Sécurité numérique : comment la Région Occitanie accompagne TPE, collectivités et écosystème cyber

En quoi consiste concrètement votre projet et quels en sont les principaux objectifs ?

L’Occitanie est une région industrielle stratégique, avec des groupes comme Airbus, Thales, ATR ou Continental. Ces grandes entreprises sont globalement bien protégées, mais elles dépendent d’un tissu de TPE, PME, sous-traitants, distributeurs ou collectivités locales, souvent plus vulnérables face aux cyberattaques. Or, une faille chez l’un peut exposer toute la chaîne. On a vu des attaques transiter par un distributeur local pour viser des acteurs majeurs. C’est à ce besoin de protection collective que répond Cyber’Occ. Nous avons conçu cette structure pour mutualiser une réponse régionale, publique et efficace à trois niveaux.

D’abord, avec un centre de réponse à incidents – un “Samu du numérique” – qui offre un premier niveau d’aide, d’orientation et de mise en relation avec des prestataires de confiance.
Ensuite, par un travail de prévention pour sensibiliser chacun “sans jargon”, en lien avec les chambres consulaires, fédérations et réseaux professionnels.
Enfin, en structurant l’écosystème régional, qui compte plus de 150 entreprises cyber, pour favoriser la coopération, la montée en compétence et l’accès à de nouveaux marchés.

Comment le sujet s’est-il imposé à l’agenda de votre collectivité ? (Irritants, problématique, besoin, nouvelle obligation légale…)

C’est venu d’un constat partagé avec notre présidente de Région, Carole Delga : la cybersécurité est une menace existentielle pour nos entreprises. Ce n’est pas un simple aléa, comme une hausse du prix des matières premières ou une nouvelle réglementation : une cyberattaque, c’est 100 % du chiffre d’affaires qui peut disparaître du jour au lendemain. Et pourtant, beaucoup d’entrepreneurs ne le perçoivent pas comme tel. Un peu comme Voldemort dans Harry Potter : tout le monde sait qu’il est là, mais personne ne veut en parler.

Concrètement, en tant que collectivité, on accompagne des entreprises via des subventions, des aides, du soutien à l’investissement. Le plus frustrant, c’est de voir une boîte qu’on a accompagnée fermer à cause d’un mot de passe trop faible ou d’une sauvegarde défectueuse.

Ce décalage entre le risque réel et la conscience qu’en ont les acteurs économiques, c’est l’angle mort que nous devons gérer au niveau de la politique publique numérique.

Quelles sont les sources d’inspiration que vous avez suivies pour vous faire une idée de ce projet ?

Cyber’Occ est né dans le cadre du Plan France Relance et du déploiement national des CSIRT régionaux (Computer Security Incident Response Teams). Ces centres régionaux de réponse à incidents de sécurité informatique, encouragés par l’Agence nationale de la sécurité des systèmes d'information (ANSSI), ont vocation à devenir des guichets de premier recours pour les entreprises, associations et collectivités confrontées à des cyberattaques. À partir de cette impulsion nationale, la Région Occitanie a construit un projet qui réponde aux spécificités de son territoire. Une écoute attentive des TPE-PME, associations et collectivités a permis de mesurer le besoin d’un accompagnement simple, humain, et de proximité. Pour concevoir une réponse pertinente, l’équipe s’est inspirée de démarches existantes : à l’international, la Wallonie a été observée pour son pragmatisme vis-à-vis des PME ; en France, la Bretagne a fait figure de référence grâce à son pôle cyber structuré depuis plusieurs années. Nous nous sommes aussi nourris de ces retours d’expérience d’autres territoires. Nous n’avons pas voulu réinventer l’eau chaude, mais plutôt adapter intelligemment ce qui fonctionne.

Y a-t-il des compétences ou sujets spécifiques à maîtriser avant de se lancer dans ce projet ?

Oui, clairement, mais ce ne sont pas forcément celles qu’on imagine. Moi, je suis juriste, pas ingénieur. Quand j’ai pris la présidence de Cyber’Occ, la première chose que j’ai faite, c’est d’aller en librairie demander les dix derniers livres sur la cybersécurité. Ensuite, j’ai eu la chance d’être en contact avec un délégué régional de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) qui m’a donné des “cours du soir”.

La vraie compétence à avoir, c’est l’écoute. Il faut écouter les entreprises, les collectivités, les victimes d’attaques, les prestataires. Comprendre leurs besoins réels, leur langage. Et surtout : ne pas faire semblant d’être expert quand on ne l’est pas.

Avez-vous mené une étude en amont du projet pour définir sa faisabilité et/ou son impact ?

Oui, on a pris le temps de bien faire les choses. Avant de lancer quoi que ce soit, je suis allé sur le terrain, écouter. J’ai rencontré des chefs d’entreprise victimes de cyberattaques, des collectivités touchées, des prestataires en cybersécurité. L’idée, c’était d’avoir une vision complète du champ de bataille, pas de construire un projet hors-sol.

On n’a pas lancé une grande enquête publique au sens formel, mais on a mené une vraie enquête de terrain qualitative, par immersion. J’ai pris mon bâton de pèlerin et j’ai écouté, longuement. C’est ce qui nous a permis d’identifier les besoins concrets : un centre d’urgence accessible, une meilleure prévention, un accompagnement simple et crédible.

