.
Donc on est très complémentaires et en fait, on sait de quoi on parle. C'est ça qui est extrêmement important. Ça nous permet d'être hyper réactif quand on est sollicité sur tel ou tel besoin, on sait
répondre tout de suite. Donc tout ça fait qu'aujourd'hui la CANUT a à peu près 2 ans d'existence. 7:41 Les marchés ont un peu plus d'un an d'existence et en fait on est performant et on est très reconnu sur le
secteur par les collectivités territoriales. Voilà ce que je peux dire rapidement sur notre centrale. Claire SIMON : Merci beaucoup pour cette pour cette présentation, pour cet éclairage. Est-ce que maintenant vous pourriez
nous parler de l'accord cadre Prestations cybersécurité ? Régis KAMINSKI : Oui bien sûr, on va en parler. Alors évidemment il y a plusieurs choses à dire sur cet accord-cadre. 8:08 La première des choses,
c'est que on doit écouter un peu l'écosystème, c'est à dire que aujourd'hui, bon, les centrales d'achat font en général des marchés nationaux. Donc nous on a évidemment gardé ce cap là.
Mais on a aussi un besoin à la fois politique et économique, de faire travailler l'écosystème local. Et donc l'objectif, ça a été en parallèle de la dimension nationale de créer des lots régionaux
qu'on a découpés en s'adaptant au modèle un peu téléphonique. Donc on a 5 grandes zones, nord-est, nord-ouest, sud-est, sud-ouest et île-de-France. Ce qui permet d'adresser à la fois des sujets qui vont
couvrir national, ultramarins, le lot sur lequel vous êtes titulaire, et puis on a des collectivités qui vont vouloir travailler avec des acteurs de proximité et donc on leur offre au travers des différents lots régionaux.
9:05 Cette possibilité, ça c'est déjà dans la partie stratégie du marché. Ensuite, évidemment on lance un appel d'offres, on a un appel d'offres national donc on est obligé de ne pas aller dans le
détail, mais on va essayer de faire un marché qui va permettre d'être très souple, d'être très réactif par rapport aux demandes et de couvrir tous les besoins en matière de prestations de cyber, prestations
de gouvernance, prestations techniques. En tout cas on essaie de faire quelque chose de très simple d'usage. 9:35 Et pour ça, évidemment, il faut quand même avoir une vision du contexte et des enjeux. Aujourd'hui, on a une priorité
: en tant que citoyen, on a accès aux services publics de manière dématérialisée, donc ça veut dire que, en tant que citoyen, on peut accéder à des portails, on peut accéder à des services
où on va pouvoir payer la cantine, je suis très concerné, j'ai ma fille qui est à l'école, donc voilà. 10:00 Et évidemment, on n'a pas envie que tout ça ce soit facilement accessible par des gens
qui n’ont pas des bonnes intentions. Donc ça c'est le premier des enjeux. C'est vraiment la numérisation des services publics. Il y a un cadre réglementaire qui est en perpétuelle évolution. La directive NIS 2
va venir compléter le dispositif qui existe déjà sur d'autres aspects comme le RGPD ou d'autres types de loi. 10:24 Et donc elle va impacter directement les collectivités et plein d'acteurs qui ne l'étaient pas jusqu'à
présent. Donc ça, ça va être aussi très important. Et puis évidemment, on est dans un contexte où on entend parler de cyberattaques un peu partout. Et évidemment, le secteur public n'est pas à
l'abri. Et les gens, enfin, on va dire les personnes qui sont à la CANUT, les bénéficiaires de la CANUT sont pas épargnés non plus. On a de plus en plus de cyberattaques. 10:54 Vis-à-vis de communes, vis-à-vis
de départements, d'aéroports ou d'autres types de structures. Donc là aussi il y a des besoins d'anticipation. Donc ça évidemment on le prend en ligne de compte et on va le traduire pour répondre à des
enjeux, protection des données, protection de la vie privée, continuité du service public… Aujourd'hui, les services publics, quand ils sont paralysés quelque part, c'est la démocratie qui est en jeu, donc ça
c'est extrêmement important. Évidemment, les infrastructures, les systèmes d'information doivent être protégés également dans le détail ou dans la globalité. Et donc il faut adapter un marché
