Tristan Pinceaux, avant de devenir consultant expert en cybersécurité chez Provadys, a été administrateur système au sein de l’Institut des systèmes complexes de Paris et d’Orange, puis analyste en threat intelligence et réponse sur incident pour la cellule CyberSecurity d’Airbus Defence and Space. Il revient pour Akuiteo sur la prise de conscience récente des enjeux de cybersécurité au sein des entreprises.
Provadys est un cabinet d’audit et de conseil en cybersécurité, infrastructure & cloud et transformation du système d’information. Sur les activités cybersécurité, nous proposons plusieurs services :
Nos clients vont de l’entreprise du CAC 40 jusqu’à des structures de taille moyenne comme les PME et ETI, sur tous les secteurs d’activité.
À lire aussi : Ambiance, qualité de vie... Choisissez les bons fournisseurs !Il y a vraiment deux vecteurs de risque :
1) La partie technique : infrastructure, réseau, vulnérabilité des équipements et des logiciels, architectures mal montées – donc avec potentiellement des « backdoors ».
2) L’aspect humain : le maillon faible ! Des brèches peuvent être très rapidement créées. Les attaquants ciblent généralement les collaborateurs détenant des privilèges sur le SI ou, au contraire, essayent de rentrer par les petites passerelles oubliées, telles que les fournisseurs de service qui accèdent au SI d’une plus grande structure.
En plus des attaques classiques comme les campagnes de phishing et les tentatives de DDoS (déni de service distribué), trois grandes menaces se sont développées récemment :
Celui de sensibiliser en interne ! Et ce, autant pour ce qui est des données professionnelles que de celles à caractère personnel, qui vont d’ailleurs être réglementées dès l’année prochaine. Cette phase de sensibilisation peut prendre la forme d’une formation en présentiel ou d’e-learning avec un questionnaire final pour évaluer le niveau de compréhension des différents sujets abordés.
Il s’agit de faire comprendre aux collaborateurs que la cybersécurité est l’affaire de tous, même quelqu’un qui n’est pas administrateur réseau peut avoir son importance dans la chaîne de sécurité de l’entreprise. On parle de social engineering : ne pas laisser ses mots de passe traîner sur le bureau par exemple, ne pas donner d'information à de vagues connaissances, vérifier l’origine des emails avant d’ouvrir une pièce jointe ou de cliquer sur un lien…
On voit de plus en plus de BYOD (Bring Your Own Device) dans les entreprises : les collaborateurs apportent leurs propres machines et accèdent au réseau de la société. Certains administrateurs gèrent aussi l’infrastructure du réseau depuis le même ordinateur avec lequel ils surfent sur internet. Ces pratiques sont bien sûr sources de risques et témoignent de la difficulté à concilier deux tendances :
Certains grands groupes ont l’habitude de gérer cette problématique et sont parvenus, par des solutions pérennes, à isoler les environnements professionnel et personnel. En revanche, les plus petites structures sont encore dans l’approximation, ce qui peut avoir des conséquences catastrophiques.
À lire aussi : La gestion financière d'une entreprise de service, art ou science ?Tout simplement les bonnes pratiques classiques du métier, comme le principe du moindre privilège lors de l’octroi des droits !
L’audit de sécurité est un très bon indicateur. Il permet notamment de :
À noter que les entreprises négligent très souvent leurs fournisseurs de service ! Or, la sécurité est un enjeu absolument transverse : du DG à l’administrateur, en passant par le développeur ou le centre d’appel externe, jusqu’à la personne en charge du marketing, tout le monde peut être impacté et tout le monde a donc un rôle à jouer.
Le problème est souvent là : les entreprises vont blinder les portes de leur « coffre-fort » mais pas celles de tous les composants associés, le SIRH par exemple. On se retrouve alors avec des vulnérabilités à patcher sur le tard, parce que les enjeux de sécurité n’ont pas été pensés en amont. Autant l’infrastructure cœur de métier que l’ensemble de l’écosystème de l’entreprise (y compris ce qu’on appelle l’IT) doivent donc être protégés.
Merci à Tristan Pinceaux pour cet entretien. Découvrez tous les témoignages du mag Akuiteo !