Matinale Sécurité 360° : face aux attaques hybrides, la convergence entre cybersécurité et sûreté devient stratégique
À Marseille, au Club 29 de la Tour La Marseillaise, Onet Sécurité a réuni directeurs sécurité, responsables sûreté et experts cyber pour une Matinale Sécurité 360° consacrée aux nouvelles menaces et aux évolutions réglementaires européennes. Dans un contexte géopolitique instable et face à l’accélération des cyberattaques, un constat s’impose : les organisations doivent désormais piloter la sécurité de manière globale, en intégrant à la fois les dimensions humaines, physiques et numériques.
Voici les principaux enseignements des interventions de :
- Fabienne Pillet (Directrice Générale Onet Sécurité & administratrice du GES)
- Marc Véran (Directeur Sûreté et Conseiller Défense du groupe ONET)
- Lieutenant-Colonel Fabien Suchaud (Chargé de mission cyber région PACA pour la Gendarmerie)
- Mickaël Wajnglas (Secrétaire Général SPAC Alliance)
- Martin Renard (Directeur Technique Onet Sécurité).
Une menace cyber en forte croissance
Les chiffres présentés lors de l’événement rappellent l’ampleur du phénomène. En France, 348 000 plaintes pour atteintes numériques ont été enregistrées en 2024, soit une hausse de 74 % en cinq ans. Mais ce chiffre ne reflète qu’une partie de la réalité : seulement une fraction des attaques fait l’objet d’un dépôt de plainte. Le coût global des cyberattaques pour l’économie française est estimé à plus de 118 milliards d’euros, incluant les impacts opérationnels, financiers et réputationnels.
La cybercriminalité est devenue un écosystème structuré, avec des acteurs spécialisés : développeurs de malwares, revendeurs d’accès initiaux, opérateurs de rançongiciels ou blanchisseurs de crypto-actifs.
Cette structuration de la cybercriminalité s’accompagne d’une industrialisation des attaques et d’une professionnalisation des groupes criminels, capables de cibler aussi bien les grandes entreprises que les organisations publiques ou les PME.
Attaques hybrides : le point de convergence entre cyber et sécurité physique
Au-delà de la cybercriminalité classique, les entreprises doivent désormais faire face à des attaques hybrides dans lesquelles une intrusion physique sur un site permet de compromettre le système d’information de l’intérieur.
L’accès à un local technique, la compromission d’un équipement connecté ou la récupération d’identifiants via un poste de travail peuvent permettre d’initier ou d’amplifier une attaque informatique.
Les surfaces d’attaque se multiplient : cloud, supply chain, shadow IT, mais aussi infrastructures physiques et accès aux équipements critiques. Dans ce contexte, la séparation traditionnelle entre cybersécurité et sûreté n’est plus de mise. Les directions sécurité doivent désormais adopter une approche globale et unifiée.
NIS2 / REC : vers une sécurité de bout en bout
L’Union européenne accélère également la transformation du cadre réglementaire. La directive NIS 2, en cours de déploiement en Europe, impose désormais aux organisations concernées :
- une gestion des risques cyber renforcée
- une déclaration rapide des incidents
- une responsabilité accrue des dirigeants
- une approche globale incluant la sécurité physique
La directive sur la résilience des entités critiques (REC) vient compléter ce dispositif en renforçant les exigences liées à la protection physique des infrastructures essentielles.
La cybersécurité ne peut plus être traitée indépendamment de la sécurité physique. Les nouvelles réglementations européennes imposent une vision de sécurité de bout en bout.
Pour les directions sécurité, ces évolutions marquent une étape importante : la sécurité des organisations ne se limite plus aux systèmes d’information, mais concerne l’ensemble de l’écosystème opérationnel.
Cyber Resilience Act : un tournant pour les technologies de sécurité
Autre évolution majeure : le Cyber Resilience Act, adopté par l’Union européenne. À partir de 2027, tous les produits comportant des éléments numériques devront respecter des exigences strictes de cybersécurité afin de pouvoir être commercialisés sur le marché européen. Cette réglementation concerne directement de nombreuses technologies utilisées dans les systèmes de sûreté :
- les systèmes de gestion des identités
- les solutions de contrôle d’accès
- les lecteurs d’authentification
- les équipements connectés
- les infrastructures réseau
Pour permettre l’application du règlement, la Commission européenne a lancé l’élaboration de plusieurs normes harmonisées couvrant les différentes catégories de produits. Parmi elles figure la norme 16 dédiée aux systèmes d’identité et de contrôle d’accès, développée dans le cadre du projet HESTIA piloté par SPAC Alliance.
Vers une sécurité de bout en bout
Pour les directions sûreté et cybersécurité, ces évolutions impliquent une transformation profonde des approches et des pratiques. La conformité aux nouvelles exigences passe notamment par :
- l’intégration des enjeux cyber et sûreté
- l’adoption de solutions ouvertes et interopérables
- l’utilisation de standards reconnus
- la réalisation d’audits de conformité et d’analyses de risques
L’analyse des systèmes de sûreté devient un élément central de la stratégie de cybersécurité : architecture réseau, gestion des accès, chiffrement des équipements, procédures organisationnelles ou encore gouvernance des identités.
Un enjeu stratégique pour les organisations
Au-delà de la conformité réglementaire, la convergence entre cybersécurité et sécurité physique devient un enjeu stratégique pour la résilience des organisations.
Face aux menaces hybrides et à la pression réglementaire croissante, les entreprises doivent repenser leur approche de la sécurité et adopter une vision globale, couvrant l’ensemble de leurs infrastructures et de leurs processus. C’est dans cette dynamique que s’inscrit l’action de SPAC Alliance, qui fédère les acteurs de l’écosystème afin de promouvoir des solutions ouvertes, interopérables et alignées avec les futurs standards européens.
