Secu

Lionel Chaine (Bpifrance) : « Le vrai sujet, c’est de reprendre le contrôle »

Par Alessandro Ciolek, publié le 03 avril 2026

Au Forum InCyber à Lille, Lionel Chaine, DSI de Bpifrance, revient sur l’accélération de la menace cyber, la montée en puissance du security by design et la manière dont l’IA oblige les DSI à reprendre la main sur les données, les connaissances et les chaînes de valeur.

Entretien avec Lionel Chaine, DSI de Bpifrance

Pendant que les vulnérabilités s’exploitent désormais en quelques heures, les DSI n’ont plus d’autre choix que de changer d’échelle. Au Forum InCyber, Lionel Chaine explique comment Bpifrance tente de répondre à cette nouvelle donne : plus d’agilité, plus d’automatisation, plus de sécurité by design, et une même obsession en toile de fond, reprendre le contrôle avant que la vitesse du risque n’impose sa loi.

Lorsque vous avez été nommé DSI de Bpifrance, vous expliquiez vouloir accélérer la transformation technologique de l’établissement et développer l’intelligence collective dans une démarche 100 % agile. Six ans plus tard, où en êtes-vous ?

On a bien avancé. Aujourd’hui, Bpifrance est agile à l’échelle. Je dirais même agile distribuée à l’échelle, puisque j’ai la chance d’être ici à Lille mais avec des équipes réparties un peu partout en France. Nous avons structuré cela avec un pattern que l’on appelle SAFe, et c’est devenu notre mode de travail au quotidien.

Pour donner un ordre de grandeur, nous avons multiplié notre nombre de mises en production par un facteur proche de 100 sur la période. Au début, nous avons doublé chaque année, puis nous avons changé d’ordre de grandeur. Cette organisation nous permet aujourd’hui de déployer beaucoup plus simplement et beaucoup plus opérationnellement. Toute notre structure est désormais pilotée par cette logique-là.

Mais l’arrivée de l’IA nous pousse déjà à réfléchir à la suite. Et, très franchement, heureusement que nous avons construit ce socle d’agilité. Sans lui, absorber la vague actuelle serait beaucoup plus compliqué.

Vous parlez justement d’un changement de paradigme dans la cyber. Qu’est-ce qui change, pour un DSI, dans la réalité du terrain ?

Je m’occupais déjà beaucoup de cyber. J’envoyais souvent mes équipes, parce que je délègue beaucoup, notamment à mon responsable cyber qui nous a rejoints après avoir piloté ces sujets sur les Jeux olympiques. Mais ce qui change aujourd’hui, c’est le rythme.

En 2018, entre la publication d’une CVE et son exploitation, on parlait encore en années. Aujourd’hui, on parle parfois en heures. Ce que j’ai vu récemment, c’est de l’ordre de six heures. C’est colossal. Cela n’a plus rien à voir.

Mes équipes, qui travaillent déjà en agilité, regardent tous les matins les vulnérabilités de la nuit et les patchs disponibles. On voit bien que la logique a complètement changé. Et même cela, demain, ne suffira sans doute plus. Avec l’arrivée de l’IA, il faut aller encore plus vite.

Nous savions déjà qu’il fallait accélérer la réponse à incident, ce que j’appelle la golden hour, la capacité à traiter un incident cyber en moins d’une heure. Mais le paradigme nouveau, c’est que c’est by design. Il faut arrêter de mettre en production des applications exposées avec des vulnérabilités connues.

Autrement dit, la sécurité ne peut plus être un correctif a posteriori ?

Exactement. Le nombre de vulnérabilités augmente, la complexité de nos systèmes d’information augmente elle aussi, et nous savons que les délais d’exploitation se contractent. C’est précisément pour cela que je suis venu au Forum InCyber : pour chercher des réponses, voir comment automatiser davantage, comment autonomiser certains composants, comment demain utiliser peut-être des approches agentiques capables d’aider à patcher, à tester, à surveiller en continu.

Il va falloir des mécanismes qui tournent jour et nuit. Sinon, on ne tiendra pas la cadence.

Bpifrance n’est pas une entreprise comme une autre. Vous êtes une banque publique, avec des enjeux financiers, mais aussi stratégiques. Comment cela redéfinit-il votre exposition ?

Bpifrance est exposée à tous les risques d’un acteur financier. Les institutions financières sont parmi les plus attaquées parce qu’elles sont, si j’ose dire, bankables. Il y a un intérêt financier immédiat pour les attaquants.

Mais ce n’est qu’une partie du sujet. Nous portons aussi des enjeux étatiques. Nous opérons des systèmes critiques, notamment autour de l’export, et nous disposons d’une masse importante de données sur les entreprises françaises. Cela nous expose aussi à des attaques de niveau étatique, à des logiques d’intelligence économique, à des enjeux géopolitiques.

Nous travaillons donc énormément la résilience. Le cadre DORA va dans le bon sens. Il structure davantage des exigences que nous avions déjà intégrées, mais il pousse à rendre compte plus précisément, à documenter la résilience, la continuité, la réversibilité.

