La cybersécurité, l’affaire de tous

#Marché

La cybersécurité, l’affaire de tous

Awa Ndiaye et Cécile Poulley

02/07/26 - La cybersécurité, l’affaire de tous

Communication à caractère publicitaire

Gilbert Roux : Saviez-vous que les cyberattaques touchent toutes les structures ? En 2026, une PME française est touchée toutes les deux minutes et selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'information) et son panorama 2025, 48 % des victimes de rançongiciels en France sont des PME ou des TPE. Autant dire que dans les métiers du courtage et de la gestion de patrimoine, où la donnée client est centrale, le sujet devient évidemment stratégique. Pour en parler, j'accueille Awa Ndiaye et Cécile Pouilley de BNP Paribas Cardif. Awa bonjour, merci d'être avec nous.

Awa Ndiaye : Bonjour Gilbert.

Gilbert Roux : Awa, vous travaillez au sein des équipes digitales dédiées aux activités de courtage chez BNP Paribas Cardif. Vous avez une forte proximité terrain auprès des CGP et des courtiers, et vous êtes également spécialisée dans la cybersécurité et ses enjeux dans les écosystèmes très interconnectés comme ceux du courtage. Et à vos côtés, Cécile Pouilley. Bonjour Cécile,

Cécile Pouilley : Bonjour Gilbert.

Gilbert Roux : Cécile, vous travaillez au sein des équipes sécurité de BNP Paribas Cardif et votre rôle est d'accompagner les équipes informatiques pour la sécurisation de leur écosystème le principal enjeu étant la protection, des données clients et des partenaires et d'évaluer tous les risques qui tournent autour de la cybersécurité. Commençons, si vous le voulez bien, par un état des lieux, ou plutôt un état de la menace, devrais-je dire. Quand on parle de cybersécurité aujourd'hui, est-ce qu'on parle encore des hackers très sophistiqués et très stéréotypés ? Et j'ajouterai, pourquoi les PME et les TPE sont-elles devenues des cibles privilégiées ?

Comment décrire l’état actuel de la menace en matière de cybersécurité ?

Awa Ndiaye : Beaucoup pensent que les cyberattaques ne concernent que les grandes entreprises. En réalité, les PME et les TPE sont un peu comme des maisons dans un quartier résidentiel et les cambrioleurs, finalement, ne vont pas attaquer forcément la villa la plus grande, la plus luxueuse. Ils vont plutôt passer par la maison dont la fenêtre est ouverte. Les cybercriminels visent particulièrement les PME TPE parce que c'est plus simple : elles ont beaucoup moins de protection, elles sont moins sensibilisées aux enjeux cyber, et souvent, la personne qui s'occupe de l'informatique en plus fait son métier, son activité principale, donc c'est très compliqué, et en plus, elle manipule des données très sensibles, notamment les données clients, des données financières, des données patrimoniales. Parallèlement à ça, aujourd'hui, les cyberattaquants massifient leurs attaques, ce qui fait qu'ils ne passent pas par une seule porte, mais tentent toutes les portes. Donc typiquement, au travers d'un mail piégé, d'une usurpation d'identité, d'une fraude bancaire. Cela devient de plus en plus compliqué, mais il ne faut surtout pas s'inquiéter, les bons réflexes permettent de réduire ce risque et de limiter les impacts liés à une cyberattaque pour ces entreprises.

Gilbert Roux : Très bien, Merci pour ce panorama de l'état de la menace. Cécile, vous êtes au cœur du dispositif sécurité. Comment, quand on est un grand groupe comme BNP Paribas, on se prépare face à ce niveau de menace qui on l'a vu est à la fois élevé et permanent ?

Comment se prépare BNP Paribas Cardif face à cette menace permanente ?

