Doté de plus de vingt ans d’expérience dans le domaine de la cybersécurité, Vincent Lefret est membre du conseil d’administration du Cesin (Club des experts de la sécurité de l’information et du numérique), organisation de référence dans le domaine de la cybersécurité en France. Il partage sa vision des grandes tendances qui façonnent l’avenir de la cybersécurité, bousculée par l’arrivée de l’IA.

Décideurs. Pouvez-vous revenir sur la genèse du Cesin ?

Vincent Lefret. Le Cesin a été créé il y a plus de dix ans, afin de faire émerger le sujet de la cybersécurité, qui était encore nouveau à l’époque, et de regrouper les acteurs de la sécurité informatique et numérique pour qu’ils échangent sur les problématiques qu’ils rencontrent au quotidien.

Le Cesin compte actuellement plus de 1000 membres, représentant près de 800 entreprises issues de tous secteurs d’activité, et permet, au travers de divers formats, des échanges de bonnes pratiques et des retours d’expériences. La force de ce club réside dans le fait que la cybersécurité et les risques associés font désormais partie des plus grandes priorités de l’entreprise. Nous plaidons aussi auprès des décideurs politiques pour favoriser la prise en compte, par les législateurs français et européen, des enjeux de cybersécurité.

Le Cesin a publié la dixième édition de son baromètre annuel, réalisé avec Opinion Way, en janvier 2025. Quels en sont les principaux enseignements ?

Les résultats du baromètre montrent que le volume des cyberattaques a été stable en 2024, comparé à 2023 : 47 % des entreprises interrogées déclarent avoir subi au moins une cyberattaque significative – contre 65 % en 2019 –, en dépit de menaces toujours plus importantes. C’est la preuve que de nombreuses entreprises ont investi dans une politique de gestion des risques et dans des solutions de cybersécurité.

“47 % des entreprises déclarent avoir subi au moins une cyberattaque significative”

Parmi les vecteurs d’attaque figurent le phishing – 60 % –, l’exploitation de failles – 47 % –, les attaques par déni de service – 41 % –, ainsi qu’une nouveauté dans le baromètre : l’arnaque appuyée par un deepfake – 9 %. L’arrivée des deepfakes, technologie particulièrement facile d’accès, exige une vigilance accrue de la part des entreprises, qui doivent intégrer des stratégies de détection et de sensibilisation spécifiques pour contrer ces nouveaux risques.

Enfin, le cyberespionnage, visant des secteurs stratégiques et des données sensibles, continue de représenter un risque élevé pour 37 % des entreprises interrogées. Face à cet enjeu de compétitivité et de protection des données, 52 % des répondants se sont dits préoccupés par les enjeux de souveraineté numérique et de cloud de confiance.

Quelles sont les conséquences de l’arrivée de l’IA au sein des entreprises ?

L’IA est devenu un outil du quotidien, puisque 69 % des organisations interrogées dans le cadre de notre baromètre l’intègrent désormais dans leurs processus (contre 46 % en 2023). Pourtant, seules 35 % des entreprises ont inclus l’IA dans leur stratégie de cybersécurité, alors même qu’elles risquent de subir des attaques ayant recours à des IA génératives.

Au-delà des outils de cybersécurité, il est indispensable de sensibiliser l’ensemble des collaborateurs aux risques induits par l’usage de l’IA, et de s’assurer que son utilisation se fait dans un cadre réglementé, normé et suivi. C’est aussi le rôle des directions de la sécurité des systèmes d’information de promouvoir une culture de la cybersécurité à tous les niveaux de l’entreprise.

C’est le sens de la directive européenne NIS2. Comment percevez-vous cette nouvelle législation ?  

Jusque-là, le cadre légal relatif à la cybersécurité s’appliquait uniquement à certains types d’entreprises, à l’image du volet cybersécurité de la loi de programme militaire, qui s’adresse à 250 “opérateurs d’importance vitale”, jugés particulièrement stratégiques pour notre pays.

La directive NIS2, qui est en cours de transposition en droit français, a une portée beaucoup plus large et marque un changement de paradigme tant à l'échelon national qu'européen. Je me réjouis de ce nouveau dispositif qui permet de s’adresser au plus d’entreprises possible, et d’augmenter ainsi le niveau global de cybersécurité, puisque nous sommes tous, personnes physiques et morales, interconnectés même si cela risque d’être complexe pour des structures de petite taille, qu'il faudra accompagner.

“On dénombre 60 000 postes de cybersécurité non pourvus en France et 350 000 en Europe”

Quels sont les enjeux en matière de gestion des talents dans le domaine de la cybersécurité ?

Le secteur fait face à une pénurie massive de talents : selon l’OCDE, en France, 60 000 postes restent non pourvus dans le secteur de la cybersécurité, pour 350 000 en Europe et 3,9 millions dans le monde. Force est de constater que le tissu académique français peine à former suffisamment d’experts pour répondre aux besoins. Le reskilling représente un formidable levier pour contrer la pénurie d’experts en cybersécurité. Cela nécessite de faire connaître nos activités au sein de l’entreprise pour attiser la curiosité des collaborateurs, qu’il est ensuite possible de former à nos métiers. 

“Seuls 24 % des professionnels de la cybersécurité sont des femmes”

La féminisation des effectifs est un autre enjeu : actuellement, seuls 24 % des professionnels de la cybersécurité sont des femmes. La solution passera notamment par la revue des processus de recrutement, alors que nous avons tendance à chercher le mouton à cinq pattes.

Les enjeux en la matière sont majeurs, et relèvent de la sécurité de nos entreprises. Pourtant, si les budgets de cybersécurité ont été stables en 2024, les intentions d’augmenter les effectifs et les solutions techniques diminuent – respectivement de 13 et de 15 points –, selon les résultats de notre baromètre. C’est une tendance que nous allons surveiller en 2025.

Propos recueillis par Caroline de Senneville