NIS2 : c'est quoi, pourquoi, pour qui ? | #63

[00:00:05] Le sujet de NIS2, vous en avez sûrement entendu parler, auquel cas c'est la bonne occasion aujourd'hui. Dans la première partie de notre échange, mon invité a expliqué qu'est-ce que NIS2, pourquoi cette directive existe, qui est concernée, le principe de l'autodésignation et beaucoup plus. Mon invité est Marc-Antoine Lodio, avocat au barreau de Paris depuis 1993 et qui, avec son cabinet d'avocats, est spécialisé en droits de la cybersécurité et en contrats du numérique B2B.

[00:00:35] Je suis Michael VIRGONE, bienvenue sur mon podcast Cybersécurité All Day, qui est un podcast qui a pour vocation de vulgariser les sujets associés à la cybersécurité et de faire de la sensibilisation. Voici la première partie de mon échange avec Marc-Antoine. Je te remercie de participer à mon podcast. Comme je t'avais dit, ça fait un moment que j'avais pensé à t'inviter, mais je n'avais pas trouvé de sujet encore qui me sautait aux yeux. Et là, quand j'ai vu NIS2, je vais te le dire. Là, c'est trouvé quand même.

[00:01:03] C'est trouvé, je vais te le dire, NIS2, je sais mieux que moi, tout le monde en parle. J'avais été à un événement, etc. en France, tout le monde en parle. Et c'est vraiment le sujet compliqué. Donc du coup, c'est parfait pour la thématique de mon podcast. Oui, c'est compliqué. J'ai déjà réalisé le sujet. Très bien, on va essayer. Et du coup, je te propose de te laisser te présenter avant qu'on commence. Eh bien, écoute, volonté d'abord, merci de ton invitation. Je vais essayer de parler de NIS2 de manière professionnelle. Surtout, on va donner de la perspective.

[00:01:29] C'est-à-dire qu'on va essayer de planter le décor au départ, comprendre pourquoi on en arrive à un truc qui est aussi horriblement compliqué. Pourquoi ça ne prend pas et pourquoi c'est long et pourquoi il y a des délais. Une fois qu'on comprend pourquoi et comment ça marche, après le reste, c'est du détail. Il faut aller lire quand on est concerné, soit parce qu'on est tech, soit parce qu'on fait de la GRC, par exemple, ou des contrats. Parce qu'à un moment, on va tous faire la même chose. Bon, donc je me présente. Donc Marc-Antoine Ledieu. Je suis avocat au barreau de Paris depuis un peu plus de 25 ans.

[00:01:57] En fait, ça fait 25 ans que je fais du contrat IT en B2B. C'est-à-dire de la licence de logiciel, de la cession de logiciel, de la base de données électronique, du IAS, du PAS, du SAS, des traitements de données à caractère personnel, des traitements de données tout court, la sécurité des systèmes d'information. Ça, c'est assez récent. J'ai fait tout ce qui était données personnelles, bien sûr. Mais aujourd'hui, je dirais, la partie RGPD, c'est une petite chose en comparaison à la législation cybersécurité qui est sortie, qui va s'imposer aux entreprises, donc aux salariés.

[00:02:26] Parce qu'à un moment, on va faire signer des chartes à tous les salariés pour qu'ils respectent aussi les mesures de sécurité que l'entreprise a mis dans ses contrats. Mais c'est comme ça que ça va marcher. Sinon, ça ne prendra jamais. Et puis ensuite, il y a du CRA qui arrive. Mais ça, on en parlera un autre jour. Donc aujourd'hui, il y a cinq ans, j'étais seul avec une stagiaire. Aujourd'hui, j'ai deux collaboratrices et une alternante. Et vraiment, notre métier, c'est les contrats IT et la cybersécurité avec les annexes, les concepts techniques et les formations. Et pour rendre le truc un peu sympa, qu'est-ce qu'on fait ?

[00:02:56] On le fait en bande dessinée. C'est pour ça que j'aurai le plaisir de mettre, dès que mon Mac, nouvelle génération, 48 gigas de RAM, 48 gigas de RAM, 2 T1 disques de dire. Mais bon, évidemment, comme j'ai fait un transfert propre, tous mes paramétrages ont sauté. Donc, je manque. Mes polices de caractère propriétaires BD ont un peu sauté. Ce sera rétabli quand je mettrai les slides en ligne et tes auditeurs pourront aller regarder les slides. En même temps, qu'ils t'écoutent. Et toi, je te laisserai mettre le lien, mais je m'en occupe.

[00:03:24] Si tes auditeurs, ils veulent s'intéresser aux problèmes de cybersécurité et des problèmes de droits qui vont derrière. Moi, je communique beaucoup sur LinkedIn, où je mets beaucoup de contenu en ligne. Et je me ferai un plaisir de faire une présentation spéciale de tout ce qu'on va se raconter, pour qu'ils puissent voir aussi ce que ça donne, pour s'intéresser un peu au sujet, parce que c'est un vrai problème aujourd'hui. Voilà, ça, c'était ma présentation. Oui, oui. Et quand même aussi, il faut dire, contributeur régulier au podcast de référence dans le MCQ. Il ne faut quand même le dire. Attends, il faut quand même le dire. C'est assez sympa.

[00:03:54] En fait, en 2019, on devait enregistrer une heure d'épisode et on enregistrait 10 épisodes de 30 minutes. Parce que je leur avais proposé le droit du numérique depuis Néandertal jusqu'à la LPM 2018, puisqu'on était en 2019. Et puis, en fait, au lieu d'une heure, on a enregistré, je ne sais plus, 6 heures, je crois, quasiment. Et puis, moi, je me suis formé beaucoup en écoutant des podcasts. Ma formation d'avocat dans la cyber, ça a été comprendre les concepts techniques et le podcast.

[00:04:19] Donc, après avoir écouté plusieurs fois certains épisodes de No Limit Sécu, je suis passé ensuite au statut envié, apparemment, de contributeur. Oui, chichi. Il faut quand même le dire. C'est No Limit Sécu. Voilà, c'est clairement, c'est la référence de podcast Cyber Enfance. Il n'y a pas de débat. Du coup, comme on avait dit pour ce podcast, là, du coup, je m'adresse aussi aux auditeurs. Au lieu, c'est un peu différent dans le sens, en général, j'aime bien faire des recherches, beaucoup de recherches pour préparer le sujet. Là, c'est clairement l'un des sujets, pour ne pas dire le sujet, sûrement, où j'y connais le moins. Je n'ai pas de prétention.

