Security Defense Business Review

View Original

Interview de Patrick Radja @ Naval Group

Patrick Radja est Directeur Cybersécurité Adjoint et Directeur Technique Cybersécurité Groupe chez Naval Group

SDBR News : Vous étiez début octobre aux Assises de la Cybersécurité à Monaco. Qu’en avez-vous retenu ?

Patrick Radja : C’était très instructif. Cette manifestation m’a permis de revoir l’ensemble de l’écosystème et de mesurer l’évolution des différents acteurs du domaine pendant et à la sortie de la crise Covid : quels sont les enjeux des uns et des autres, où en sont les technologies et comment évolue le marché? 

SDBR News : D’après vous, où va le marché de la cybersécurité ?

Patrick Radja : A mon sens, le marché se recompose en deux parties. Une qui est toujours en cours de re-consolidation, mais avec une évolution dans les stratégies d’acquisition. Jusqu’à peu de temps, on voyait que les plus grosses opérations étaient réalisées par des acteurs de l’IT qui faisaient l’acquisition de sociétés de cybersécurité pour se doter de leurs capacités cyber : VMware, Microsoft, Cisco, etc. Aujourd’hui, on assiste aussi à la consolidation de « Pure Player » de la cybersécurité : par exemple, le fonds STG (Symphony Technology Group) qui a acheté en juin 2021 RSA Security, la division produits de FireEye plus le nom FireEye, et l’activité B2B de McAfee, pour en faire un mastodonte des produits de sécurité avec une capacité d’investissement en R&D conséquente. Une autre partie du marché commence à s’orienter vers le monde industriel et à se structurer, avec de plus en plus d’enjeux sur la partie sécurité de l’environnement industriel et sur les outils embarqués. Nous allons assister à des évolutions entre le logiciel pur et les couches électroniques, donc à l’ouverture de nouvelles compétences. Elles vont offrir des opportunités à des sociétés françaises qui pourront se faire une place sur le marché mondial de la cybersécurité.

SDBR News : L’évolution de ce marché du cyber a-t-elle un impact sur Naval Group ?

Patrick Radja : Nous avons une activité de veille extrêmement active sur les solutions souveraines. Nous suivons aussi de très près l’évolution des technologies pour valider, d’une part, ce qui peut être embarqué sur les navires et répondre aux besoins de nos clients en considérant différents niveaux de menaces, d’autre part, ce qui est nécessaire à la sécurisation de l’entreprise Naval Group en considérant différents vecteurs offensifs directs ou indirects, jusqu’à la supply chain. Nous nous plaçons dans la logique de la Convention Cyber signée le 14 novembre 2019 entre la ministre des Armées et les industriels de Défense*. Nous voyons apparaître de nouvelles technologies assez prometteuses pour les enjeux futurs qui concernent le secteur du naval de défense : cybersécurité, intelligence artificielle, drones, sécurisation des équipements industriels embarqués à bord des navires, etc. Naval Group dispose des compétences internes pour adapter ces technologies au cœur des différents systèmes, en adéquation avec les cycles de vie des navires et les contraintes de l’environnement naval et des marins. Sur le volet des ressources humaines, l’acculturation cyber est très importante, cela passe par une sensibilisation continue, un accompagnement constant et des formations spécifiques.

SDBR News : Revenons sur la supply chain. Y a-t-il encore des fournisseurs qui n’ont pas compris l’impact de la cybersécurité sur leur activité ?

Patrick Radja : De nombreuses sociétés ont fortement progressé au cours des dernières années mais la route est encore longue car le sujet de la cyber a trop longtemps été considéré comme un risque avec peu de probabilité d’occurrence. La marge de progrès est encore importante et malheureusement ce n’est pas uniquement vrai pour les petites entreprises. L’actualité des deux dernières années a accéléré la prise de conscience collective. Nous observons une volonté d’un grand nombre d’entreprises de progresser rapidement mais aussi une attente de plus en plus forte dans beaucoup de marchés (défense, transport, énergie, etc…) stimulés par la multiplication des attaques de ces derniers mois.

SDBR News : La prise de conscience des enjeux cyber dans le domaine naval est-elle à la hauteur des risques encourus ? 