Cécile Pouilley : Alors déjà, tout simplement, on va devoir s'appuyer sur la réglementation, qu'elle soit française, européenne, mais également sur la réglementation financière. On va vraiment appliquer les règles à l'état de l'art, et en étant un grand groupe, on a la chance d'avoir des équipes cyber dédiées avec des pôles d'expertises. La cybersécurité, c'est assez vaste. Il y a des équipes très techniques et des équipes plutôt axées gouvernance et on va mettre en place des outils, des process au sein de l'entreprise pour se protéger au mieux, vérifier également que des attaquants n'essayent pas de rentrer chez nous et puis, en interne, qu’il n'y ait pas de fuites de données par exemple. On va mettre en place des mesures de protection et je pense que, plus c'est simple d'utilisation, plus ça rentre dans notre quotidien, plus c'est facile. Je vais vous donner un exemple avec l'authentification forte. On va avoir plusieurs facteurs d'authentification et cela va permettre en fait tout simplement une meilleure maîtrise de son système. Ce qu'il faut savoir également, c'est que la cyber, ce n'est pas quelque chose qui est dédié aux équipes techniques, c'est en fait l'affaire de tous au quotidien et donc la clé, c'est la sensibilisation de chacun. Par exemple, il y aura des campagnes de phishing (appelé également hameçonnage) : lorsqu'on est collaborateur et qu'on clique sur un mail, comme quand on reçoit, même dans le cadre perso, ces faux SMS ou emails avec ces fameux liens, une fois qu'on a cliqué dessus, je pense qu'on est plus vigilant. Le risque zéro n'existe pas, et en passant par les bons gestes, que ce soit dans la vie professionnelle ou personnelle, on peut améliorer cette cybersécurité.

Gilbert Roux : La double authentification ou l'authentification forte, c'est un sujet qui concerne beaucoup les partenaires CGP et courtiers. Awa, vous avez beaucoup échangé avec eux sur le terrain. Aujourd'hui, où en sont réellement les CGP et les courtiers sur ces sujets de cybersécurité ? Est-ce qu'ils sont très sensibles à cela ?

Où en sont les CGP et courtiers sur ces sujets de cybersécurité ?

Awa Ndiaye : Je pense qu'on est à un moment un peu charnière parce que dans le milieu financier, et plus particulièrement pour les CGP et les courtiers, il y a une prise de conscience de l'or qu'ils ont entre les mains : les données de leurs clients et la confiance qui va avec. Par rapport à ce moment clé, je pense qu'il y a un problème de maturité autour des sujets de cybersécurité, mais il y a une vraie conscience. Ce qu'on peut voir sur le terrain c'est qu'ils ne savent pas par où commencer. Plus globalement, on passe d'un sujet qui était purement vu comme un sujet technique, comme un sujet inaccessible et que pour les grandes entreprises, à un sujet qui devient un enjeu stratégique et qui peut avoir un impact non seulement sur la réputation de l'entreprise, mais aussi sur la cessation d'activité.

Gilbert Roux : Impossible de parler cybersécurité sans parler d'intelligence artificielle. Cécile, est-ce que l'IA qu'on utilise quasiment tous aujourd'hui est une opportunité supplémentaire ou est-ce que vous considérez l'IA comme un nouveau facteur à risque ?

L’IA, un nouveau facteur de risque ?

Cécile Pouilley : Il y a encore cinq ou six ans, l'IA, c'était quelque chose de totalement inaccessible, voire inconnu pour une grande partie de la population. Aujourd'hui, n'importe qui peut y avoir accès sur son téléphone ou son ordinateur. Donc je pense que c'est un véritable outil d’aide pour l'amélioration des performances, de la réactivité. En revanche, il faut garder en tête également que ça peut être un facteur de risque dans le sens où, maintenant, on fait attention aux mails qu'on envoie avec les données qu'on peut envoyer. On ne va pas envoyer un mail à n'importe qui avec ses données client ou des données sensibles par exemple. En revanche, avec l'IA, il y a encore cette notion de sensibilisation à prendre en compte et il faut garder en tête que plus on va anonymiser ses données dans l'IA, plus on va faire attention à ce qu'on y met, et plus ça va nous permettre en fait, de l'utiliser comme une aide et non pas comme un facteur de risque.

Gilbert Roux : Awa, je voudrais qu'on revienne sur l'accompagnement des partenaires, parce que c'est un point important chez BNP Paribas Cardif. Vous travaillez justement à une initiative pour accompagner en matière de cybersécurité les partenaires CGP et courtiers. Alors, en quelques mots, en quoi ça consiste ?

Vous travaillez sur un accompagnement cybersécurité dédié à nos partenaires CGP et courtiers ?