avec un bordereau de prix basé sur du tarif journalier, basé sur des prestations forfaitisées mais des choses qui soient très simples d'usage. Donc voilà un peu le contexte de ce marché et voilà comment
on l'a orienté, comment j'ai voulu moi le proposer à nos bénéficiaires. Voilà. Alors on a eu beaucoup de candidatures sur le lot qui vous concerne, donc vous avez candidaté avec une dizaine d'autres acteurs. 12:06
Sur ce lot numéro un, si je peux dire juste un mot sur la présence de votre notification. Bon déjà vous êtes arrivé premier du classement, vous êtes arrivé premier pour plein de raisons. Vous avez
été très bien noté parce que déjà vous arrivez en en co-traitance avec un acteur qui est très reconnu aussi dans le domaine de la cyber qui est Advens et ce groupement là dans les différents
critères de notation qu'on vous a soumis, on voit bien que il y a une maîtrise vraiment de tout ce qui est institutionnel, enjeux sécuritaires, connaissance des réglementations, connaissance des méthodologies importantes,
notamment les méthodologies de l'ANSSI. On va y revenir. Moi j'avais imposé à ce que ce lot soit très exigeant sur la sélection, donc il fallait être PASSI, il fallait être en cours de qualification PACS,
il fallait vraiment montrer patte blanche et savoir qu'on utilise les bonnes méthodes pour travailler, ça c'est une première chose donc très bien notée là-dessus. On demande aussi d'expliquer vos expériences,
on vous note sur vos expériences, sur ce que vous avez fait sur le périmètre des interventions. Donc là aussi on voit bien que ce groupement permet de répondre à peu près à tout ce qui existe en
matière de prestation cyber. 13:33 On met un focus important aussi sur le lien et la proximité entre vos équipes commerciales, techniques et nos bénéficiaires, et aussi l'accès aux documentations : ce qu'on souhaite
c'est pas que les interlocuteurs qui sont des bénéficiaires qui ont besoin d'un document doivent vous appeler, vous envoyer un mail ou attendre un une réunion pour avoir quelque chose, c'est de pouvoir y accéder online. Donc
ça c'est des exigences qu'on pose. 14:02 Et puis enfin, et c'est pas négligeable quand on s'appelle Sopra Steria, et qu'on s'appelle Advens, on mélange des profils et on répond on va dire d'un point de vue ressources humaines
à tous les besoins qu'on exprime. Donc là on avait des profils, on impose des profils un peu standards dans le marché, mais aussi des profils hautement qualifiés. Et là votre consortium répond aussi parfaitement
à ça. Donc tout ça fait que finalement on a un groupement qui se dégage naturellement dans la réponse technique, dans la réponse économique, dans la réponse commerciale, dans notre appel d'offres.
Et donc voilà pourquoi vous êtes ici aujourd'hui et pourquoi je suis avec vous. Claire SIMON : merci beaucoup. Désormais je me tourne vers Frédéric D’Advens et Yannis de Sopra Steria nos experts, afin qu'ils puissent
nous présenter l'offre de notre groupement. 14:56 Yanis MESBAH : Oui, pour me présenter rapidement Yanis Mesbah, Security Business Partner au sein de Sopra Steria. Donc j'adresse tout simplement les comptes du secteur public sur l'expertise
cyber. Frédéric DESCAMPS : Frédéric Descamps Advens et à peu près depuis une quinzaine d'années, je pilote nos activités sur le secteur public, notamment en relation avec les centrales d'achat pour
construire ces marchés. 15:20 Yanis MESBAH : Donc je suis très heureux de pouvoir présenter ce groupement, Sopra Steria Advens pour l’accord-cadre de CANUT, groupement Leader dans le secteur public. Aujourd'hui, à titre
d'illustration, on a Advens, qui détient plus d'un tiers de son activité au sein du secteur public, et Sopra Steria, numéro un depuis plusieurs années d'après l'étude Markess au sein du secteur public avec plus
de 1500 experts cyber en France. 15:48 Donc, ce groupement rassemble aujourd'hui environ 2000 experts sur à l'échelle nationale. Un point que je tiens à souligner, ce sont nos qualifications auprès de l’ANSSI. Donc aujourd'hui
on est qualifié PASSI, PDIS, PRIS : pour moi, ça signifie 2 choses importantes, la première, qu'on est un partenaire de confiance et la 2nde qu'on est capable d'accompagner l'ensemble de nos clients sur les besoins les plus sensibles.
