10 questions à Stéphane, directeur de la Cybersécurité chez Adentis

 

Alors que le « mois européen de la Cybersécurité » s’achèvera demain, mercredi 31 octobre 2018, nous avons interviewé Stéphane, co-fondateur d’Adentis et directeur de notre division dédiée à la Cybersécurité qui a vu le jour en 2016.

Voici les 10 questions que nous lui avons posé, ainsi que ses réponses (c’est mieux ;)).

 

Peux-tu te présenter, nous décrire ton rôle de directeur de la Cyber chez Adentis et expliquer concrètement ce qu’est la Cyber chez Adentis ? 

 

 

Co-Fondateur de la société Adentis en 2000, j’ai souhaité fin 2016 développer une nouvelle division dédiée à la Cyber Sécurité. Adentis accompagne ses clients historiques du monde de l’industrie et de l’embarqué en leur apportant des compétences dans le domaine de la Cyber Sécurité.

Cela regroupe des activités très variées, et notamment les suivantes :

  • Les analyses de risques (ISO 2700x, EBIOS Risk Manager…), l’accompagnement d’OIV dans l’homologation de leurs systèmes et SI, l’homologation / Certification, les audits & la mise en conformité (règlementaire et technique)
  • La Détection / Réaction et Cyber Surveillance : la conception et l’architecture de SOC, l’analyse de données issues de SIEM, la détection APT, NGIPS / HIPS, la veille / CERT, Forensique et recherche de preuves de compromission ou d’intrusion
  • La mise en conformité RGPD,
  • La cryptographie, la protection des données / Identités numériques
  • La gestion des identités d’accès (IAM), les infrastructures à clef publique (PKI), Signature électronique, Biométrie / eID / Système de gestion de carte (CMS), Protection des données, Classification, Chiffrement, DLP
  • Prévention contre la Cyber Criminalité
  • Stratégie, Risques & Gouvernance
  • Les Tests d’intrusion / le pentest dans le domaine de l’iOT, de l’énergie, des télécom et de la télévision numérique, la Gestion des vulnérabilités

 

Si tu devais nous résumer / expliquer la notion de Cybersécurité en quelques phrases ?

 

La Cybersécurité a un spectre très large, bien au-delà de la seule SSI (sachant que la SSI en elle-même couvre des domaines allant du juridique (réglementation, conformité) à l’organisationnel (gouvernance) ou aux technologies IT les plus avancées (deep learning, IoT, …).

Elle concerne la sécurité et la souveraineté numérique d’une organisation comme d’un état et fait collaborer des secteurs métiers aussi variés que l’économie, la stratégie (d’entreprise comme d’état-nation), la politique, …

Pour paraphraser Guillaume Poupard (DG de l’ANSSI) :

« Il n’existe pas de sécurité absolue, mais une sécurité au juste niveau »

Dans la pratique quotidienne, l’art du compromis et de la négociation est en effet permanent et il faut sans cesse (ré)impliquer les acteurs dans les processus d’intégration de la sécurité.

Il existe différentes granularités et différents objectifs à la mise en place et au maintien d’un niveau de sécurité numérique « acceptable ». Cela dépend par exemple de la maturité de la cible sur ce sujet. Chez Adentis, nous intervenons sur des sujets aussi variés que des SI militaires (avec tout l’écosystème de sensibilité que cela implique), des logiciels ou équipements matériels développés par des industriels, etc…

 

 

Quelles sont les menaces / attaques que tu vois le plus souvent ?

 

Le facteur humain est la plus grande source de « vulnérabilité » (mais ce n’est pas pour ça qu’il faut éliminer la variable ! 😉)

Ce qui semble malheureusement être la direction prise dans certains domaines d’activité IT. Par exemple à la source réelle du développement de l’IA…

Mais « de mauvaises causes (exclusivement lucratives) produisent parfois de bons effets » … et presque toujours leurs antidotes

 

 

Raconte-nous la plus grosse Cyberattaque à laquelle tu as été confronté ou dont tu as eu connaissance ?

 

Ce serait une faute professionnelle… 😉

En fait, il s’agit toujours de combinaisons d’attaques plus que d’une attaque isolée, associant Social Engineering, expertise sur des brèches de sécurité périmétrique/réseau/applicative, …

Sauf non diffusion (pour raisons commerciales évidentes : perte de confiance numérique des organismes auprès de leurs clients), les attaques majeures sont publiques (mais révélées au mieux 6 mois après l’intrusion !) : WannaCry et Petya (ransomwares), le Cabinet Deloitte, Netflix, Uber, Instagram, Ashley Madison, Adobe, GoogleCar, Google+, ….