Awa Ndiaye : L'initiative qui a été lancée, c'est vraiment dans le but de mettre à disposition des CGP et des courtiers des éléments autour de la cybersécurité qui soient lisibles, qui soient compréhensibles et qui puissent leur servir directement au quotidien. Donc cette offre, elle se base sur trois grands piliers. Le premier pilier concerne tout ce qui va tourner autour de la connaissance de la menace, donc de la sensibilisation. Le deuxième pilier, c'est savoir où on en est en termes de cybersécurité, donc des audits, des diagnostics, qui permettent de faire un état des lieux de sa sécurité, de son entreprise. Et le troisième pilier, c'est quel outil je dois mettre, quel processus je dois mettre pour pouvoir me protéger. Donc ce catalogue de services, on va le mettre à disposition au travers du portail qui est dédié aux conseillers en gestion de patrimoine et courtiers chez Cardif. Ce catalogue regroupera différents types de produits, de l'outillage, de la sensibilisation et de l'accompagnement.

Gilbert Roux : Il est clair que votre objectif n'est pas de faire des partenaires CGP et courtiers des experts en cybersécurité, mais au contraire de leur donner les bons outils.

Awa Ndiaye : Exactement. L'objectif, c'est vraiment de donner les bons outils, et aujourd'hui, c'est un élément stratégique de garantir à ses clients, à ses partenaires, que leurs données, on en prend soin, elles sont sécurisées et tous les échanges sont sécurisés. C'est vraiment un point clé de confiance, de gestion du risque pour éviter tout arrêt d'activité.

Quand on subit une cyberattaque, il faut avoir un plan. Et la problématique, souvent, c'est que la plupart des entreprises qui ne sont pas habituées à ces sujets-là n'ont pas de plan et ne savent pas, finalement, les étapes à suivre pour pouvoir atténuer le risque, accompagner l'entreprise dans cette situation de crise. Donc, ça fait partie des sujets de sensibilisation qu'il faut mener et avoir un plan en cas d'attaque. En cas d'incendie, il faut avoir un plan. C'est exactement la même chose en cas de cyberattaque.

Gilbert Roux : Alors, nous arrivons au terme de ce podcast. Mais avant de conclure, j'aimerais que vous preniez chacune la parole en quelques mots. Si vous aviez un message simple à adresser à nos partenaires qui nous écoutent, qu'est-ce que vous leur diriez ? On commence avec vous, Cécile.

Un mot de conclusion ?

Cécile Pouilley : J'ai envie de dire encore une fois que la cybersécurité, c'est vraiment l'affaire de tous et que ce n'est pas parce qu'ils sont petits qu'ils ne peuvent pas être ciblés.

Gilbert Roux : Awa ?

Awa Ndiaye : Les bons réflexes, les bonnes pratiques peuvent énormément changer les choses en cas de cyberattaque.

Gilbert Roux : Merci beaucoup à toutes les deux pour cet échange qui a été extrêmement éclairant. Alors moi je retiens surtout que la cybersécurité, ce n’est pas uniquement un sujet technique, c'est surtout un enjeu de confiance, d'organisation, d'accompagnement. On va dire un réflexe quotidien. Et pour le mot de la fin, j'aimerais citer une phrase que j'ai déjà entendue plusieurs fois en préparant ce genre d'émission, c'est : en matière de cybersécurité, la bonne question à se poser, ce n'est pas si vous subirez une cyberattaque un jour, mais quand cela arrivera.

Gilbert Roux : Merci beaucoup à Awa Ndiaye, merci Cécile Pouilley et je vous dis à bientôt, merci.

Cécile Pouilley : À bientôt. Merci.

Citation
Nous mettons à disposition des partenaires CGP et courtiers un catalogue de services dédié à la cybersécurité. Ce catalogue, disponible via Finagora, regroupe différents types de produits, de l'outillage, de la sensibilisation et de l'accompagnement” . Awa Ndiaye
 

Awa Ndiaye

Intervenante

Awa Ndiaye intègre BNP Paribas Cardif en 2011 en tant qu’experte en technologies de l’information (IT). Depuis 2018, elle travaille sur le développement des solutions digitales dédiées aux Conseillers en Gestion de Patrimoine (CGP) et courtiers, contribuant ainsi à moderniser leur expérience, à renforcer leur efficacité opérationnelle et leur sécurité. Elle est titulaire d’un Executive MBA en cybersécurité et management des risques obtenu en 2025.

 

Cécile Pouilley

Intervenante

Cécile Pouilley rejoint le Groupe BNP Paribas en septembre 2025, après trois années passées au sein des équipes cybersécurité de BNP Paribas Cardif. En tant qu’experte sécurité, elle accompagne les équipes IT sur la sécurisation des solutions mises à disposition des collaborateurs, partenaires et clients.