Un dernier point qui est mentionné sur la slide, c'est le maillage territorial avec 45 agences en France. On a la capacité de pouvoir répondre à l'ensemble des besoins sur l'ensemble du territoire français. Je laisse
Frédéric prendre la parole pour nous présenter les différents éléments sur la couverture des besoins. 16:45 Frédéric DESCAMPS : Merci Yanis. Alors comme l'a dit Régis tout à l'heure,
l'objectif c'est de couvrir un maximum de vos besoins en matière de cybersécurité et donc ça passe par un bordereau de prix unitaires qui a bien classifié les besoins dans différentes catégories. Alors
le premier point c'est évidemment quand on parle de cybersécurité, c'est de se doter d'une gouvernance et d'une stratégie de sécurité pour savoir où on va par rapport à ses propres enjeux de métier.
On ne fait pas de la sécurité pour se faire plaisir, on fait de la sécurité parce qu'on délivre un service aux citoyens et que ce service doit être sécurisé pour que la confiance soit de mise. Et
Régis l'a rappelé aussi, en faisant cela, c'est pas pour se faire plaisir : on cherche à vraiment véritablement protéger un modèle qui est le modèle démocratique français. C'est extrêmement
important pour nous. Donc tout ce qui a trait à la gouvernance, à la stratégie de sécurité, analyse de risque, politique de sécurité, etc, vous pouvez y accéder très simplement à travers
cet accord-cadre. 17:42 Évidemment, vous avez tous besoin de vous auditer régulièrement. D'abord parce que souvent les réglementations vous le demandent, mais aussi parce que vous voulez mesurer le niveau de sécurité
d'une nouvelle application avant de la mettre en production, etc. Ce marché permet de réaliser notamment tout type d'audit, d'audit de configuration, audit de code source, audit de processus, etc. Et l'ensemble de ces audits peuvent également
embarquer avec eux la qualification PASSI, PASSI RGS, PASSI LPM, permettant à notre groupement d'intervenir sur des problématiques très sensibles, pour celles et ceux d'entre vous qui sont opérateurs d'importance vitale notamment.