[00:04:48] Vraiment, je n'y connais pas grand-chose. D'accord ? Et quand j'ai vu, effectivement, je t'avais dit, Marc-Antoine, ton webinaire avec un précédent invité, d'ailleurs, Hamza Kondor, que j'aime beaucoup, qui j'avais parlé à l'époque, des sujets sécurisation de l'actif d'électorie. Au passage, podcast 48 et 49, c'est quand j'ai vu le podcast, une réflexion de Hamza à la fin, ça a été la même que je me suis fait moi dans ma tête en prévision de ce podcast. Il a dit qu'il s'est senti un peu comme l'invité dans son webinaire. Il a regardé et il a suivi. C'est seulement ce que moi, je vais faire aujourd'hui.

[00:05:19] Du coup, ce que je vais faire, comme je t'avais proposé, c'est que là, effectivement, le podcast est en audio. Moi, je vois tes slides. Les auditeurs n'auront pas les slides, évidemment. Et par contre, ce que tu m'as gentiment proposé, c'est de pouvoir mettre à disposition à travers un lien vers ton site en description de l'épisode, tes slides. Tes slides sont numérotés. Donc, des fois, de temps en temps, premièrement, je vais t'interrompre sur certains points, j'aurais des questions. Et deuxièmement, des fois, je rappellerai le numéro des slides. En fait, on va faire mieux. Le numéro des slides, on s'en fout un peu, c'est d'écrire la slide.

[00:05:47] Là, par exemple, maintenant que je me suis présenté, j'ai une slide qui s'appelle « Un triste constat ». Et on voit quoi ? On voit des montagnes avec des espèces de météorites qui tombent dessus. Et moi, c'est comme ça que je construis mes slides et qui me permettent après de faire des podcasts ou faire des présentations en live. C'est que quand je vois le titre de la slide et le picto que j'ai mis dessus, ça me permet tout de suite de savoir ce que j'ai à dire. Et là, c'est un chapitre spécial qui est le chapitre « On va commencer à comprendre le constat pour comprendre pourquoi on en arrive à Nice 2 ».

[00:06:17] C'est moi que tu dises ça parce que quand j'ai vu le webinaire, encore une fois, avec Hamza, je me suis dit « Bon, le sujet, je préfère me garder un peu neuf dans ma tête. » Donc, j'ai juste survolé un peu le webinaire. Par contre, ce que j'ai fait, j'ai vu tous les slides. Je suis allé voir tous les dessins. Michael, pourquoi les slides en BD ? Bon, j'aime bien la BD, d'accord. Enfin, si j'aime bien la BD, c'est mon problème, ça n'intéresse personne. Mais par contre, quand on essaie de présenter des choses compliquées, ce qui est le cas de Nice 2, soit je me fais plaisir et je n'ai pas besoin de diffuser mes slides, soit c'est une manière d'expliquer un peu différente, peut-être, parce que les supports sont originaux.

[00:06:46] Moi, ça me demande du vrai travail parce que j'ai l'autorisation de l'éditeur, que je rémunère quand je fais des prestations payantes, ce qui n'est pas le cas de ton podcast à la gentillesse de m'inviter, je réponds volontiers oui, et j'ai l'autorisation de l'éditeur de présenter mes slides. L'idée, c'est que derrière, aujourd'hui, on a des lois qui sont compliquées et qu'il faut les retenir. Si c'est une manière de les retenir, en diffusant un peu de contenu et en aidant les gens à comprendre parce qu'on est tous concernés, tous les pros, on est concernés par ça. Eh bien, si c'est une manière de faire, moi, je fais comme ça. Oui, et puis en plus, il faut aussi dire, et ça, en préparation du podcast, tu me l'as dit, et ça, je pense que tout le monde va être d'accord.

[00:07:16] Tu m'as dit que personne ne veut lire les lois, ce n'est pas toujours bien écrit, et puis bon, pour être honnête, c'est quand même assez chiant. En plus, ce n'est pas ton métier. C'est très compliqué. C'est vrai qu'il y a des slides, c'est une bonne approche, je pense. Et après, c'est histoire de comprendre le contexte, de comprendre le contenu. Alors, on ne va pas rentrer dans tous les détails. Et après, on sait ce qu'on doit aller chercher comme contenu, mais qu'on soit tech, qu'on soit juriste, qu'on soit direction des risques, direction conformité, qu'on fasse de la maintenance. Je veux dire, on a besoin de savoir comment ça marche. Voilà.

[00:07:44] Et c'est ça que moi, grâce à toi, je vais vous piloter pour essayer de comprendre pourquoi on en est là. C'est grâce à toi, grâce à toi. Écoute, je te propose que l'on commence. En préparation du podcast, on avait dit, et du coup, je ne sais plus si on en a parlé juste avant, si ça rentrait dans la partie que tu voulais évoquer au début du podcast, mais tu m'avais dit éventuellement de faire un très très bref point de 3-4 minutes sur Nice 1, parce que tu m'as dit forcément que c'était plus pertinent. Je vais peut-être faire un point sur Nice 1, et aussi, peut-être pourquoi ça a échoué. Et aussi, moi, une question que j'avais en tête, c'est pourquoi finalement ça a échoué,

[00:08:14] et pourquoi on pense qu'en Nice 2, on va être un succès, sachant que le périmètre, il est beaucoup plus large. Alors, moi, ce que je te propose, d'abord, je vais répondre à ta question, parce qu'il y a des explications publiques qui se comprennent. Dans ce triste constat, moi, je vais te glisser Nice 1, et tu me le rappelles, et je te montre. Ok. Tu vois, en fait, le problème, quand on veut objectivement voir les choses aujourd'hui, la cybersécurité, c'est quoi le problème ? Eh bien, c'est qu'on est en fin 2024, aujourd'hui, les entreprises, toutes les professionnelles,

[00:08:43] comme nous d'ailleurs, les particuliers, on nous enlève notre Mac, notre PC, et notre téléphone, je serais curieux de savoir ce qu'on va faire. Non mais, c'est ça. Et quand on va bosser, voilà, on nous enlève ça. Je ne peux plus communiquer, je ne peux plus travailler, je n'appelle plus ma famille, je n'ai plus mes copains, je ne réserve plus rien, je n'achète plus en ligne. Bon. Et les entreprises, c'est pareil. Et aujourd'hui, le constat, c'est que les entreprises sont 100% dépendantes de leur système d'information, qu'on soit une société de service, qu'on fasse de la GRC, qu'on fasse de la maintenance, ou qu'on soit un prestataire,

[00:09:12] un pure player de l'Internet, enfin du web, pardon, pour le dire proprement. Donc, on est tous 100% dépendants. Et de l'autre côté, les problématiques de cybersécurité, ça n'a jamais intéressé personne. parce qu'il y a une raison simple, c'est que l'Internet V1, c'est 1973. Donc, ça fait 50 ans aujourd'hui, à peu près. Le premier IBM PC commercialisé grand public, c'est 1980. Donc, ça fait à peine 50 ans. Et depuis que ces deux systèmes qu'on utilise tous et tous, enfin toutes et tous,

