European Cyber Week 2025

Néosoft était présent au salon de l’European Cyber Week 2025 (ECW) à Rennes.

Cet événement annuel permet aux acteurs de la cybersécurité française et européenne de présenter leurs projets et avancées autour des sujets liés à la recherche en cyber, aux enjeux sociétaux, à l’IA dans le domaine de la défense et de la robotique, mais aussi à des thématiques institutionnelles ou encore des tables rondes.

Durant cette journée, nos collaborateurs ont pu participer à différentes conférences et tables rondes. Cet article traitera donc des trois thèmes suivants :

• Les menaces cyber pour les villes et territoires numériques de confiance, avec un focus sur les impacts psychologiques d’une crise cyber et les moyens de prévenir certains effets communs à toutes les crises. 
• Un panorama sur l’état d’avancement de la cryptographie post‑quantique et son intégration dans les référentiels et le marché. 
• Les outils et stratégies mis en place pour lutter contre la désinformation et ses impacts négatifs.

---

Impacts physiques et psychologiques des cyberattaques

Parmi les nombreux invités de cet ECW, nous pouvions retrouver Jérôme POGGI, RSSI de la ville de Marseille ainsi que Samuel Chabert, travaillant dans la même équipe au moment de la crise.

Venus partager leur retour d’expérience après la compromission du SI phocéen en 2020, ils ont mis en lumière les impacts subis par les services municipaux et les habitants. Cette conférence ne visait pas à aborder les aspects techniques, mais à rappeler avant tout les conséquences humaines et psychologiques qu’une telle attaque peut avoir sur les équipes cyber et les RSSI.

C’est au mois de mars 2020, en pleine crise du COVID-19 et en pleine période d’élection municipale, que ce qui allait devenir une crise de plusieurs mois débute.

L’incident démarre, un samedi matin, par un appel au RSSI. L’ensemble des systèmes semble inaccessibles et les équipes n’ont plus la main sur les serveurs.

Les équipes vivent d’abord une phase de stupéfaction, paralysante, puis, le déni d’accepter que l’ensemble des bases, annuaires et applications aient pu être compromises par un Ransomware.

Commence alors une cellule de crise et un premier plan d’action, le détachement en 2 équipes, une équipe de reconstruction du SI et une d’enquête. La première pour remonter des services indispensables à la ville en cette période, notamment la gestion des cimetières.

À la suite d’un weekend éprouvant, le lundi, Jérôme POGGI raconte également le choc de voir que le travail, effectué dans l’urgence, pour monter un système de secours est remis en cause (critique des solutions choisies…).

Avec le recul, les équipes se sont également rendues compte que des éléments de l’attaque avaient été détectés quelques jours plus tôt, mais n’avaient pas été investigués en profondeur, causant un sentiment d’échec supplémentaire.

Vient s’ajouter la crise politique, car, ne pouvant pas remonter les données d’état civil en cette période de COVID, les données publiques, ne recensant pas ou peu de morts à Marseille, ont aidé à l’émergence de théories complotistes…

Les équipes ont également dû répondre à des audits de contrôle, les ralentissant dans la reconstruction du SI, vécus comme une charge additionnelle, ce qui a surtout généré des critiques supplémentaires pour des équipes dont le moral n’était déjà pas au plus haut.

Le RSSI de la ville de Marseille a ensuite présenté les éléments facilitateurs dans cette gestion de crise. L’importance d’un accompagnement extérieur qui permet de lever de la charge auprès des équipes. Dans son cas :

• La BEFTI de Nanterre, connue sous le nom de BL2C qui a pris en charge l’enquête.
• L’ANSSI pour l’aide à la communication / communiqué de presse

Il rappelle également l’importance d’organiser un séminaire après les événements pour libérer la parole. Mais aussi de ne PAS donner le nom de la personne dont l’identité a été usurpée à cause des conséquences psychologiques que cela peut avoir (le patient zéro pris pour cible).

En résumé, 6 mois de détresse, sans accompagnement psychologique, une période racontée comme “plus violente à vivre que ce que l’on imagine”.

Un phénomène que la bioanthropologue Judith Nicogossian étudie actuellement avec trois experts en cybersécurité dans l’étude “PSYBER”, (compression des mots “psychologique” et “cybersécurité”) Cf.  Psychological impacts and human dimension of a cyber crisis on an organization: results of the interdisciplinary PSYBER study

Elle y présente la dimension humaine des cyberattaques, leur prise en charge et leur traitement ainsi que l’ensemble des réactions et émotions qu’elles impliquent. L’importance de comprendre que cette dimension peut ralentir la remédiation technique, voire impacter la capacité de certaines personnes à assurer leurs missions.