Voilà donc tout type d'audit, tout type de test d'intrusion sur tout type de périmètre. Mais on ne se limite pas ça. 18:37 On a souvent aussi besoin dans vos organisations de mettre en place une nouvelle solution, de protéger
une application, de protéger un système, de cloisonner son réseau. Et notre groupement embarque avec lui de nombreux experts en architecture. Ces experts sont également capables de vous apporter un éclairage sur ce que
peut proposer le marché pour répondre à vos besoins spécifiques. On parle par exemple d'études en vue de sélectionner une solution quelle qu'elle soit pour éclairer ce choix et vous proposer une hiérarchisation
de solutions répondant à ces enjeux en prenant en compte, évidemment, vos besoins en sécurité, ça va sans dire, les enjeux métiers mais également l'aspect budgétaire qui est quand même
assez prégnant en ce moment. 19:30 Également réaliser des cartographies : on sait souvent que la cartographie, c'est quelque chose d'assez complexe, que l'on soit dans des milieux IT purs et durs, mais aussi et de plus en plus dans
des milieux de sécurité industriels. Voilà, cet accord-cadre vous permet d'accéder à un ensemble de pool d'expertise qui répondra à l'ensemble de ces problématiques. Et puis, et ça c'est un
des objectifs majeurs de cet accord-cadre et c'est un sujet qui est extrêmement prégnant en ce moment, c'est tout ce qui va tourner autour de la résilience de vos organisations face à la menace cyber. La question aujourd'hui
n'est pas de savoir quand, est ce que enfin, si ça va arriver, c'est plutôt de savoir quand est ce que ça va arriver et comment je m'y prépare. Et là, pour le coup, l'accord cadre a vraiment prévu des dispositifs
sécuritaires de préparation à la crise. 20:15 Yanis, je crois tu nous en parleras un peu plus tard dans ce webinaire. Mais voilà, c'est un arsenal d'exercices sur étagère ou d'exercices totalement sur mesure,
alors on peut être extrêmement créatifs dans la réalisation d'un exercice de crise. Je vous invite vraiment à contacter nos équipes pour en discuter, l'idée étant véritablement de vous préparer,
d'observer vos réactions et tu en diras quelques mots tout à l'heure. Et puis évidemment, une fois que l'exercice est réalisé, c'est comment j'adapte ma résilience, comment j'adapte ma continuité, ma reprise
d'activité ? 20:47 Avec en plus le recul sur l'observation des comportements que nous avons eu pendant ces exercices de crise, ce qui permet aussi d'apporter véritablement du concret et des mises en situation. 20:59 Et puis on va reboucler
puisque la résilience et la continuité d'activité, c'est toujours mieux quand elles s'intègrent totalement à votre gouvernance et à votre stratégie de sécurité. Donc voilà, c'est un
cycle d'amélioration continue. Et je précise enfin une chose, c'est que vous avez accès à des prestations unitaires. Mais l’accord-cadre permet bien évidemment un chaînage complet de prestations pour justement
par exemple définir et déployer une stratégie de sécurité. 21:26 Donc ça peut être un accompagnement de A à Z ou alors, vous pouvez avoir une vision unitaire si vous préférez siloter
un peu. Voilà ce que je peux vous dire sur la couverture de l’accord-cadre. Claire SIMON : Merci Frédéric. Je vous propose maintenant si vous voulez bien de détailler quelques offres spécifiques. Frédéric
DESCAMPS : Exactement. Merci Claire. Alors effectivement on a souhaité faire un focus. 21:45 On a dans ce marché un BPU, des offres qui sont très détaillées ; on voulait juste faire un petit focus sur quelques offres.
Alors la première offre qui nous est venue à l'esprit c'est évidemment l'IA. L’IA aujourd'hui n'est plus considérée comme une technologie du futur, elle est déjà là, donc maintenant il faut
faire avec. Vous êtes sans doute très nombreux dans vos organisations à déjà l'utiliser alors évidemment l'IA, ça a un côté magique, ça apporte énormément de choses, ça
apporte de la réactivité, de la capacité à décider plus rapidement, on a vraiment observé un gain de temps avec une utilisation de l'IA À contrario, on sait aussi que les IA peuvent être des boîtes
noires, qu'elles induisent évidemment de nouveaux risques dans vos organisations et ces risques doivent être pris en compte. Donc, dans le cadre de cet accord-cadre, vous trouverez au sein de notre groupement des personnels qualifiés
pour vous accompagner dans : comment je structure finalement la mise en œuvre d'une IA dans mon système d'information et comment je vais acculturer les gens qui vont l'utiliser à la bonne utilisation de l'IA. Alors la bonne utilisation
de l'IA c'est déjà dans des dans des règles d'éthique évidentes, mais aussi lutter contre la chute d'informations, pas l'utiliser vraiment n'importe comment, vraiment bien encadrer et sécuriser, durcir vos systèmes
d'IA si vous utilisez des solutions diverses et variées qui sont disponibles sur le marché. 23:11 La 2e offre qui nous paraissait intéressante, c'est de vous parler de NIS 2. Alors vous en avez tous entendu parler. Donc NIS 2, directive
européenne de 2022 qui attend encore sa transposition en France. On a bon espoir malgré les péripéties actuelles gouvernementales d'avoir cette transposition d'ici la fin de l'année. Alors ce qu'il faut retenir sur NIS
2 c'est que c'est un test qui a un texte qui est éminemment cyber. Il est très orienté cybersécurité et toute la cybersécurité de la stratégie a des choses extrêmement opérationnelles.