[00:09:42] nos téléphones, nos ordis, eh bien, personne n'a jamais pensé à faire de la sécurité. C'est absolument incroyable, mais c'est comme ça. On a fait en sorte que la technique marche, mais la cybersécurité, ça n'a jamais intéressé personne. Et, alors je vais faire un peu des explications juridiques parce que ça permet de comprendre. En fait, quand on prend l'Union européenne, l'Union européenne, donc 57, on est 27 États membres aujourd'hui. Eh bien, l'Union européenne a des compétences propres pour faire des lois à la place des États dans des tas de domaines. Et dans ces domaines,

[00:10:12] si on prend l'aéronautique, l'automobile, l'alimentaire, les médicaments, il y a des normes de sécurité partout qui sont des normes de sécurité produites par l'Union européenne. Il y a un seul domaine où il n'y a jamais eu de norme de sécurité, c'est l'informatique. L'informatique, c'est les réseaux et les systèmes d'information et tout ce qui va avec. OK ? Il n'y a jamais eu de norme de sécurité obligatoire. Et depuis des années, on découvre, là c'est une slide de 2022, je l'ai gardée exprès, en 2022, septembre 2022, on voit que

[00:10:40] tous les grands prestataires professionnels, tous les éditeurs de navigateurs, tous les systèmes d'open source et tous les trucs GitLab et Cisco et Citrix et IBM et SAP Synology et VMware, tous, ils ont des trous de sécurité gigantesques. Des vues de l'érabilité par milliers. Donc, c'est l'état, aujourd'hui, de la réalité des professionnels qui nous fournissent à titre perso ou à titre pro tous ces outils qui nous permettent de bosser avec le numérique. Ce sont tous des passoires. OK ? Ils sont tous là dans l'ordre. Et on peut le prendre aujourd'hui, c'est pareil.

[00:11:10] Alors, pourquoi ? Pourquoi on en est là ? On en est là parce que, donc, d'abord, tout le monde s'en foutait. Ensuite, c'est les infrastructures. Les infrastructures, c'est comme les routes, l'arrivée de l'électricité et de l'eau. Ça n'intéresse personne. On veut que ça marche. Et en fait, on se fout de savoir la manière dont ça marche. Et aujourd'hui, on commence à se soucier de ça. Toutes ces lois, dont on dit ce deux, c'est les infrastructures des entreprises qui utilisent le numérique ou des professionnels du numérique. Et on va voir, c'est traité à part par Bruxelles et c'est pas ça. L'autre constat objectif

[00:11:40] que moi, je vis, parce que moi, je suis arrivé dans mon premier cabinet d'avocats en 95, il y avait une secrétaire qui avait un traitement de texte. Il n'y avait pas Internet, on n'avait pas d'ordinateur. On dictait à une secrétaire, elle tapait, on relisait sur du papier et on envoyait les courriers. Et en l'espace de même pas 30 ans, c'est la révolution, on a tous nos smartphones, nos ordinateurs au bureau, chez nous, on a des box, tout est connecté. Mais qui a appris à se servir de tout ça ? Personne.

[00:12:10] On est plus ou moins doué. Oui, ceux qui codent, ils savent à peu près quand même. OK, mais c'est les seuls. Nous, les autres, on est tous des noobs, pour prendre ce terme qui est à la mode. Mais on doit bosser avec, on doit téléphoner avec dès qu'il y a un OS. Moi, je suis sur iPhone, dès qu'il y a l'OS qui change, moi, c'est pas dit qu'à bord. Il faut que je réapprenne à trouver les boutons, il faut que j'enlève ceci, on en rajoute. Bref, on n'a jamais appris à se servir de tout ça. Or, aujourd'hui, on en est tous tributaires. Et pour en revenir au phénomène des cyberattaques, ce que les entreprises,

[00:12:40] les patrons, les dirigeants ne comprennent pas, c'est qu'ils pensent tous qu'ils ne seront jamais la cible d'une cyberattaque parce qu'ils pensent qu'ils devraient être visés à titre personnel. Genre, je suis le patron d'une PME de 12 personnes ou d'une TPE ou d'un, je ne sais pas quoi, où ils sont 300, disent, pourquoi nous, on fabrique de la farine, des épluches légumes, je dis n'importe quoi, on transporte des millions de tonnes de fruits et légumes, de l'électricité et ils ne comprennent pas que ces attaques sont dans 4-29% des cas

[00:13:10] totalement automatisées, ça cherche des vulnes, ça rentre, ça fait de l'exécution de privilèges, ok, et puis ça chiffre ou ça exporte massivement les données et c'est l'hélique et tout ça. Ils ne comprennent pas. Et en même temps de tout ça, l'échec supplémentaire, c'est que le système de la loi, c'est-à-dire la police fait appliquer dans les cas graves, quand c'est dans le code pénal, tout ça, ça ne marche pas dans les délais numériques pour une raison simple. C'est que notre code pénal, ça a été écrit à l'époque de Napoléon.

[00:13:39] Donc quand il y avait un voleur, il fallait qu'il soit sur le territoire national et quand on l'avait identifié, on lui envoyait la police sur le territoire national, ok, et il était jugé par les juges sur le territoire national. C'est le critère légal dans le code pénal, sur le territoire national, ok, mais quand on a des hackers, des cryptolockers, des gangs de ce qu'on veut, qui sont réfugiés n'importe où dans le monde, qui ont une connexion Wi-Fi, qui ont des outils avec des VM qui sont mis à disposition sur des serveurs qui servent de serveurs de rebond, comment on fait, même si on sait qui c'est,

[00:14:09] comment on fait pour les attraper physiquement, ok ? Donc déjà, ce n'est pas possible. C'est une révolution pour les systèmes de droit ou alors il faut des accords de coopération internationaux, c'est la panique, ils vont tous se réfugier en Russie puisque la Russie n'extrate pas ces hackers. Tant qu'eux-mêmes ne s'en prennent pas au pouvoir russe, on sait que c'est comme ça que ça marche, donc c'est le bazar. Donc ça ne marche pas. Donc c'est cette slide, la répression pénale, le système de droit, n'arrête pas les pirates. Donc ça ne marche pas, donc il faut faire en trois. Je ne parle même pas des brouteurs qui sont réfugiés

[00:14:39] en Afrique où ils font du chantage avec « je t'ai regardé en train de regarder un film cochon, je t'ai accusé de je ne sais pas quoi et donc je vais te faire chanter, envoie-moi 30 dollars de je ne sais pas quoi sur des PCI DSS parce que je n'y comprends rien et tu portes plainte il y a 10 000 dossiers par mois à Paris et que les dossiers à un moment ils sont tous cassés sans suite, on n'y arrive pas. » Donc la justice ne marche pas pour réprimer le phénomène des cyberattaques contre les particuliers ou contre les organisations, les entreprises, les États, on n'y arrive pas. Bon, alors on va faire des lois,