L’objectif de cette recherche est d’élargir le champ de compréhension des crises cyber (dimension psychologique) afin de proposer un ensemble de recommandations pour améliorer l’atténuation et la réponse à incident de celles-ci, tout en prenant en compte les besoins de chaque acteur, avant, pendant, et après la crise.

“Perdre l’œuvre de plusieurs années en quelques heures, c’est un poids qu’on ne dépose jamais vraiment. C’est comme perdre des collègues, des repères, une partie de notre mémoire collective qui s’efface sans prévenir. Au fond, ce qui fait le plus mal, c’est de savoir qu’on aurait pu faire mieux, qu’on aurait dû. Depuis, la même question tourne en boucle : pourquoi je n’ai pas su empêcher ça ?

Si je pouvais revenir en arrière, ma première urgence aurait été humaine. Préserver les personnes avant tout, puis reconstruire, pierre par pierre. Pas seulement la base de données, mais la confiance, celle qu’on met des années à bâtir et qu’un instant suffit à briser.”

Témoignage d’un DG anonymisé.

La conférence s’est poursuivie avec une table ronde revenant sur les points identiques à chaque crise :

• La sidération
• Les équipes techniques embarquées 24h/24
• Les services métiers qui se retrouvent bloqués et le sentiment d’inutilité de ne pas pouvoir aider
• Le soi-disant “retour à la normale” au bout de quelques mois, alors que le SI reste encore dégradé.

Cette table ronde met en lumière le manque total ou partiel d’entraînement pendant les crises cyber sur la première partie des attaques (sidération et déni). En début d’attaque, le fait de rater un stimulus clair et visible peut entraîner une latence importante dans la résolution du problème. D’où l’importance d’entraîner les équipes à passer ces premières étapes de stress, choc, etc.

Pour terminer, ne pas oublier les étapes de débriefing, pour revivre l’exercice calmement et en retirer plus d’expérience et d’informations possibles. Ce travail est à réaliser individuellement et en groupe, pour améliorer la gestion personnelle et collective des crises cyber.

L’avis de notre expert

Garder à l’esprit la dimension psychologique des individus lors d’une attaque n’est pas chose aisée. Il est très facile de retomber dans le piège d’une approche uniquement techno-centrée de la gestion de crises cyber, tant l’impact d’un tel incident peut être important pour l’entreprise.

Cependant les impacts sont réels sur la santé mentale des RSSI et des équipes techniques.

Si, lors d’un événement de ce type, la direction ou un membre de l’organisation veille à considérer cet aspect pour, par exemple, en éloigner quelques temps une personne plus fragile, cela ne pourra avoir que des conséquences positives et, possiblement, améliorer la gestion de crise et son temps de remédiation.

Transition vers la cryptographie post-quantique (PQC)

Organisée par le Chef d’Etat-major de la sous-direction Expertise de l’ANSSI, Samih SOUISSI, cette conférence a pu apporter aux spectateurs un état des lieux de l’intégration de la PQC chez les fournisseurs de solutions, ainsi que les objectifs de qualification de l’ANSSI.

Initiée en 2016 par le NIST, lors d’un RFC visant à définir les prérequis et critères d’évaluation pour standardiser un ou plusieurs algorithmes de chiffrement résistants aux attaques d’ordinateurs quantiques, la PQC est l’un des enjeux majeurs de la sécurité informatique des années à venir.

En 2024, le secrétaire au Commerce des États-Unis valide 3 standards pour la PQC :

• ML-KEM (CRYSTALS-Kyber)
• ML-DSA (CRYSTALS-Dilithium)
• SLH-DSA (SPHINCS+)

L’ANSSI estime que l’arrivée des premiers ordinateurs quantiques exploitables pourrait avoir lieu à l’horizon 2035-2040. L’organisme a d’ores et déjà mis en place un ensemble d’actions depuis ces dernières années

Le planning estimatif suivant a été présenté :

• 2025 – Premiers pilotes PQC en cours, création d’une portée PQC pour l’agrément CESTI*, premier centre agréé et premiers visas de sécurité, mise à jour des recommandations européennes
• 2026 – Publication des nouvelles versions des référentiels et guides existants ( RGS, IPSEC DR…).
• 2027 – le PQC devient un prérequis pour les produits souhaitant entrer en qualification
• 2030 – Recommandation de ne plus acheter de produits non PQC

* CESTI : Centre d’Évaluation de la Sécurité des Technologies de l’Information

Dans sa publication d’avis sur la migration vers la PQC L’ANSSI préconise également l’utilisation du principe d’hybridation des algorithmes de chiffrements.