Et la géopolitique nous donne raison. Elle crée de nouveaux risques, en particulier autour de l’autonomie stratégique. Beaucoup d’entreprises veulent désormais être américaines sur la plaque américaine, européennes sur la plaque européenne, asiatiques sur la plaque asiatique. En systèmes d’information, cela ajoute de la complexité. Mais cette complexité devient une condition de résilience.

Vous dites aussi que le vrai sujet de l’IA ne se réduit pas aux modèles. Selon vous, le défi pour les DSI est de reprendre le contrôle. Reprendre le contrôle de quoi, précisément ?

L’IA qui arrive n’est pas la technologie à la mode de l’année. Ce n’est pas un gadget. C’est une révolution, comme on en connaît une ou deux par décennie. Et nous, DSI, sommes au cœur de cette révolution.

Il faut d’abord reprendre le contrôle sur la donnée. Une IA puissante, c’est une IA qui croise les données, qui casse les silos. Or, ces silos, souvent, nous les avons nous-mêmes construits au fil des couches applicatives. Il faut donc reconstituer une vision transverse, et cela passera largement par des graphes de données.

Ensuite, il faut reprendre le contrôle sur la connaissance. Que veut dire développer une application “à la façon Bpifrance” ? Que veut dire être conforme ? Que veut dire être sécurisé ? Que veut dire respecter la réglementation dans notre contexte ? Toutes ces choses existaient déjà, mais pas toujours de manière suffisamment explicite pour être exploitables demain par des agents d’IA.

Moi, je rêve d’agents de conformité qui puissent contrôler automatiquement un certain nombre de points. Parce que nos équipes ne sont pas là pour cliquer toute la journée sur “oui”, “non”, “je valide”, “je ne valide pas”. Ce n’est pas leur valeur ajoutée. Il faut leur redonner du temps et de la hauteur.

Cela implique donc de revoir en profondeur le fonctionnement même de la DSI ?

Oui. Nous revoyons notre modèle opérationnel. Nous revoyons nos chaînes de valeur. En clair, nous revoyons notre façon de travailler.

J’appelle cela l’AI for IT. Avant de demander aux métiers de se transformer avec l’IA, la DSI doit commencer par se transformer elle-même. Je crois beaucoup à l’exemplarité. On commence par sa propre maison. Ensuite, on peut accompagner le reste de l’entreprise.

Parce que l’enjeu final, c’est bien de réinventer les processus opérationnels. L’IA va donner plus d’autonomie aux métiers, mais elle doit le faire dans un cadre structuré, maîtrisé, et cohérent avec les exigences de sécurité, de conformité et de performance.

Vous avez reçu en 2024 le prix de la DSI Innovante lors des Trophées DSI(N) de l’Année d’IT for Business. Deux ans plus tard, qu’est-ce qu’être innovant veut dire pour un DSI ?

Aujourd’hui, être innovant, c’est intégrer vite, et de façon continue, les nouveaux enableurs techniques qui arrivent. Il y a deux ans, nous n’avions pas les IA dont nous disposons aujourd’hui. Depuis l’été dernier, nous avons vu arriver des IA raisonnées capables de faire des choses impressionnantes.

Être innovant, c’est anticiper. Il faut lire, apprendre, rester humble. Et il faut aussi aller chercher les bonnes idées et les appliquer rapidement, parce que nous sommes dans une phase de transition majeure.

Soyons optimistes : imaginons que dans quatre ans, tout le monde ait vraiment intégré l’IA. La vraie différence se fera dans la transition. Et cette transition peut être darwinienne. Certaines entreprises vont prendre une avance considérable. D’autres vont accumuler un retard susceptible de remettre en cause leur modèle économique.

Chez Bpifrance, nous sommes là pour aider les entrepreneurs à se développer. Le message est simple : il faut prendre cette vague de l’IA, ou plutôt cette déferlante. Elle peut permettre de revenir sur des marchés que l’on croyait inaccessibles. Elle peut aussi contribuer à une forme de réindustrialisation numérique de l’Europe. Les cartes sont rebattues. C’est le moment d’y aller.

À LIRE AUSSI :

DSI Innovateur 2023 - Lionel Chaine de BPIfrance

DSIN

DSI Innovante 2023 : Lionel Chaine (Bpifrance)

François Jeanne

26 Avr

Lionel Chaine (Bpifrance) : « Le vrai sujet, c’est de reprendre le contrôle »

Alessandro Ciolek
Sécuriser les flux à l’ère du quantique

Patrick Brébion
Ingram Micro brevète deux briques clés de sa plateforme Xvantage

Frédéric Bergonzoli
D’Anthropic à Axios : NPM, le maillon faible de vos chaînes logicielles

Laurent Delattre
La Région Île-de-France propose le vote électronique aux parents d’élèves

Marie Varandat
KiwiBackup franchit un nouveau cap dans les certifications santé

Vincent Verhaeghe
DPO, passez de la conformité à la souveraineté numérique !

Laurent Delattre
Botmaster AI accélère son implantation sur le marché français

Frédéric Bergonzoli
Forum InCyber — Épisode 4 : l’IA ne crée pas toujours de nouvelles failles, mais elle accélère tous les risques

Thierry Derouet
Forum InCyber — Épisode 3 : les start-up cyber à l’épreuve du réel

Thierry Derouet