[00:15:09] on va dire « bon maintenant la sécurité c'est obligatoire ». Alors le problème c'est qu'en plus, et ça c'est un truc français, dès qu'il y a une loi qui sort et qui est obligatoire en France, je suis le premier à pouvoir en attester sous le secret professionnel, la moitié des appels que j'ai, j'en ai eu deux aujourd'hui. Bonjour, je viens d'entendre parler d'Aura, on n'en parlera pas ce soir mais c'est 10-2 pour les banques. Alors, vous pouvez me trouver une raison pour laquelle ça ne s'applique pas à moi ? Ma collaboratrice et moi, on tient un pipo bingo

[00:15:39] des questions qu'on nous pose pour être sûr qu'on trouve un argument pour y échapper. C'est ce que j'ai appelé sur cette slide là où on voit « mais c'est l'enfer ici » les deux personnages qui regardent un écran, c'est le réflexe de la stratégie du contournement. On commence par chercher comment on peut ne pas faire de la sécurité parce qu'on n'est pas concerné par la loi. On va se faire trouver comme des mauvais, on va mourir, on va laisser les données fuitées, tout va aller mal mais au moins ce n'était pas obligatoire donc on va mourir mais dans le silence. C'est magnifique. Donc le réflexe de la stratégie de contournement.

[00:16:09] Mais ce n'est même pas une blague, je le vis au quotidien. Non, je crois. Du coup, la question, je suis assez curieux, c'est quoi ce fameux bingo ? C'est quoi en général les cinq qui ressent toujours ? Les fameux bingo, c'est on est trop petit. Alors ensuite, en numéro 2, on n'a rien fait. En numéro 3, il y a pourquoi nous ? En numéro 4, il y a ça va coûter du pognon et on n'a plus d'argent. En numéro 5, c'est oh là là, c'est compliqué. En numéro 6, enfin, c'est toujours les mêmes trucs qui reviennent, c'est magnifique. Et puis tu entends, il y en a un qui nous dit mais trouvez-moi

[00:16:39] un vrai argument juridique. Père Maman, ce n'est pas possible. Oui, je me dis que il y a souvent aussi des fois qu'ils n'ont pas vraiment d'argument, c'est juste pour se plaindre. Moi, j'ai vu un événement récemment et j'avais entendu la phrase qui a été dite ça fait chier les RSC. Donc, ce n'est pas vraiment un argument mais c'est une... Moi, je dirais plutôt le contraire parce que les RSC qui veulent faire son boulot, il est bien content d'avoir des règles que tout le monde connaît et que tout le monde va appliquer à l'identique. Donc, en général, eux, ils sont plutôt contents. Là où ils ont un problème, c'est qu'on ne leur délivre pas les budgets et qu'on ne leur laisse pas

[00:17:14] là, tu vois sur la slide, on voit d'un côté des espèces de soldats avec des boucliers bien alignés et des attaquants. Et il y a un vrai changement de stratégie de l'Union européenne parce que c'est de la compétence de l'Union européenne. Voilà, donc c'est des lois qui viennent de l'Europe, directives, on va les transposer, bon, c'est du détail mais globalement, c'est l'Europe qui dit vous allez faire comme ça à partir de telle date. Et le même jour, on a pris donc un règlement et deux directives. C'était le 14 décembre 2022 publié le 27 décembre. C'est toujours sympa trois jours avant le réveillon une fois qu'on ne sache pas quoi faire pendant ses vacances.

[00:17:43] Donc il y a eu la directive NIS2. On va voir, il y a 18 secteurs d'activité. Voilà, vous êtes dedans, vous dépassez tel critère, c'est obligatoire, c'est comme ça à partir de telle date. Bon, NIS2. Il y a une exception qui est DORA. DORA, c'est la même chose, en plus mal écrit et c'est spécial pour les banques et les assurances. Donc ce soir, on n'en parle pas, c'est un texte autonome. Et puis il y en a un troisième dont je ne parlerai pas non plus, c'est la directive Résilience des entités critiques. Là, c'est la sécurité physique obligatoire. Caméras de surveillance, porte avec des clés, contrôle d'accès pour des entreprises

[00:18:13] qui vont être désignées par l'État et qui sont des trucs sensibles. On avait les OIV avant, les opérateurs d'importance vitale. C'est la même chose au niveau européen. Et en fait, ça se comprend comme ça. D'abord, si tu es vraiment très critique, entre guillemets, entité critique, tu vas faire de la sécurité physique et en plus, tu vas faire de la sécurité pour tes systèmes d'information. Et c'est NIS2. Voilà. Donc ça fait deux directives à appliquer. Une question bête, tu m'escuses, je t'interromps. Une question bête. Alors, ce sont une question bête, mais je m'en prie quand même. Il n'y a jamais de question bête. Il y a des réponses qui sont inventées parfois.

[00:18:44] Ce n'est pas des questions bêtes, il y a des réponses à des questions pas super. Non, mais tu parles de cette directive européenne. Donc ça suggère que c'est en anglais. Non, c'est en français. Libre accès dans les 17 langues officielles de l'Union européenne sur les sites de l'Union européenne. D'accord. Tu peux faire, sur la même page web, version anglaise, version française, version française, version hongrois, ce que tu veux. Non, ce que je viens par là, c'est que des fois, la traduction, tu as des termes. C'est toujours un peu, genre mettons demain, on parle de safety, security, c'est le fameux safety, security. La question, c'est est-ce que ce genre

[00:19:13] de situation, et en plus, c'est du légal, juridique, est-ce qu'il peut y avoir des fois, tu vois ce que je viens, des... il y a marqué qu'il faut organiser sa cryptographie, enfin, gérer les secrets cryptographiques, gérer machin, virgule, y compris virgule, le cas échéant virgule, le chiffrement. C'est-à-dire qu'il dit, il faut s'occuper de la cryptographie, mais du chiffrement. En fait, la cryptographie, c'est le terme légal,

[00:19:43] et le chiffrement, c'est le terme technique. Mais c'est la même chose, mais c'est précisé. D'accord. Des fois que... En fait, les gens, par moment, qui écrivent ça, on a le même problème dans Doran avec le legacy. Legacy, c'est les logiciels qui sont écrits comme le COBOL, qui sont des langages de programmation qui ne sont plus utilisés depuis 30 ans. Il y a encore des logiciels qui tournent sur des OS antédiluviens avec des langages de programmation où on n'a même plus de programmeurs aujourd'hui. Donc ça s'appelle Legacy et ça avait été traduit par l'héritage. Bon,