L’avis de notre expert

Bien que les avis diffèrent quant à la date d’arrivée des premiers ordinateurs quantiques, l’intégration du chiffrement post-quantique dans la sécurisation des communications est inévitable.

Les éditeurs de solutions qualifiées, tels que TheGreenBow, développent déjà des solutions PQC, du côté des utilisateurs/clients finaux, il est important de commencer à anticiper ces changements :

• En se rapprochant de vos fournisseurs pour obtenir un état d’avancement des chantiers PQC et valider les compatibilités entre matériel et logiciel. En cas de renouvellement de marché proche d’une des dates citées ci-dessus, s’assurer que la solution choisie pourra bien prendre en charge le PQC à court/moyen terme.
• En anticipant le coût éventuel du remplacement des solutions non PQC et en planifiant ce changement pour être conforme aux exigences de l’ANSSI.

Lutte contre les manipulations de l’information : outils et stratégies

Cette conférence a été coordonnée par le cercle PEGASE avec deux tables rondes distinctes :

• La première animée par PEGASE sur le thème : « cybercriminalité, manipulations financières depuis le cyberespace et influence, réalités de la menace et perspectives ».

• La seconde, animée par Airbus, sur le thème « Lutter contre les manipulations de l’information : outils et stratégies », a permis de dresser le bilan des modes d’action offerts par la technologie pour faire face aux différentes formes de la menace informationnelle ainsi que des principales perspectives et percées attendues dans ce domaine à court ou moyen terme.

Celle-ci a réuni plusieurs experts : Olivia Breysse (Airbus), David Chavalarias (CNRS), Gauthier Schweizer (SAHAR), Benjamin Costé (AIRBUS Cyber), Anaïs MEUNIER (Storyzy et M82)

Deux dynamiques convergentes redéfinissent les menaces dans le cyberespace : l’explosion de la cybercriminalité, qui détourne chaque année des milliards d’euros, et la menace informationnelle, instrumentalisée par des acteurs hostiles pour déstabiliser les sociétés démocratiques. Longtemps perçues comme une arme d’influence entre puissances, les manipulations de l’information deviennent aussi un outil prisé par les groupes criminels.

La montée en puissance des opérations de manipulation de l’information transforme profondément le paysage de la cybersécurité. La table ronde « Lutte contre les manipulations de l’information : outils et stratégies » avait pour objectif d’analyser les menaces, les tactiques adverses et les pistes opérationnelles pour mieux structurer la défense informationnelle.

Manipulation de l’information : un champ opérationnel à part entière

Les intervenants ont rappelé que la lutte informationnelle s’articule autour de volets offensifs, défensifs et d’influence. Les fake news ne constituent plus le cœur du problème : ce n’est pas l’information falsifiée elle-même qui importe, mais l’exploitation narrative qui en est faite pour orienter l’opinion, polariser les débats ou identifier des communautés vulnérables à l’influence.

Certaines rumeurs servent avant tout à cartographier les appartenances sociales. Qu’il s’agisse d’affirmations complotistes sur des personnalités publiques ou de déclarations visant certaines populations, ces contenus deviennent des indicateurs d’adhésion communautaire, facilitant la segmentation des cibles par les acteurs malveillants.

Cette approche s’inscrit dans une stratégie plus large : modifier la structure sociale, créer une forme de « backdoor sociale » afin de diffuser plus efficacement des narratifs ultérieurs. Lorsque des groupes hautement polarisés émergent, ils deviennent capables de fragmenter durablement l’espace public, créant les conditions idéales pour influencer des votes, perturber des institutions ou amplifier des tensions internes.

Des menaces facilitées par la baisse des coûts de production de contenus

La production de contenus numériques (vidéos courtes, visuels, messages viraux) n’a jamais été aussi accessible. Les plateformes connues pour la diffusion de contenus courts contribuent ainsi à accélérer la propagation de récits manipulatoires. Cette démocratisation crée un environnement où des acteurs disposant de peu de ressources peuvent atteindre une audience massive et durable.

Les intervenants ont souligné que certaines communautés structurées, notamment le mouvement MAGA, illustrent bien cette capacité à mobiliser, fédérer et polariser autour d’un récit identitaire partagé.

Vers une standardisation de l’analyse des attaques informationnelles

Les chercheurs travaillent aujourd’hui à construire des référentiels capables de modéliser les attaques informationnelles. Une matrice équivalente à MITRE ATT&CK, encore en cours de maturation, a été présentée comme une avancée majeure. Elle permet de décrire les tactiques, techniques et procédures (TTP) des acteurs de la manipulation, en s’appuyant sur des standards tels que STIX (Structured Threat Information eXpression).

