“La presse traite de cybersécurité sans maîtriser les tenants et aboutissants”

Les baromètres et sondages autour de la cybersécurité se succèdent dans les médias depuis le début de cette année 2019. Et tous prédisent le pire pour les mois à venir. La cybersécurité se veut cependant légèrement plus complexe que la simple lecture de ces quelques chiffres.

« Des cyberattaques de plus en plus nombreuses et performantes » ; « Le risque cyber en tête des préoccupations des entreprises françaises » ; « Une cyberattaque mondiale en prévision selon l’Icaan »… Tous les baromètres et études statistiques liés à la cybersécurité laissent entrevoir le pire depuis le mois de janvier 2019. Consultant en sécurité des systèmes d’information chez CNPP Cybersecurity, Jérémie Fourt a accepté de répondre à nos questions. Une occasion pour l’intéressé de remettre en perspective ce climat médiatique anxiogène autour de la cybersécurité.

Face au Risque. Selon les différents baromètres sur les risques parus depuis le début de l’année 2019, le risque cyber est celui qui inquiète le plus les entreprises françaises. Comment en est-on arrivé à ce constat ?

Jérémie Fourt. La notion de risque est assez contextuelle. Effectivement, le risque cyber est plus considéré que par le passé. Pour autant, aujourd’hui encore, il y a des entreprises pour lesquelles ce risque n’est pas vu comme un enjeu majeur. Cela est typiquement le cas dans l’industrie, qui se concentre davantage sur les risques en matière de santé et sécurité au travail.

Quant au fait de savoir comment on en est arrivé là, c’est assez simple. Ces vingt ou trente dernières années, il y a tout simplement eu une numérisation des méthodes de travail. Ce qui a entraîné l’apparition de nouveaux facteurs de risques. Historiquement, l’utilisation de l’informatique – notamment en entreprise – était beaucoup moins répandue. Aujourd’hui on trouve des ordinateurs dans quasiment toutes les entreprises et tous les corps de métier. Mêmes les usines se mettent à utiliser des objets connectés.

Dans ce contexte-là, les risques numériques sont forcément à prendre en considération. Si on numérise les outils de travail, il y a forcément des risques qui apparaissent au niveau cyber… Auparavant, l’accent était mis essentiellement sur les atteintes à la sécurité physique des personnels. Il fallait faire attention à ne pas se blesser ou éviter les dégâts physiques.

Pour rester sur le cas des entreprises françaises, peut-on considérer qu’elles sont en retard dans le domaine de la cybersécurité ? Ou ne sont-elles en réalité pas plus en retard que leurs homologues étrangères ?

J.F. Je pense que c’est extrêmement lié au contexte et que, d’une entreprise à l’autre, c’est très variable. On peut dire, dans l’idée, qu’il y a trois types d’entreprises. Il y a celles qui, entre guillemets, ne s’intéressent pas du tout au sujet de la cybersécurité car ce n’est pas leur priorité au jour le jour. On retrouve principalement ces entreprises dans le secteur industriel. Ou dans les activités de terrain, assez manuelles, comme sur les chantiers par exemple.

Ensuite, il y a les entreprises qui ont une culture de la sécurité assez récente. Plus orientée business. Dans ce contexte-là, ce sont les clients de ces entreprises qui leur demandent de s’engager davantage dans la cybersécurité. Cela pousse ces entreprises à s’intéresser au sujet. On voit d’ailleurs qu’il y a de plus en plus d’entreprises de services qui cherchent à obtenir des certifications. Notamment la certification ISO/CEI 27 001, car elle leur est demandée spécifiquement par leurs clients.

Le troisième type, ce sont des entreprises qui ont – depuis des années – desenjeux en matière de cybersécurité. Je pense notamment au secteur bancaire ou à des secteurs dans lesquels cette sécurité est culturelle. Ce qu’on voit à ce niveau-là, c’est que l’approche de la sécurité est complètement intégrée aux processus internes de ces entreprises. Donc c’est un sujet qui est vraiment propre au contexte de chaque entreprise.