[00:20:13] en français normal, on disait la dette technique, c'est-à-dire les vieux nanars, en clair. Donc il y en a un peu comme ça dans tous ces textes parce que c'est... Ici, il y en a un autre qui était assez sympa, c'était les IOC qui étaient les indicateurs de compromission. Indicateur of compromise en anglais et ça a été traduit en français par indicateur de compromis. Bon, il y en a deux, trois, histoire de rigoler mais il faut un peu rentrer dans la tech et s'intéresser à ça pour trouver. En clair, on comprend quand même assez bien ce que ça dit parce que quand ça commence à parler

[00:20:43] gouvernance, c'est du droit donc normalement on comprend et quand ça parle mesures de sécurité, c'est pas sorti d'un chapeau. Surtout quand c'est du droit et tu connais mieux que moi, c'est ton métier, c'est quand les gens ils sont coupables, qu'il faut chercher un coupable, ils vont essayer de trouver toujours le truc pour s'en sortir. C'est pour ça que je pense que c'est la question, c'est des fois il y avait des choses sur lesquelles ils pouvaient jouer en disant ça a été mal traduit ou mal... Alors, ça je t'en parlerai, je t'en parle un tout petit peu plus loin quand on va aborder la manière dont juridiquement ça change les choses parce qu'il y a une révolution juridique derrière.

[00:21:13] Je vais vous expliquer en trois slides sans rentrer trop dans les détails et la manière dont justement on va échapper à ces bêtises entre guillemets d'erreur de traduction. Il y en a trois sur 200 pages, on va survivre. Vas-y. Voilà. Donc, là c'est la slide juste pour dire voilà, donc la partie sécurité physique c'est le truc quantité critique on n'en parle pas, d'aura on n'en parle pas, on va parler de Nice 2 et c'est quoi le concept de Nice 2 ? C'est moi, Europe, je vais t'obliger toi entreprise, organisation, État, dans une certaine mesure à faire de la sécurité des réseaux

[00:21:43] et des systèmes d'information. SRSI, et des systèmes d'information pour tout le monde. Et comme la répression, comme on n'arrive pas à faire des sanctions pour tout ça, en fait il y a un changement de mentalité, on appelle ça un changement de paradigme mais c'est un changement de système en fait, on va dire bon ben voilà, comme on sait que c'est nul, que toi entreprise est vulnérable de partout, il y a des malwares qui se promènent, on va dire que si tu prends une cyberattaque, c'est que tu as été négligent, si tu as été négligent, tu es responsable, pas coupable

[00:22:12] mais c'est l'étape juste avant, tu es responsable. Donc en clair, si toi tu t'es fait ponner et que tu as fait ponner les autres, c'est toi qui vas en prendre plein la tête parce qu'on va dire que tu n'as pas fait le job et on appelle ça la négligence. Et en droit, là il y a une vraie révolution, je ne vous ferai pas que du droit pur pur, mais il faut comprendre que c'est un truc qui est nouveau pour les juristes, c'est pour ça qu'aujourd'hui les entreprises ont du mal. En fait aujourd'hui on dit tes négligences ce n'était pas à l'état de l'art, c'est le concept de l'état de l'art, c'est les mots techniques utilisées dans ces documents juridiques et l'état de l'art,

[00:22:42] c'est les mesures de sécurité obligatoires. Et si tu n'as pas fait tes mesures de sécurité obligatoires, tu es négligent. Et si tu es négligent, tu es responsable. Et avant, c'était comme ça avec la CNIL jusqu'à ce qu'on ait l'URGPD, la CNIL devait démontrer, enfin devait prouver que les gens qu'elle contrôlait n'avaient pas fait le job. Et aujourd'hui ça ne marche plus comme ça. Aujourd'hui c'est l'entreprise qui a des obligations, donc c'est toutes les mesures de sécurité de Nice 2, d'accord ? Si tu te fais attaquer, tu dois prouver que tu avais fait le job. Et si tu ne prouves pas ça, tu es en faute,

[00:23:12] direct. Voilà. Et ça, les entreprises, elles n'ont pas l'habitude parce qu'elles faisaient un peu ci, elles faisaient un peu ça, puis elles ne le disaient pas vraiment, puis on ne mettait surtout rien dans les contrats. Et puis dès qu'il y avait un problème, on disait non, non, mais on va s'arranger. Aujourd'hui c'est niet, voilà les mesures de sécurité et si tu ne le fais pas, c'est ton problème. Mais par contre, si on ne prend, comme tu ne pourras pas nous prouver et que tu as fait le job et la mesure numéro 1 et la mesure numéro 7 et la mesure numéro 43, machin, tu seras donc responsable. Donc c'est toi qui vas payer, payer pour les dommages

[00:23:42] que tu causes. Donc tes data centers, tu t'es fait pôner, ce qui était arrivé en France il y a un an pour près de 300 000 salariés de la profession des experts comptables, il y a un data center qui est tombé, ils se sont fait poutrer, pourquoi ? Il manquait la double authentification sur les profils administrateurs du data center. Donc, un des admins prend un phishing, il clique, ploup, il fait voler ses creds, il rentre dans le data center, ils avaient ses creds, élévation de privilèges, il rentre, ploum, logbit 3.0. Merci,

[00:24:12] au revoir. Ok ? Le data center bloqué. Donc il y avait X milliers de cabinets d'expertise comptables et ça faisait 300 000 salariés à l'arrêt pendant un mois. Mais ça veut dire que les salariés de l'entreprise des cabinets d'experts comptables, eux, ils étaient payés à la fin du mois. Mais les cabinets d'expertise comptables, ils ne pouvaient pas bosser, ils n'avaient plus rien les sauvegardes, ont été sauvés, ils ont réussi à restaurer au bout d'un mois. Ils ont fait un, objectivement, je ne défends personne dans cette histoire, le data center, en un mois, ils ont remonté

[00:24:41] leur archi complète et sur 1200 clients, ils en ont remonté 1195, backup, bon, backup d'avant la cyberattaque, ok ? Et il y en a 5, là, ils ont tout perdu. Alors il y en a 5, j'ai pitié pour eux, ok ? Et sinon, ils ont tout remonté. Mais quand on revient, donc voilà un exemple concret de ce que ça donne qu'un professionnel qui se fait poutrer et il y a toute la chaîne derrière des clients et des salariés, des clients et tout le monde s'est arrêté. Donc aujourd'hui, on vient dire dans toutes ces lois, si toi professionnel, toi data center par exemple,

[00:25:12] éditeur, IAS, tout ce qu'on veut, prestataire de services de sécurité gérés, enfin tous les mecs qui font de la sécu en mode SAS, machin, si vous ne nous prouvez pas de manière positive, documentée, que tel jour à telle heure vous avez mis en place telle version, tel outil, tel machin, tel truc, c'est écrit, puis c'est écrit, enregistré, au redaté, si tu ne nous prouves pas ça, c'est toi qui es en faute et tu dois indéblier tout le monde. Ouais, ça c'est intéressant parce qu'effectivement, sur ton slide, si tu reviens s'il te plaît en arrière, évidemment, c'est à l'organisation de démontrer de manière documentée qu'elle a sécurisé son système d'information. Exactement.