La 2e chose qui est importante autour de NIS 2 c'est que ça ne concerne pas simplement quelques pans de vos SI ça concerne tout le SI. 23:48 Donc déjà à partir de là, on se dit que NIS 2 va probablement devenir
un socle d'appréhension de la question cybersécurité qui va être très importante. Alors qu'est-ce qu'on va vous proposer dans cet accord cadre ? On va vous proposer évidemment de déjà vous dire où
vous en êtes par rapport à une cible NIS 2 donc, et définir une feuille de route puisque c'est ça qui va vous intéresser finalement. 24:15 Une fois qu'on a défini l'écart, c'est quel est cet écart
et comment je fais pour combler cet écart ? Comment je priorise, comment je cadence, comment je budgète, etc. Ensuite, c'est la construction avec tout le corpus documentaire qui va avec et il y a beaucoup de choses. Et encore une fois, on
va parler beaucoup de gouvernance, de stratégie, mais on va parler également beaucoup d'opérationnel et de technique. Enfin, ensuite, il faudra déployer, donc mettre en œuvre cette feuille de route et sensibiliser vos
personnels à NIS 2. 24:44 Enfin, comme tout référentiel que l'on prend en compte, il va falloir contrôler régulièrement qu'on est conforme à ce référentiel. Est ce qu'on détecte des
écarts ? Comment on comble ces écarts ? Et notamment on faisait un focus là aussi sur cette diapositive sur l'audit des tiers, puisque vous avez tous dans vos écosystèmes des fournisseurs, des partenaires qui eux aussi
devront se conformer à NIS 2. C'est sûr que plus ils seront conformes, plus vous ce sera facile pour vous également de l’être. 25:12 Voilà ce que je pouvais vous dire en quelques mots sur L’IA et sur NIS 2.
Yanis MESBAH : oui donc je vais continuer sur 2 autres offres en commençant par le cloud dans laquelle on va avoir une approche end to end. C'est à dire qu'on va commencer la démarche en analysant et en évaluant la maturité
cloud qu'il y a chez notre client. Donc en fonction des enjeux métiers, en fonction des contraintes réglementaires, techniques et d'autres éléments. 25:41 À partir de là, on va se baser sur des référentiels,
des référentiels reconnus comme la matrice Mitre, pour pouvoir cartographier des chemins d'accès et des menaces réelles et à la suite de ça, en fonction des vulnérabilités critiques qui auront été
détectées, on proposera un plan de sécurité qui sera aligné forcément avec les objectifs du client. Si on ajoute à ça du coup, une approche CNAPP dans notre offre, donc le CNAPP, c'est une plateforme
de protection des applications pour le cloud natif, qui en fait va regrouper un ensemble de technologies de sécurité cloud et qui va nous permettre de mieux gérer et de mieux prioriser les différents risques qu'on peut rencontrer
chez les clients. 26:31 Et on peut aussi également ajouter la sécurisation du shadow, le shadow IT. Donc là on a une offre très complète au niveau de la sécurité du cloud. Une 2e offre donc la gestion de
crise sur laquelle on va se baser sur notre propre retour d'expérience, qui va être décomposé en 2 temps. On va avoir un temps de d'anticipation dans laquelle en fait on va se préparer à la gestion de crise, comme
le disait Frédéric tout à l'heure. 27:01 On sait qu'une crise va tomber juste, on ne sait pas quand et donc on va se préparer à cette crise en définissant des rôles, des responsabilités en sensibilisant
les parties prenantes et en réalisant toutes les actions nécessaires à cette préparation. Puis on va avoir le 2e temps, le temps de réaction qu'on va appeler le temps de crise. Et donc dans ce temps de crise, on va tout
simplement vivre, faire face à cette crise cyber et donc on va devoir assurer la continuité des systèmes d'information, gérer et faire face à cette crise. Voilà donc une offre qui est aujourd'hui très utilisée
au sein de Sopra Steria et d’Advens également. Claire SIMON : merci à vous 2 pour cet exposé qui a été très clair. Est-ce que vous auriez des retours d'expérience à nous présenter ?