---

“Beaucoup d’entreprises se prémunissent à la demande de leurs clients”

---

Suite à ces différents baromètres liés aux risques cyber, y a-t-il davantage de défiance qu’auparavant auprès de vos clients ?

J.F. Je ne parlerais pas de défiance. On remarque que les entreprises s’intéressent davantage à la cybersécurité qu’auparavant, mais c’est davantage dans un intérêt de business – pour répondre aux besoins de leurs clients – que pour se prémunir des risques. Ce n’est bien évidemment pas tout noir ou tout blanc. Mais je dirais que beaucoup d’entreprises se mettent à se prémunir de ces risques avant tout pour répondre aux attentes de leurs clients.

Dans une actualité plus récente, l’Icaan (l’organisme en charge de l’attribution des adresses internet) parlait « d’attaques sur la structure Internet elle-même » et préconisait un changement rapide d’un protocole DNS vers un protocole DNSEEC. Quelles sont les différences majeures entre ces deux protocoles ?

J.F. Ce qui est amusant à voir, c’est que les médias communiquent de plus en plus sur les sujets de cybersécurité… Sans forcément en maîtriser les tenants et les aboutissants. Si on regarde ce sujet-là sous l’angle des « experts » de la cybersécurité, il n’a pas véritablement constitué un intérêt particulier. Je pense qu’il y a surtout eu, en raison d’une méconnaissance du sujet par la presse, un affolement général sans qu’il n’y ait pour autant de réelles sources de risques.

Contrairement à ces dernières années, les grands médias se mettent à parler de cybersécurité et le grand public s’y intéresse de plus en plus. Cependant, la façon dont ces sujets sont traités par les médias ne correspond pas à la réalité du terrain.

Pour revenir à la question, le protocole DNSSEC est une version améliorée du protocole DNS qui assure l’intégrité des données durant le transfert.

---

“Les médias ont trop souvent tendance à faire de la surenchère”

---

Justement, quelles différences voyez-vous entre le traitement médiatique et votre quotidien sur le terrain ?

J.F. Ce qu’on observe, c’est que l’approche de la sécurité est directement liée au contexte opérationnel. Il y a des entreprises qui sont concernées par la sécurité car elles risquent de ressentir un impact énorme en cas d’incident. Je pense une fois de plus au secteur bancaire. Ces entreprises-là intègrent la sécurité à leur cycle de production standard, en réalisant par exemple des scans de vulnérabilité sur des fréquences trimestrielles. Voire mensuelles pour certaines. Les configurations de leurs équipements peuvent aussi être gérées de bout en bout. D’une entreprise à l’autre, ces pratiques sont très variables.

Dans le traitement médiatique, trop souvent, les sujets sont abordés par effet domino. Un média tombe sur une annonce de cybersécurité et va en parler. Les autres médias, voyant cette annonce après coup, vont avoir tendance à faire de la surenchère. Cette tendance amène à un décalage avec la réalité du terrain… Et un événement anecdotique peut rapidement se transformer en crainte d’épidémie par le grand public.

Cela ne veut pas dire qu’il n’y a pas de vrais sujets traités dans les médias. On voit l’exemple avec WannaCry. De nombreuses grandes entreprises françaises comme Renault se sont retrouvées « à l’arrêt » à cause d’une attaque informatique. Cela a rapidemenet amené le grand public à s’intéresser au sujet… Mais a également entraîné un basculement de la sphère médiatique qui, avant, ne s’intéressait pas spécialement à l’informatique.

Dès que l’on voit que de grandes entreprises ne peuvent pas tourner à cause de problèmes informatiques, cela contribue à ce que la sphère médiatique s’empare du sujet et en parle. En revanche, la publication de l’Icaan… Je ne comprends pas réellement pourquoi on en a parlé plus que de raison dans les médias.

Quelles solutions existent pour se prémunir d’une cyberattaque ? D’un point de vue d’un particulier et de celui d’une entreprise.

J.F. Ce qu’il faut bien voir, c’est qu’un particulier et une entreprise ne vont pas se prémunir des mêmes risques ou des mêmes auteurs d’attaques. Typiquement, un particulier va se retrouver face à des attaquants qui vont essayer de lui faire du phishing, en envoyant des mails frauduleux. Principalement pour lui faire payer des sommes d’argent plus ou moins importantes.