Naval Group innovation

Patrick Radja : L’enjeu ne concerne pas que Naval Group. C’est un enjeu de marché global et de ce fait cela va devenir un enjeu de positionnement voire de survie pour beaucoup de fournisseurs. Nous avons beaucoup travaillé à l’accompagnement cyber de nos partenaires, pour leur expliquer nos exigences et les raisons de ces exigences : la cybersécurité est un « must have » et un enjeu de marché, pour nous mais aussi pour eux. Ils doivent donc rapidement prendre le virage de la cybersécurité pour nous permettre de continuer à travailler avec eux en toute sérénité. En soutien à cet enjeu, le ministère des armées a mis en place le 08 septembre 2021 le « Diag Cyber »** qui est un dispositif d’aide à la cyber sécurisation des PME et des ETI de l’industrie de Défense. C’est une initiative extrêmement intéressante pour pouvoir rapidement évaluer sa performance cyber et ainsi se mettre à niveau rapidement en ciblant les points importants. Dans cet esprit, nous avons aussi contribué à la mise en place de l’association « France Cyber maritime ». Notre ambition partagée est de soutenir la montée en niveau de cybersécurité de la filière maritime. Nous partageons des éléments permettant de mieux comprendre le risque encouru, de développer les bonnes pratiques, etc. Chez Naval Group, nous avons mis en place des dispositifs pédagogiques d’acculturation cyber pour tous nos collaborateurs, que ce soit des concepteurs ou des techniciens de production ou de maintenance. Nos équipes ont conscience de la nécessité de respecter des process extrêmement rigoureux. La cyber est présente sur l’ensemble du cycle de vie de nos produits.

SDBR News : L’enjeu est de taille. Quels sont vos atouts pour recruter des experts en Cybersécurité ? 

Patrick Radja : Nos experts cyber ont un champ de travail très large, ce qui permet d’atteindre l’excellence technologique sur l’ensemble de nos domaines. Les architectes cyber, les développeurs de logiciels qui entrent chez Naval Group peuvent y trouver durablement un environnement favorable à l’épanouissement professionnel, grâce à la variété de la richesse technologique : électronique, IT, informatique embarquée, systèmes industriels, etc.***. Un tel concentré technologique est très rare et encore plus dans les sociétés industrielles.

SDBR News : Le CERT de Toulon est-il arrivé à maturité ?

Naval Group

Patrick Radja : Nous avons à Toulon une équipe d’une vingtaine de personnes qui travaillent à la fois sur les enjeux de nos produits et sur les enjeux de nos infrastructures. Le CERT accompagne les phases de construction neuve des navires mais, lorsque le navire est à la mer, c’est la Marine nationale qui prend le relais et qui est appuyée par les équipes du Comcyber. Nos équipes de services assurent les premières mesures de support cyber et le CERT Naval Group vient éventuellement en appui des métiers lorsque les marins ont besoin d’un support, par exemple, pour analyser l’impact d’un incident de cybersécurité. Le CERT peut aussi être amené à assister et collaborer avec nos fournisseurs stratégiques et partager avec des acteurs industriels les informations sur l’état de la menace pouvant impacter nos activités.

SDBR News : Le CERT Naval Group fait-il de la « threat intelligence » ?

Patrick Radja : Ce qui intéresse Naval Group, c’est de partager une « threat intelligence » ciblée sur nos activités, sur nos risques de perte d’exploitation, sur ce qui peut impacter le naval de défense et plus largement les activités maritimes. C’est pourquoi nous avons des relations avec les grands industriels concernés et des relations très étroites avec l’ANSSI et le ministère des Armées. Dans cet esprit de partage d’informations, nous contribuons fortement au CERT Maritime piloté par France Cyber maritime et nous encourageons la création de CERTs interrégionaux qui sont des relais d’actions dans les régions où nous sommes implantées. Nous allons aussi créer un Cyber-Lab en Belgique pour travailler à la réalisation du contrat belgo-néerlandais des chasseurs de mines. Les exigences de nos clients à l’Export montent en puissance sur le Cyber, ce qui justifie pleinement l’intérêt stratégique de la cybersécurité pour Naval Group. La cybersécurité est aujourd’hui devenu un domaine capacitaire avec des performances à respecter et non plus uniquement un risque à réduire.

* https://www.defense.gouv.fr/dga/actualite/signature-d-une-convention-cyber-entre-florence-parly-ministre-des-armees-et-les-industriels-de-defense

** https://www.defense.gouv.fr/dga/actualite/florence-parly-ministre-des-armees-annonce-la-creation-du-diag-cyber-un-dispositif-d-aide-a-la-cyber-securisation-des-pme-et-des-eti-de-l-industrie-de-defense

*** https://www.naval-group.com/fr/nous-rejoindre-85

Crédits photos: Naval Group