27:58 Yanis MESBAH : Oui. Donc en termes de retour d'expérience, je vais parler de 2 secteurs. Le premier secteur, le secteur social. Aujourd'hui, on sait que c'est un secteur qui est fortement ciblé par les cyber attaquants. Aujourd'hui,
Sopra Steria accompagne plusieurs comptes clients, plusieurs organismes sur la montée en maturité cyber chez ces comptes-là. Le message clé en fait chez Sopra Steria c'est vraiment l'approche par la menace et par les risques.
Et donc on va proposer plusieurs possibilités notamment l'utilisation de l'expertise CTI de nos équipes pour pouvoir fournir des bulletins périodiques ou encore contextualiser la menace en type de scénario à présenter
à l'ensemble des clients. Voilà des cas concrets. 28:53 On a également le secteur aéroportuaire, donc là on est sur un secteur qui est qui est soumis à des très fortes réglementations. Et donc dans
ce secteur là on va vraiment faire face notamment à des aspects préventifs de la sécurité, donc tout ce qui va être lié au cyber risque et aux réglementations. Et donc là on accompagne un ensemble
de clients sur le pilotage des homologations, sur des analyses de risques de sécurité et donc sur d'autres identifications de risques chez plusieurs de nos clients. Voilà, je laisse Frédéric nous faire un retour. Frédéric
DESCAMPS : Oui alors d'autres retours d'expérience aussi pour vous donner un petit éclairage sur ce qu'il est possible de faire également dans cet accord-cadre sur des secteurs d'activités spécifiques ou des problématiques
spécifiques. 29:45 On a choisi une problématique du moment qui est celle du vote électronique puisque vous allez tous être soumis au vote électronique dans le cadre des élections du personnel. Alors qu'est-ce qu'on
cherche à faire à travers l'accord cadre ? C'est évidemment de contribuer à vous garantir le respect des règles d’un scrutin, c'est à dire l'anonymat, le secret et le bon déroulement du scrutin. Donc
très concrètement, avant la réalisation du scrutin, c'est auditer le système de vote électronique tout simplement. Alors des audits à la fois de conformité, audit technique et puis c'est de simuler un vote
pour vérifier qu’en état de simulation, un peu comme on le fait dans la gestion de crise, le comportement à la fois du système de vote électronique et de l'élection en règle générale
est bien respecté. 30:30 Pendant, c'est évidemment superviser le scrutin en direct et après c'est faire le rapport d'analyse d'expertise qui va bien, archiver les informations de manière sécurisée et effectuer
des contrôles a posteriori pour s'assurer que le scrutin s'est déroulé dans les conditions les plus normatives possibles. 2e secteur, 2e retour d'expérience, c'était le secteur de l'eau. Aujourd'hui, l'eau est un élément
vital, stratégique. 31:00 Je vous invite à consulter le rapport du Cert FR qui fait justement un état des lieux des risques des entreprises qui gèrent l'eau, que ce soit des régies, des syndicats et évidemment
on est face à un secteur qui utilise des systèmes d'information, qui sont des systèmes d'information industriels, parfois avec une dette technique qui est assez lourde et qui sont des systèmes qui sont extrêmement difficiles
à maintenir, extrêmement difficiles à patcher. 31:26 Donc qu'est-ce qu'on va leur proposer, on va leur proposer et on l'a déjà fait. Déjà de se conformer à la réglementation en vigueur alors
souvent on va parler, on va évidemment reparler de NIS 2 prochainement, mais on va aussi parler de la loi de programmation militaire pour ceux qui sont OIV. Analyse de risque EBIOS pour savoir quel type de risque on va avoir à gérer,
quel peut être le plan de traitement des risques. Cartographier le système d'information : on s'aperçoit souvent que la cartographie c'est quelque chose qui est manquant, enfin en tout cas, incomplet qui est très difficile à
maintenir par ailleurs dans tous les secteurs d'activité. Et évidemment homologuer, homologuer ces systèmes pour rassurer l'écosystème, rassurer l'environnement et prendre en compte l'ensemble des risques afférents.