 

Vous rencontrez parfois des obstacles avec les chefs d’entreprise ?

 

Oui par exemple dans la mise en conformité du RGPD, difficile de trouver le bon interlocuteur, tout le monde est au courant, mais certaines sociétés restent attentistes en espérant passer à travers les gouttes, ou attendent de voir ce que fait la concurrence.

 

Quelles sont les « règles » simples à appliquer en entreprises pour limiter la Cybermenace ?

–> De nombreuses « Best practices » sont éditées par l’ANSSI ou encore l’ENISA (Européen)

Elles impliquent par exemple de prendre en compte le « nomadisme » (BYOD), la sensibilisation et formation permanentes (« le facteur humain »), …

–> Une veille permanente (bien sûr internationale !)

  • sur les vulnérabilités (mise à jour sécurisées des supports logiciels et matériels)
  • sur la réglementation (conformité)
  • sur l’innovation IT (IA, IoT, BigData, mobilité, Drônes,…)

–> Ne pas négliger la gestion PCA/PRA (sauvegardes, etc…)

  • Des précautions spécifiques sectorielles

Par exemple pour le monde industriel, les projets militaires et d’état,…

 

 

Quel est l’avenir de la Cyber selon toi ?

 

La Cybersécurité doit devenir systématiquement intégrée et « By Design » dans tous les nouveaux produits, et rajoutée à tous ceux qui n’ont pas été conçus en tenant compte des risques associés. Par exemple un véhicule autonome devra, compte tenu de la centaine de services connectés qui l’équipent aujourd’hui, tenir compte des intrusions potentielles qui pourraient permettre d’en prendre le contrôle et causer ainsi de très nombreuses victimes.

Face au développement exponentiel des malwares par exemple, il n’est plus possible d’effectuer un traitement « artisanal » des menaces : on utilise aujourd’hui le Machine Learning et l’intelligence artificielle.

Mais la recherche en cybersécurité n’est pas que technique, elle est aussi sociologique : par exemple les flux de bitcoins sont désormais étudiés afin de mieux comprendre la structure des paiements des rançons.

La technologie est capable du pire et du meilleur, le partage du savoir et le collectif sont une bonne remédiation aux risques rencontrés par nos sociétés.

Ainsi en est-il également de la Cybersécurité et de la SSI, qui, de par son histoire, s’est construite à la fois sur la remédiation à des objectifs offensifs (le Pentest permet à ce titre de se placer dans la position d’un attaquant afin d’auditer la sécurité des systèmes) et sur les vertus d’émulations intellectuelles (la créativité des hackers !) …

La Cybersécurité ne laisse pas le temps de s’ennuyer ! Mais elle est aussi une source de gratification « renouvelable et gratuite » ou quelqu’un de motivé peut, aujourd’hui encore, réellement trouver sa place

 

 

Que penses-tu des outils récemment lancés par le gouvernement lors du « mois européen de la Cybersécurité » ?

 

La « clarification/simplification » des clauses de Cybersécurité […] est toujours la bienvenue dans ce vieux pays de tradition littéraire et juridique (pour le meilleur et parfois pour l’obscur ;))

Pour les deux autres outils (« télé-service de vérification de domaine de messagerie » et « système pour tester la sécurité de votre navigateur web »), ils correspondent à un réel besoin sur le terrain.

Mais par ailleurs, comme beaucoup de collègues opérant en Cybersécurité, je reste vigilant sur les risques politiques que peuvent impliquer tout système de centralisation… Après tout, un brin de paranoïa ne fait-t-elle pas partie du métier ?

 

 

Une petite exclu ? C’est quoi l’avenir de la Cyber chez Adentis ?

 

De la croissance, de nouveaux projets !

 

 

Tu connais une blague sur la Cyber ?

 

Non… ce n’est pas compatible… je plaisante 😉

Bon, il y a, par exemple ce rançongiciel « nRansom » : qui demande à ses victimes 10 photos d’elles nues pour débloquer leur ordinateur ! Heureusement celui-là n’est pas très méchant (il ne chiffre aucune donnée et est assez facile à éradiquer)

 

 

Merci Stéphane !

 

 

 

Rejoignez-nous 

Vos études touchent à leurs fins ou vous êtes à la recherche de nouveaux défis ? Alors rejoignez Adentis dès aujourd’hui en cliquant sur le lien ci-dessous :

>> Je veux rejoindre Adentis <<