Ce type d’outillage vise à :

• Représenter les modes opératoires adverses
• Identifier les indices de compromission informationnelle
• Mesurer la vitesse de propagation
• Faciliter le partage inter-organisations

L’objectif est de rendre la lutte contre les opérations d’influence plus accessible, plus structurée et plus industrialisable.

Le défi du SOC hybride : vers la convergence cyber – informationnel

Un débat important a porté sur la possibilité de faire évoluer les SOC vers des modèles hybrides intégrant la menace informationnelle.

Malgré certaines similitudes (logique d’alerte, analyse des flux, détection d’anomalies), les intervenants ont souligné que les TTP informationnels n’ont rien à voir avec ceux observés en cyberdéfense classique. Les méthodologies d’analyse, les signaux faibles et les indicateurs comportementaux sont différents.

Pour converger, il faudrait être capable d’extraire et de modéliser ces TTP dans un format commun, ce qui demeure un chantier complexe mais prometteur.

Réponses institutionnelles et limites des solutions actuelles

Les réponses institutionnelles doivent impérativement être adaptées au type d’influence identifié.

Le fact-checking reste une composante essentielle de la lutte défensive, mais son impact est limité face à la vitesse de propagation des contenus viraux.

Plus inquiétant encore, l’intégration d’IA génératives dans certaines plateformes, comme Grok sur X, crée des risques majeurs. L’IA peut amplifier des narratifs douteux, voire diffuser directement des messages biaisés. La dépendance à un modèle opaque et entièrement contrôlé par un acteur privé augmente considérablement la menace. Comme évoqué par les intervenants, un modèle qui serait orienté pour influencer des choix politiques pourrait avoir un effet direct sur les processus électoraux.

Le rôle des LLM : des opportunités limitées et des risques importants

Si les LLM peuvent assister à l’analyse de contenus massifs, ils souffrent encore d’un manque de nuance et d’une difficulté à contextualiser les opérations d’influence. Leur utilisation doit donc rester encadrée et supervisée.

À noter : la France figure parmi les pays enregistrant un recul significatif de l’usage de X (-13 %), ce qui pourrait partiellement atténuer certaines menaces informationnelles.

Une menace désormais reconnue comme stratégique

Le cadre européen désigne ces opérations sous l’appellation FIMI (Foreign Information Manipulation and Interference). Elles sont désormais considérées comme un risque stratégique à part entière, à la croisée de la cybersécurité, de la sociologie des réseaux et de la géopolitique.

La conférence rappelle que la lutte contre la manipulation de l’information ne repose pas uniquement sur des outils technologiques, mais également sur une compréhension fine des dynamiques sociales, des biais cognitifs et des mécanismes d’influence. Les organisations doivent aujourd’hui se préparer à intégrer ces dimensions dans leurs dispositifs de sécurité.

L’avis de notre expert

Les menaces informationnelles peuvent avoir de graves conséquences, notamment la déstabilisation sociale et politique d’un État mais également l’atteinte à l’image et e-réputation. Pour minimiser ces risques, une prise de conscience est nécessaire. Chaque individu doit acquérir le réflexe de vérifier toute information avant de la rediffuser. L’expansion des IA génératives permettant de créer et diffuser massivement de fausses informations est un véritable problème car cela permet à des groupes malveillants de manipuler l’opinion publique et la société au sens large.

Malgré les progrès technologiques et notamment la promesse que représenterait l’émergence des SOC hybrides intégrant la détection de la menace informationnelle, nous devons tous individuellement et collectivement développer un sens critique à l’égard des informations que nous recevons et diffusons. Il est donc primordial d’éduquer les jeunes comme les moins jeunes à la désinformation et à la détection des fake-news.

Conclusion

La journée passée à l’European Cyber Week 2025 au Couvent des Jacobins confirme l’importance de cet événement dans le paysage européen. Néosoft, en tant qu’acteur reconnu, doit rester en veille sur les tendances du marché et l’évolution des menaces.

Les conférences ont mis en évidence plusieurs enjeux clés : évolution des menaces, montée en puissance de l’IA, collaboration public‑privé et souveraineté numérique.

Au‑delà des contenus techniques, cet événement souligne l’énergie d’un écosystème dynamique où chercheurs, industriels et institutionnels construisent ensemble les solutions de demain. Il rappelle aussi la nécessité de renforcer la collaboration et les synergies face à la complexification des menaces.