Rempar25, c’est une version XXL de Rempar22 ?
Il y a trois ans, Rempar22 avait rassemblé plusieurs centaines de participants au Campus Cyber, à Paris. Cette année, nous avons voulu l’organiser au niveau national. On compte ainsi plus de 5 000 participants répartis dans 17 sites, dans toutes les régions et en Outre-mer. 

Pourquoi avoir changé d’échelle ?
Nous sommes actuellement dans une dynamique d’adoption du texte européen NIS2 (Network and information security, NDLR). Dans quelques mois, de nombreuses entités seront assujetties à cette réglementation-là : des entreprises, des collectivités locales, des établissements de santé… Nous sommes en train de passer de moins de 500 assujettis à NIS1 à 10 à 20 000 assujettis à NIS2. Par ailleurs, cette nouvelle directive intègre des obligations supplémentaires en termes de préparation à la gestion de crise. D’où l’importance de favoriser la tenue d’exercices comme Rempar25, afin que les TPE, PME, associations et collectivités soient familiarisées à ce genre de pratiques.

Quel est le profil des participants ?
Nous accueillons des volontaires venus d’entreprises diverses, grâce à l’appui du Club ETI qui nous a aidés à toucher des profils éloignés de la cybersécurité, mais aussi quelques joueurs du secteur public. La cybersécurité n’est pas une affaire de geek à capuche, c’est un sujet d’entreprise. Contre les cybercriminels, on ne peut lutter qu’en équipe. Il était donc nécessaire de faire participer des RH, des responsables financiers ou de la communication, des consultants, des chefs de service…

Quels sont les objectifs de cet exercice national ?
Tout d’abord, nous voulons que les participants se rendent compte qu’on ne peut réussir qu’en équipe. Aussi, qu’ils doivent impérativement se préparer à être dans des conditions dégradées, sans informatique par exemple, et prévoir des recettes pour contourner ces situations. Qu’ils aient également conscience que les outils numériques ne sont pas toujours à disposition. Surtout, à travers cet exercice, l’Anssi vise à promouvoir NIS 2 auprès des entreprises, mais aussi à aider l’écosystème des acteurs de la cybersécurité, comme Cyber’Occ en Occitanie, à se saisir de ce type d’activités et en proposer eux-mêmes. Rempar25, c’est un kit que nous leur offrons. Pendant longtemps, l’Anssi a fait de la sensibilisation. En mettant en place des exercices de gestion de crise, nous passons la seconde. Nous sommes dans l’action et dans la preuve que la cybersécurité, ça se prépare. 

En tant que représentant régional de l’Anssi en Occitanie, comment évaluez-vous le degré de sensibilisation à la cybersécurité des entreprises locales ?
Pour le moment, les entreprises sont très éloignées de ces sujets-là. En Occitanie, bassin d’emplois assez technophile avec le spatial, l’aéronautique et la santé, nous avons un tissu de TPE et PME qui peuvent être sensibilisées à la cybersécurité. Mais pour d’autres secteurs d’activité, notamment l’agronomie, ce ne sont pas des sujets ressentis comme naturels, alors même qu’ils sous-tendent une activité économique forte. Je vais donc devoir travailler avec ces secteurs-là dans les prochains mois afin de les accompagner dans cette transition. 

Pourquoi toutes les entreprises ne sont-elles pas encore sensibilisées à la cybersécurité ?
La priorité d’un dirigeant est de faire tourner son entreprise, de payer ses salariés, d’innover. Je pense qu’il faut atteindre une certaine taille pour parvenir à se libérer du temps de cerveau et prendre en compte la menace numérique. Nous devons faire comprendre aux dirigeants que la cybersécurité n’est pas un problème d’administrateur système, mais qu’elle doit être portée au niveau du Comex comme n’importe quel autre risque. C’est ce que font les Anglo-saxons.