[00:25:42] La question, c'est, évidemment, tu as surligné de manière documentée. La question que je me pose, c'est, quel niveau de détail de documentation est attendu ? Est-ce qu'il y a un format ? Stop, stop, stop. Aujourd'hui, les entreprises ne documentent rien. Donc, le jour où elles vont commencer à documenter, ce sera déjà... Non mais, on en est à ce niveau-là, objectivement. Donc, ta question, elle est très pertinente. Mais déjà, ils ne font rien. Alors déjà, vous allez tenir à jour la liste de vos actifs. Tu vois, c'est les mesures de sécurité, c'est quoi ?

[00:26:11] C'est cartographier vos actifs, sachez où sont vos datas, comment sont vos flux de données, est-ce que vous avez l'authentification, est-ce que vous faites du profilage type user, habilitation, machin, est-ce que vous faites de l'eurodatage, est-ce que vous faites du fichier log ? Ils en sont là. Le jour où on enregistre les fichiers logs, toutes les heures, toutes les demi-heures, toutes les dix minutes, et qu'on les archive à un endroit où si on est cryptolocké, on ne se fait pas aussi cryptolocker les fichiers logs, déjà, ce sera un grand progrès. C'est ça, documenter,

[00:26:41] sa mise à niveau de cybersécurité. Eh bien, Nice 2, c'est que ça. C'est que ça. Voilà. Alors, maintenant, on poursuit. Donc, dans l'esprit de Nice 2, ce n'est pas juste je vais faire la technique ou juste je vais écrire des trucs dans les contrats que personne ne fait. C'est obligatoire avec trois facteurs. Un, moi, Union Européenne, je t'impose, dans la directive, des règles d'organisation obligatoires. T'en as un qui va faire ceci, t'en as un qui va faire cela, le troisième va signer, le quatrième, il va donner le budget. Super. L'organisationnel. Deux, tu vas déployer des mesures techniques. Et puis,

[00:27:11] dans différents domaines que je vais te montrer, c'est les dix mesures. Et trois, tu vas l'écrire dans tes contrats. Parce que si tu ne le mets pas dans tes contrats, tu vas encore mentir comme tu le fais depuis toujours. Et que maintenant, on va arrêter les conneries. Et là aussi, c'est documenté. Donc, s'il y a dix mesures qui font 137 lignes, eh bien, on va faire un contrat avec les dix mesures, les 137 lignes. Et quand tu vas signer, tu vas signer pour tout ce que tu dis que tu fais. Et si tu ne le fais pas, le jour où ça plante, eh bien, moi, je vais te cartonner grave et c'est toi qui vas payer tous les dommages que tu as causés. Donc,

[00:27:40] c'est toujours un trois volets de l'organe, de la technique. Bien sûr, si techniquement, ça ne marche pas, il ne se passera rien. Et tu vas le mettre dans tes contrats. Voilà. Eh bien, la réponse de l'Union Européenne au phénomène des cyberattaques pour les entreprises, d'abord. Ensuite, ça viendra pour les consommateurs. Ça, c'est le Cyber Resilience Act qui a été voté. On va imposer que tous les trucs où il y a du logiciel se soient sécurisés un peu patati patata. Mais ça, c'est autre chose. C'est les produits. Là, on parle des entreprises. Alors, qui sont les entreprises concernées par Nice 2 ?

[00:28:10] Je te le demande. Oui, je t'interromps. Du coup, slide 32 pour les auditeurs qui éventuellement suivraient les slides. Bon, qu'est-ce qu'on voit ? On voit en gros, on voit qui ? On voit un dragon qui en attaque un autre. Voilà. Et avec le beau picto Nice 2, donc, on ne peut pas se tromper. Donc, la manière, il faut vraiment le comprendre. Après, c'est écrit, c'est écrit, c'est du droit. Bon, ce n'est pas drôle. Voilà. C'est principalement des entreprises privées. On appelle ça des entités privées. On s'en fout. Des secteurs d'activité, je vais vous montrer, vous allez très bien comprendre.

[00:28:40] Et à partir du moment où une entreprise est installée sur le territoire de l'Union européenne, même si elle rend son service en Amérique du Sud, parce qu'elle a son siège social ici, même pas les serveurs, le siège social, boum, tu es obligé de respecter 10-2. Ah oui, mais je travaille pour l'Asie du Sud-Est ou pour l'Afrique. On s'en fout, tu es installé ici, c'est obligatoire. Ah bon, d'accord. Ah mais, toi, tu es une entreprise américaine, d'accord. Tu n'es pas situé sur le territoire de l'Union européenne, non. Mais par contre, tu rends ton service dans l'Union européenne, NIS2 est obligatoire pour toi aussi.

[00:29:10] Et pour te forcer à ça, on va t'obliger à nommer un représentant sur l'Union européenne et c'est lui, s'il est condamné, c'est lui qui va payer pour toi. Et on va t'obliger à faire en sorte que ça marche. Bon alors, sur le papier, c'est pas mal. En réalité, c'est un peu moyen. Mais intellectuellement, c'est que tu sois dans l'Union européenne parce que tu bosses ici ou pour ailleurs ou tu bosses depuis ailleurs et tu rends ici, tu es soumis à NIS2. Sinon, il ne se passera jamais rien et il y en a toujours un qui essaiera d'y échapper. Bon, en termes de nombre d'entreprises,

[00:29:40] pour comprendre. Alors, on va parler de NIS1. Donc, NIS1, Directive 2016, Transposé en droit français, le 26 février 2018, j'avais tout épluché en BD, Céan, Libre accès sur mon site web, Technique et droit du numérique, le blog en BD, NIS1, alors déjà, ce n'était pas très détaillé. La Directive NIS2, ça fait 158 pages, NIS1, ça n'en faisait que 49. Donc, ce n'était pas assez détaillé. Et la Finlande,

[00:30:10] NIS1, c'était situé OSE, opérateur de services essentiels. OK, donc on parle de services essentiels, la santé, l'électricité, le gaz, l'eau chaude, tout ça, enfin des trucs un peu basiques. Si tu es opérateur de services essentiels, il faut faire plein de règles de sécurité. Très bien. Il y en avait 23, des décrets, des arrêtés, il y en avait partout, c'était super. Bon, la Finlande, 5 millions d'habitants. Ils regardent, conformément à la Directive, combien il y a d'OSE, d'opérateurs de services essentiels de chez eux. 11 000.

