Entretien : Les nouveaux enjeux de la cybersécurité en entreprise

Tristan Pinceaux, avant de devenir consultant expert en cybersécurité chez Provadys, a été administrateur système au sein de l’Institut des systèmes complexes de Paris et d’Orange, puis analyste en threat intelligence et réponse sur incident pour la cellule CyberSecurity d’Airbus Defence and Space. Il revient pour Akuiteo sur la prise de conscience récente des enjeux de cybersécurité au sein des entreprises.

Bonjour Tristan Pinceaux. Pouvez-vous nous présenter votre entreprise ?

Provadys est un cabinet d’audit et de conseil en cybersécurité, infrastructure & cloud et transformation du système d’information. Sur les activités cybersécurité, nous proposons plusieurs services :

• Offensive Security pour permettre de connaître le degré de résistance face à une attaque ;
• Defensive Security pour placer la sécurité au cœur des projets de transformation et de digitalisation des entreprises ;
• Compliance pour mettre les entreprises en conformité avec les référentiels et certifications avec une approche pragmatique pour la sécurité et les spécificités de chaque entreprise. Nous sommes organisme certificateur : Arjel, PCI DSS (QSA Company), et spécialisés sur les référentiels ISO2700x et données à caractère personnel (RGPD) ;
• SOC pour identifier, protéger, détecter et répondre au quotidien aux attaques des ETI/PME ;
• Provadys Institute pour former et sensibiliser les entreprises et leurs collaborateurs à la cybersécurité.

Nos clients vont de l’entreprise du CAC 40 jusqu’à des structures de taille moyenne comme les PME et ETI, sur tous les secteurs d’activité.

Quelles sont les menaces auxquelles les entreprises doivent faire face aujourd’hui ?

Il y a vraiment deux vecteurs de risque :

1) La partie technique : infrastructure, réseau, vulnérabilité des équipements et des logiciels, architectures mal montées – donc avec potentiellement des « backdoors ».

2) L’aspect humain : le maillon faible ! Des brèches peuvent être très rapidement créées. Les attaquants ciblent généralement les collaborateurs détenant des privilèges sur le SI ou, au contraire, essayent de rentrer par les petites passerelles oubliées, telles que les fournisseurs de service qui accèdent au SI d’une plus grande structure.

En plus des attaques classiques comme les campagnes de phishing et les tentatives de DDoS (déni de service distribué), trois grandes menaces se sont développées récemment :

• Celles en lien avec l’Internet des objets (Internet of Things ou IoT en anglais).
• Les ransomwares, qui chiffrent ou bloquent l’accès à une partie ou toutes les données de l’entreprise tant que la cible n’a pas versé une certaine somme d’argent.
• Les APT (Advanced Persistent Threat), qui cherchent entre autres à dérober des données en s’introduisant dans le SI de l’entreprise, visant notamment certains secteurs industriels et médiatiques.

Quel est le premier conseil que vous donnez lors de vos interventions sur la cybersécurité en entreprise ?

Celui de sensibiliser en interne ! Et ce, autant pour ce qui est des données professionnelles que de celles à caractère personnel, qui vont d’ailleurs être réglementées dès l’année prochaine. Cette phase de sensibilisation peut prendre la forme d’une formation en présentiel ou d’e-learning avec un questionnaire final pour évaluer le niveau de compréhension des différents sujets abordés.

Il s’agit de faire comprendre aux collaborateurs que la cybersécurité est l’affaire de tous, même quelqu’un qui n’est pas administrateur réseau peut avoir son importance dans la chaîne de sécurité de l’entreprise. On parle de social engineering : ne pas laisser ses mots de passe traîner sur le bureau par exemple, ne pas donner d'information à de vagues connaissances, vérifier l’origine des emails avant d’ouvrir une pièce jointe ou de cliquer sur un lien…

On voit de plus en plus de BYOD (Bring Your Own Device) dans les entreprises : les collaborateurs apportent leurs propres machines et accèdent au réseau de la société. Certains administrateurs gèrent aussi l’infrastructure du réseau depuis le même ordinateur avec lequel ils surfent sur internet. Ces pratiques sont bien sûr sources de risques et témoignent de la difficulté à concilier deux tendances :

• d’un côté, la prise de conscience du danger que représentent les attaques pour les entreprises ;
• et, de l’autre, une volonté d’être moins restrictif et de rendre la sécurité transparente aux utilisateurs.

Certains grands groupes ont l’habitude de gérer cette problématique et sont parvenus, par des solutions pérennes, à isoler les environnements professionnel et personnel. En revanche, les plus petites structures sont encore dans l’approximation, ce qui peut avoir des conséquences catastrophiques.

En plus de la sensibilisation des utilisateurs, quels seraient les trois éléments clés à surveiller pour mieux prévenir les cyber-risques qui menacent le SI ?

Tout simplement les bonnes pratiques classiques du métier, comme le principe du moindre privilège lors de l’octroi des droits !

• Une authentification forte : de bons mots de passe, partout, que ce soit du côté des utilisateurs, des comptes de service, etc.
• Un durcissement du code et le déploiement des mises à jour.
• L’utilisation du chiffrement.

Comment peut-on s’assurer que son entreprise est bien protégée ?

L’audit de sécurité est un très bon indicateur. Il permet notamment de :

• définir si les bons processus opérationnels et organisationnels sont en place d’un point de vue cybersécurité ;
• détecter, grâce aux tests d’intrusion techniques, les éventuels manquements, les équipements qui ne sont pas à jour, etc.

À noter que les entreprises négligent très souvent leurs fournisseurs de service ! Or, la sécurité est un enjeu absolument transverse : du DG à l’administrateur, en passant par le développeur ou le centre d’appel externe, jusqu’à la personne en charge du marketing, tout le monde peut être impacté et tout le monde a donc un rôle à jouer.

Le problème est souvent là : les entreprises vont blinder les portes de leur « coffre-fort » mais pas celles de tous les composants associés, le SIRH par exemple. On se retrouve alors avec des vulnérabilités à patcher sur le tard, parce que les enjeux de sécurité n’ont pas été pensés en amont. Autant l’infrastructure cœur de métier que l’ensemble de l’écosystème de l’entreprise (y compris ce qu’on appelle l’IT) doivent donc être protégés.

Merci à Tristan Pinceaux pour cet entretien. Découvrez tous les témoignages du mag Akuiteo !