Cette phase de diagnostic a été essentielle. Elle nous a évité de tomber dans le piège de la « politique vitrine », et elle a permis d’ancrer le projet dans le réel, avec un objectif clair : être utiles, pas visibles.

Comment avez-vous assuré le bon dimensionnement du projet ?

Très honnêtement, aujourd’hui, le dimensionnement du projet est d’abord dicté par une contrainte budgétaire forte. Les collectivités sont sous tension financière, donc chaque euro doit être utilisé au plus juste. Dès le départ, on est animé par une question : comment maximiser l’impact pour chaque euro dépensé ? On a fait des choix. Certains projets ont été mis en pause, d’autres accompagnés avec des moyens très ciblés. Par exemple, un jeune alternant de Cyber’Occ travaille sur un projet très intéressant en open source pour nettoyer les clés USB avant leur branchement : utile, malin, mais on ne peut pas y mettre 50 000 euros. Donc on l’aide, mais de façon économe.

Le deuxième levier, c’est notre montée en puissance progressive. On a commencé petit, avec 32 adhérents, puis 54, et aujourd’hui 70. On est sur une courbe de croissance exponentielle, car on a d’abord construit un socle solide, sans faire de communication tapageuse.

Le troisième pilier, c’est l’adaptation permanente. Le projet évolue selon les retours des entreprises, les attaques recensées, les manques constatés. C’est un projet vivant, ajusté au terrain, et dimensionné pour rester efficace, même avec peu de moyens.

Comment la collectivité a-t-elle financé ce projet et quelles ont été les aides sollicitées/obtenues ?

Le financement repose sur une logique de co-construction : La Région Occitanie est le principal financeur public, avec une subvention couvrant un quart à un cinquième du budget de fonctionnement. L’ANSSI a apporté un fonds d’amorçage au moment de la création du CRRIC, et un accompagnement technique très précieux. Les entreprises adhérentes (environ 70 aujourd’hui) versent une cotisation modique, sur un modèle non lucratif. Certaines collectivités, comme le SICOVAL ou la Ville de Montpellier, apportent aussi un soutien en nature (locaux, appui opérationnel).

Nous visons une transformation en GIP d’ici 2025, pour renforcer la gouvernance publique du projet.

Quels sont les autres acteurs qui vous ont accompagnés dans la préparation et la réalisation de ce projet ?

L’ANSSI, bien sûr, avec un appui stratégique et opérationnel via Rémi Daudine, leur délégué régional.
La Région Occitanie, initiatrice et porteuse politique du projet.
Le SICOVAL, qui accueille le futur campus cyber à Labège, dans la Data Valley.
La Ville de Montpellier, impliquée dès le départ.
Les réseaux économiques : CPME, MEDEF, CCI, Ordres professionnels…
L’écosystème cyber régional : plus de 150 entreprises, dont 70 sont aujourd’hui adhérentes, comme iTrust, Scassi ou Airbus Protect.
Les partenaires nationaux : cybermalveillance.gouv.fr, le GIP 17Cyber…

Et les citoyens dans tout ça ?

Le projet vise prioritairement les structures économiques et publiques, mais la sensibilisation citoyenne est un enjeu à venir. Les tentatives d'hameçonnage (aussi appelées phishing en anglais), les courriels frauduleux, les fuites de données concernent chacun d’entre nous. Un travail de fond reste à construire pour impliquer le grand public dans une culture commune du risque numérique.

Quels conseils donneriez vous à un élu qui souhaiterait se lancer dans un projet similaire ?

Le premier conseil, c’est de bien s’entourer. Pas avec des “sculpteurs de fumée” ou des marchands de peur, mais avec des gens solides techniquement, capables de parler le langage des entreprises, de l’administration, et de la cybersécurité. Ce type de projet est à l’intersection de trois cultures : l’administration, l’économie, et la technique. Si vous n’avez pas des personnes capables de dialoguer avec chacun de ces mondes, vous risquez de construire un projet bancal ou hors-sol.

Deuxième conseil : écouter. Vraiment écouter. Les entreprises attaquées, les prestataires, les institutions, les agents. C’est ça qui permet d’identifier les vrais besoins, et d’éviter les effets d’annonce ou les dispositifs qui brillent mais ne servent à rien.

Troisième point : ne pas faire de politique du label. Il ne s’agit pas de coller une étiquette “cybersécurisé” ou d’annoncer à grand renfort de communication qu’on protège tout le territoire. En cybersécurité, le pire, c’est l’illusion de sécurité. Comme le Petit Chaperon Rouge qui pense être en sécurité chez sa grand-mère, alors que c’est le loup. Mieux vaut une entreprise pas protégée mais lucide, qu’une structure qui croit, à tort, être à l’abri.

Enfin, rester modeste. Construire sur le temps long, avancer étape par étape, et garder une obsession : être utile. Pas visible, pas flamboyant, juste utile. Et ça, en politique, c’est peut-être ce qu’il y a de plus difficile… mais de plus gratifiant.