Voilà en quelques mots sur ces 2 retours d'expérience. Claire SIMON : Bien merci Frédéric, merci Yanis ! désormais Régis, vous avez la parole pour nous décrire les modalités de souscription de la
CANUT. 32:22 Régis KAMINSKI : Merci Fred et merci Yanis parce que c'était instructif ce que vous avez dit, notamment sur la partie aéroport, on est très sollicité par les aéroports de France. Alors pour consommer
nos marchés, en fait c'est assez simple : il faut souscrire à l’accord-cadre. Donc c'est une démarche administrative qui se fait essentiellement sur notre portail, donc tout se fait en ligne. 32:50 À partir du moment
où vous avez un compte authentifié, vous avez la capacité de naviguer sur notre site et des différents accords-cadres déjà pour prendre des informations. Donc ce qu'il faut savoir c'est qu'au premier niveau la
prise d'information permet déjà d'avoir les bordereaux de prix et les mémoires techniques. Donc c'est une première approche et il n’y a pas besoin de s'engager dans une démarche pour avoir ces documents-là.
33:20 Ensuite, quand on est intéressé par l'exécution notamment de ce marché, on va faire une demande de souscription en ligne, ce qui va permettre de pouvoir en bénéficier. Alors, à la CANUT, on a 2 types
de structures bénéficiaires. Vous avez les bénéficiaires entre guillemets, je dirais simples, c'est à dire qu’ils consomment les marchés et ils ont accès aux titulaires, accès à l'ensemble
des pièces pour pouvoir exécuter une prestation. Et puis vous avez ce qu'on appelle les adhérents. 33:50 L'adhérent, il devient au bout d'une démarche et d'un processus qui inclut une délibération en Conseil
municipal notamment, par exemple, pour une collectivité. L'adhérent va pouvoir avoir un droit de vote et un droit de parole dans la gouvernance de la CANUT. Donc c'est une différence entre les 2 structures. Alors une structure peut
être bénéficiaire et adhérent. Il y a aucune différence d'un point de vue tarifaire ou d'un point de vue obligation entre les 2. Il y en a juste un qui a un peu plus de participation dans la gouvernance de la CANUT. Ce
qui est important aussi c'est que les souscriptions sont sans engagement donc on peut au bout d'un an arrêter la souscription d'un accord cadre. Il n’y a rien qui vous oblige à l'exécuter pendant 4 ans. 34:40 Voilà, mais
une fois qu'on a lancé la démarche, on a accès au reste des pièces marché et on peut aller facilement consulter CCAP, règlement de consultation et tous les documents administratifs qui permettent de consommer
le marché. Voilà dans les grandes lignes ce que je peux dire sur les modalités de souscription. Claire SIMON : Merci beaucoup, c'était très clair. Il est désormais temps de conclure cette présentation.