Pour une entreprise, les vecteurs d’attaque sont plus variés. On peut avoir de l’intrusion pour faire de l’espionnage industriel. On peut avoir une personne qui tente de nuire à l’entreprise en provoquant un déni de services (DOS). On peut également avoir des personnes qui vont être à la recherche du défi technique… Et qui vont donc tenter  de s’introduire dans un système informatique, non pas pour de mauvaises intentions, mais simplement parce que c’est un challenge.

Globalement, ce qu’on voit, c’est que les risques ne sont pas du tout les mêmes que l’on soit une entreprise ou un particulier. Selon le profil des victimes, on ne retrouvera ni les mêmes attaquants ni les mêmes répercussions financières.

---

“Dans le secteur informatique, l’idée est de prévenir la menace”

---

Quelles solutions CNPP Cybersecurity peut apporter face à ces cyberattaques ?

J.F. La sécurité informatique intervient sur deux principaux axes :

• l’axe technique, qui consiste à configurer son système d’information de manière sécurisée ;
• l’axe organisationnel, qui consiste à planifier les actions de manière à ce que la sécurité soit prise en compte de bout en bout… Que ce soit lors du cycle de développement, lors de la mise en production du service ou lors de l’exploitation.

CNPP Cybersecurity intervient sur ces deux axes. À la fois en réalisant des audits techniques et des scans managés, ainsi que des audits organisationnels en se basant sur les standards de sécurité reconnus comme la norme ISO/CEI 27001. Par ailleurs, on accompagne les clients dans l’analyse des risques propres à leurs contextes et la sélection des mesures de sécurité à mettre en œuvre face à ces risques.

Il y a en outre un long panel d’actions sur lesquelles on peut intervenir. En termes de mesure concrète qu’une entreprise peut mettre en œuvre pour se protéger des attaques informatiques, cela peut-être :

• se protéger contre les malwares, avec un logiciel antivirus.
• protéger son réseau informatique, en utilisant un pare-feu, tout ce qui est filtrage au niveau du réseau.
• configurer correctement son matériel. C’est-à-dire préférer des services chiffrés à des services non-chiffrés. Ou des services authentifiés à des services non-authentifiés…

Peut-on ainsi affirmer que le domaine de la cybersécurité se résume davantage à être dans la prévention et l’anticipation que dans la réaction ?

J.F. Dans l’absolu, quand on travaille dans la sécurité informatique, l’idée est en effet plutôt de prévenir la menace que d’y répondre. Mais quand ces menaces interviennent, ce sont généralement les mêmes acteurs qui y répondent. À mes yeux, le secteur de la cybersécurité est équivalent au secteur de la sécurité incendie. Dans le sens où on n’attend pas que le bâtiment ait brûlé pour poser des extincteurs. En fait, c’est exactement la même approche. On évalue les risques potentiels et on met en place les mesures nécessaires pour se prémunir de ces risques.

Dernière question pour conclure, quel est le type de clientèle de CNPP Cybersecurity ?

J.F. C’est très varié. Mais globalement, on va retrouver des entreprises qui sont dans un contexte d’utilisation de moyens informatiques. Tels que des centres d’appels, des sociétés de services, des prestataires de paiement, des sociétés de développement logiciels… D’un point de vue de marché, de manière globale, on est plus sur le secteur tertiaire. Aujourd’hui, nous ne sommes pas encore amené à intervenir sur des sociétés agricoles ni sur des usines pétrochimiques. Même si cela pourrait aussi leur être bénéfique.

La cybersécurité concerne bien évidemment tous les secteurs. Mais le secteur tertiaire – qui est complètement informatisé – est relativement plus informé et conscient des risques informatiques. Au contraire, les entreprises des secteurs primaire et secondaire, qui sont plus dans des phases de mise en œuvre des outils informatiques, ne ne préoccupent pas encore de ces enjeux. Avant de se poser la question de savoir si les outils informatiques sont bien sécurisés, il faut d’abord disposer d’outils informatiques. Les entreprises des secteurs primaires et secondaires sont aujourd’hui dans cette phase-là.