[00:30:40] Ils sont 5,5 millions, ils en trouvent 11 000. La France, pendant la même époque, décide, nous on est 67 millions, d'accord ? La France trouve 123 OSE. Donc, eux ils sont 5 millions, ils en trouvent 11 000. Nous, on est 67 millions, on en trouve 123. Ou 125, bon pardon, voilà. Donc, à un moment, l'Union Européenne a dit, ok, c'est Portnawak, vous faites n'importe quoi, ce n'est pas assez détaillé, vous ne voulez pas faire l'effort, on va prendre une deuxième directive

[00:31:09] et on va prendre Nice 2. Et là, on va rentrer dans les détails et ça, on va arrêter de faire n'importe quoi. Très bien. Donc, les chiffres officiels de l'Union Européenne, rappelez dans cette slide où on voit cette espèce de princesse qui met la main sur l'épaule d'un chevalier avec un casque du 123ème siècle. Ben, en Europe, on va passer de 15 000 à plus de 100 000 entreprises, donc ça va commencer à le faire. Et rien qu'en France, alors, selon les discours de l'ANSI, on fait entre fois 10 et fois 30. C'est-à-dire qu'on va passer

[00:31:38] de 500 à 10 000, 20 000, 30 000, on ne sait pas très bien parce qu'il y a des sous-traitants qui vont aussi derrière, qui vont en prendre bien plein. Enfin, bref, en clair, l'ANSI, il est s'occupé de 500 entreprises, on va le simplifier comme ça, et peut-être que dans les jours qui viennent ou dans les mois qui viennent, ils vont en prendre 30 000. Donc, de 500 à 30 000, ça veut dire qu'il faut s'organiser autrement, il faut faire des process. Enfin, voilà, l'ANSI ne va pas faire fois 30 en termes de ressources humaines

[00:32:08] ni de budget d'ailleurs. Ils regrettent, moi je serais assez d'accord qu'on leur donne un peu plus de pognon, mais je crois que l'État n'a plus de pognon en France et le gouvernement, c'est compliqué. On a des problèmes de budget, il paraît, moi je suis d'information. Voilà, donc c'est pas prêt de changer, c'est un problème. Alors, pour comprendre maintenant l'ANSI 2, qui est concerné, en fait, nous les professionnels, on a vachement fait évoluer nos discours, par rapport à ce que j'avais raconté à Hamza il y a presque un an. Aujourd'hui, la situation a beaucoup changé parce qu'il y a des trucs qui sont arrivés de l'Union Européenne qu'on n'attendait pas. Voilà,

[00:32:37] ça marche de deux manières maintenant l'ANSI 2. Bon, on n'a toujours pas la loi de transpo, mais il y a une première liste donc de 1 à 11 avec des secteurs qualifiés de hautement critiques. Donc, si t'es énergie, transport, bancaire, infrastructure, marché financier, c'est autre chose. Santé, eau potable, eau usée, espace, voilà, j'ai exprès, il y en a deux qui sont en rouge. Sur la slide, on le voit bien parce que ça a tourné en s'y attendant. Bref, il y a des secteurs hautement critiques. Si t'es entité essentielle

[00:33:07] parce que tu dépasses 250 salariés, il faut faire la totale. Et alors là, t'as intérêt à sortir le budget, le planning et t'as un énorme boulot pour te mettre au carré. Ou alors, tes entités importantes tu feras un peu moins. Bon, d'accord. Puis ensuite, il y a, annexe 2, les autres secteurs critiques où là, si t'es pas trop essentiel mais t'es juste important, le régime light des mesures de sécurité va te tomber dessus. Très bien. Et au milieu, de manière très discrète, dans un pauvre article

[00:33:37] de Nice 2, ça fait 158 passes, à un moment, il y avait deux lignes qui disaient alors certains professionnels, notamment des secteurs 8 et 9 de l'annexe 1, je parle en français Nice 2, pour être sûr que personne ne comprenne, en clair, il y a deux catégories d'opérateurs. Eux, ils vont avoir un traitement spécial Bruxelles. Et eux, ils vont être réglementés non pas par pays par pays, mais c'est Bruxelles qui va prendre une réglementation pour tous ces gens-là qu'on appelle les entités réseau critiques.

[00:34:06] C'est une catégorie à part. Et eux, il paraît qu'ils devaient avoir une sorte de décret où on dirait « toi, tu vas faire un peu comme ci, toi, tu vas faire comme ça ». Et le décret, il est sorti il n'y a pas longtemps. Et le décret, il y en a 44 pages avec un niveau de détail où quand j'ai vu le niveau de détail, j'ai failli m'évanouir. Mais on va en reparler tout à l'heure pour comprendre. En fait, en clair, il y a deux types de professionnels. Il y a, quand on voit le secteur 1, annexionné avec ce 2. Dès qu'on comprend comment ça marche, ça commence à faire du sens. C'est mal écrit dans le désordre, mais voilà ce que ça veut dire. Vous, entreprise, dans l'énergie,

[00:34:36] dans le transport, dans la santé, entreprise, hôpitaux, pharmacie, laboratoire de recherche, tout le monde. Les eaux usées, si vous, vous utilisez l'informatique, on va vous obliger à faire de la sécurité numérique. Vous êtes utilisateur, mais vous êtes suffisamment gros et important. Vous êtes tellement mauvais qu'on va vous forcer à faire de la sécurité. Et si vous ne le faites pas, on va vous sanctionner. Ça reste le régime pays par pays. C'est une directive européenne. Ça veut dire que chaque pays

[00:35:07] doit transformer le texte européen en un texte national. Donc, il va y avoir 27 lois différentes. Nice 2. Là, il y a la directive européenne et les lois nationales. Pour l'instant, on a dépassé la date. Il y a deux pays sur 27 qui ont fait le job. Ça donne une idée de la préparation. Et à part, complètement à part, il y a les infrastructures du numérique et les services gérés et les services de sécurité gérés qui sont les professionnels de l'infrastructure du web, de l'Internet. Donc, il y a le DNS,

[00:35:38] il y a les noms de domaine premier niveau, tous les prestataires de cloud, les prestataires de data center, les prestataires d'infogérance. EEC, régime à part de Bruxelles. Et c'est tombé le 17 octobre 2024 et on ne s'y attendait pas. On attendait des précisions et on a pris un tremblement de terre. J'y reviens tout à l'heure pour voir la différence. Parce qu'au début, quand on annule l'INIS 2, ça doit être mon métier, l'INIS 1, c'était désignation