35:07 En synthèse, nous retiendrons qu'aujourd'hui les menaces sont nombreuses et évoluent, que les acteurs publics ont besoin de solutions fiables et accessibles. Aujourd'hui, le groupement Sopra Steria - Advens, au travers de l'accord
cadre mis à disposition par la CANUT, répond à cette problématique avec un partenariat souverain, un partenariat de confiance qui met à disposition un réseau d'experts certifié sur l'ensemble du territoire
national. 35:35 Vous voyez s'afficher les prochains rendez-vous auxquels seront présents le groupement. Donc, nous participons à l'ensemble des rendez-vous des tours des régions de la CANUT. Le prochain est le 9 octobre à Nancy.
Nous serons également présents aux Assises Cyber à Monaco du 8 au 11 octobre ainsi qu'au CBC à Toulouse du 26 au 27 novembre. Vous voyez également s'afficher l'adresse mail du groupement. Vous pouvez envoyer toutes vos
demandes d'informations ou toutes vos sollicitations. 36:06 Il est désormais temps de passer aux sessions de questions réponses. Une question qui est peut-être pour vous, Régis : combien coûte une souscription à
l’accord cadre de la CANUT ? Régis KAMINSKI : Alors j'ai envie de dire, comme dans le film, ça dépend ! Alors en fait déjà on différencie le fait de vouloir bénéficier d'un accord cadre pour
soi-même ou de vouloir bénéficier d'un accord cadre pour un groupement. Donc je prends toujours l'exemple de la métropole. La métropole qui commande des ordinateurs uniquement pour elle, ou alors la métropole qui
va commander pour toutes les communes qui sont dans son giron. 36:57 Et donc dans ce cas-là, on a 2 grilles tarifaires, donc bénéficiaire seul ou bénéficiaire groupement. En cas de bénéficiaire seul, je
prends l'exemple d'une commune de moins de 100 habitants, ça va lui coûter TTC 180€ par an pour utiliser ce marché-là. Ensuite elle va pouvoir souscrire un 2e, 3e, 4e, 5e, 6e marché. 37:26 Donc le coût est
dégressif à chaque fois et au-delà du 6e marché, elle ne paye plus de souscription pour le reste des marchés donc elle aura un accès total à l'ensemble de nos marchés. C'est très différenciant
par rapport à d'autres. C'est très peu cher en fait. Et donc faut savoir par exemple que le coût d'une publication d'un appel d'offre sur une plateforme officielle c'est entre 900 et 1200€. 37:55 Donc là, on est déjà
rentabilisé sur ce type de structure. Alors sur notre portail on a la grille et le tableau avec les différents coûts. Je suis désolé, je ne les connais pas tous par cœur, mais oui c'est accessible, sans être
authentifié sur notre site. Donc c'est on est vraiment transparent là-dessus. Claire SIMON : D'accord très bien, merci pour ces précisions. 38:24 Je vois qu'on a une 2e question : est-ce que dans le cadre de cet accord-cadre
je peux faire des tests d'intrusion ? Là je me tourne peut-être plus vers toi Frédéric. Frédéric DESCAMPS : Alors oui. Tous les types de tests d'intrusion que vous souhaitez mener sont tout à fait jouables
dans cadre de cet accord-cadre. 38:45 Test d'intrusion, on parle souvent de blackbox, greybox, whitebox, boîte noire, boîte grise, boîte blanche et évidemment sur n'importe quel type de périmètre : applicatif, architecture,
infrastructures, etc. Et vous pouvez choisir aussi de les avoir qualifiés ou non, c'est à dire : intrusions classiques ou qualifiés. PASSI, PASSI RGS, PASSI, LPL. Et en fonction de votre portée d'audit, vous aurez à
faire à des experts différents qui ont les niveaux de qualification requis. Claire SIMON : Très bien, merci. Bon je vois qu'on n’a plus de questions. Je crois qu'on peut remercier l'ensemble des participants et puis l'ensemble
des auditeurs qui ont été présents aujourd'hui et vous aurez accès très prochainement au replay de de ce webinaire. Merci encore pour votre participation, au revoir.