[00:36:08] par les États. Donc, il y avait entre guillemets un motard de la police ou de la gendarmerie qui arrivait dans le bureau du dirigeant de l'entité désignée l'INIS 1 qui disait « Bravo, enchanté, je vous serre la main. Aujourd'hui, vous êtes désigné l'INIS 1 par les services du Premier ministre. Ça va vous coûter un pognon monstre. Ça va être long. Ça va être difficile. Vous n'y comprenez rien. C'est obligatoire. Et si ça ne va pas, vous allez prendre des sanctions. » Dans l'INIS 2, ça ne marche pas comme ça. Dans l'INIS 2, comme on va faire x10, x20, x30, ils ont créé un système

[00:36:37] d'autodésignation. Et l'autodésignation, il marche avec des critères compliqués. Donc, le principe, il est là. Si tu as plus de 250 salariés et que tu es dans l'INIS 1, donc tu es dans le truc hautement critique, si tu as plus de 250 salariés, tu vas t'autodésigner, tu es entité essentielle. Et si tu as moins de 250 salariés, puis il y a du chiffre d'affaires, enfin bref, si tu as moins de 250 salariés, tu ne seras que entité importante. Voilà. C'est le principe. Donc, plus de 250 salariés, 50 millions de chiffres

[00:37:06] d'affaires, plus de 43 millions au bilan. On additionne les critères pour être sûr que ce soit compliqué et faire faire des podcasts à des gens comme toi et comme moi. Voilà, on a créé NIS 2, donc tout le monde s'éclate. Et si donc, tu es sous les critères, tu es NIS 2. Mais le problème, c'est que, là je viens de changer la slide, là il y a des sous-cas, des options de partout. Alors, si tu es fournisseur de services publics, de communication électronique en ligne, tu es NIS 2, et puis si tu es TOS 1 sur la directive NIS 1,

[00:37:36] tu vas devenir quand même NIS 2, mais tu vas être entité essentielle et non pas importante. Et il y en a partout. Et si tu es administration, et en plus, éventuellement, tu n'es pas plus de 250 salariés, donc le deuxième critère, là je le montre, voilà, le deuxième critère, les entités importantes, c'est entre 50 et 249 salariés. Oui. OK ? Donc, tu as le gros cas, tes entités essentielles, essentielles, moi sur mes pictos essentielles, c'est marqué en majuscule. Donc, c'est le truc grave, d'accord ? Il n'y en a pas beaucoup. Ensuite, le gros du truc,

[00:38:04] c'est avec les entités importantes, entre 50 et 249 salariés, plus les exceptions et les dérogations, sauf si l'État désigne d'office une entreprise. Vous êtes combien ? Vous êtes 30, d'accord ? Alors, vous, vous êtes critique, essentiel et important de l'annexie 1, alinéa 3, verset 8, sous chapitre 19, d'accord ? Eh bien, toi, je te désigne d'office, donc tu es obligé de tout faire et c'est à tes frais. Voilà. Donc, aujourd'hui, c'est assez compliqué et il y a un portail qui a été ouvert sur le site de l'annexie,

[00:38:35] genre, autodésignez-vous pour être sûr que ça vous coûte de l'argent et ça ne marche pas très, très bien parce que l'annexie n'arrive pas aujourd'hui et ce n'est pas un reproche que je leur fais. Ils n'arrivent pas à cartographier d'écosystème des professionnels, des entreprises qui sont impactées par ça parce que ça n'a jamais été fait. Il faudrait qu'ils fassent une cartographie d'écosystème. Les gens ne s'auto-dénoncent pas. Bonjour, vous avez envie de dépenser de l'argent ? Non. Vous avez envie d'avoir du travail en plus ? Non plus. Vous avez envie

[00:39:04] de baisser votre marge ? Non, toujours pas. Eh bien, désignez-vous si vous avez envie de le faire et c'est comme ça que c'est perçu aujourd'hui. OK ? Donc, les professionnels, d'abord, ne s'auto-désignent pas parce qu'ils doivent s'auto-dénoncer avec l'annexie qui doit tenir une liste. La liste, elle doit partir automatiquement aux autorités de Bruxelles dans un délai de trois mois, machin. Donc, ils ne se désignent pas. Dès qu'ils ne se désignent pas, ils m'appellent en me disant est-ce que tu peux nous trouver un argument pour que ça ne s'applique pas à nous ? Et quand ils n'ont pas d'argument, de toute façon, ils vont mentir pour caricaturer le trait

[00:39:33] mais ce n'est pas loin de la vérité. Voilà. C'est comme ça que ça marche aujourd'hui. Je ne sais pas si c'est moi qui ai bien entendu, mais tu as dit auto-dénoncer, c'est ça ? En fait, c'est auto-désignation qui peut être ressemblée comme une autre... Oui, pardon. C'est marrant. En fait, tu t'auto-désignes, c'est ça, tu t'auto-désignes, mais en fait, tu le ressens comme une auto-dénonciation. C'est ça, je vais me dénoncer. Je vais me dénoncer. Non, là, j'ai vraiment... Là, j'ai un prestataire. Bon,

[00:40:03] ils sont... Ce n'est pas qu'ils sont 250 salariés, ils sont 10 000 salariés. Ils font 1,5 milliard de chiffre d'affaires et ils m'ont expliqué que Nice 2 ne s'appliquait pas à eux. Ah, je dis, ben non, alors c'est sûr, ça n'applique pas à vous, donc ça ne s'applique à personne en fait. Donc en fait, quand on parle du texte et qu'on le lit, c'est pour le plaisir d'aller vers du papier. Si c'était pour le plaisir, moi je lis des BD en ce qui me concerne. Donc voilà, mais en fait, c'est comme un procès, il n'y a que des innocents. Il n'y a jamais de... Donc ce n'est pas nous. Ah voilà, c'est comme ça que ça marche. J'ai fait parce que du coup, c'était marrant

[00:40:33] parce que du coup, auto-désignation, c'est le terme juridique et auto-dénonciation, c'est presque le ressenti. Ça fait... Ça fait rigoler. C'est exactement. C'est température officielle et température ressentie. Voilà, et pour les auditeurs, c'était slide 39 et 40 au passage, ce qui avait quand même pas mal de détails dessus. Voilà, vous allez voir, donc vous avez le principe, ensuite vous avez les pictos, les exceptions, et après vous avez le machin. J'espère que vous avez apprécié ce podcast. La prochaine partie de notre échange sera publiée au prochain épisode. Si vous avez aimé le contenu, s'il vous plaît,

[00:41:03] mettez un bon avis, soit directement sur mon site cybersécuritéholday.fr dans la partie avis des auditeurs ou directement sur Apple Podcast. Déjà, pour moi, ça fait super plaisir de lire vos avis positifs et en plus, ça permet de faire grandir le podcast en le faisant découvrir à plus de personnes. Je vous remercie et puis passez une bonne semaine.