LA SECURITE NUMERIQUE DE L'ENTREPRISE

  titre 

L'effet papillon du hacker

Pierre-Luc Réfalo est Directeur Général adjoint de HAPSIS. La société Hapsis a pour domaine d'activité la sécurité des informations dans un environnement complexe ainsi que la gouvernance des risques numériques.

Conseil-expert en sécurité numérique auprès des entreprises, Pierre-Luc Réfalo a été représentant au G8 et à la Commission européenne sur le cybercrime.

Entretien avec l'auteur : Pierre-Luc REFALO

auteur ask Pouvez-vous décrire brièvement les fonctions principales de votre métier d'expertise en sécurité et le genre d'intervention que vous effectuez ?

P-L. R. : Nos consultants interviennent d'une part en termes d'expertise méthodologique et technique sur la sécurité numérique et la protection des informations. L'enjeu est de définir les moyens et les architectures / processus de sécurité adaptés aux risques évalués (sabotage, intrusion, fraude, violation de données, vol d'information, etc.). Ils portent une attention particulière aux aspects "métier", économiques et opérationnels.
Pour une sécurité acceptable par tous : les décideurs et les utilisateurs.

Nous accompagnons également les entreprises dans la mise en place de la gouvernance de la sécurité globale - numérique et informations (acteurs et rôles, politiques et processus, indicateurs et tableaux de bord) et dans le développement de la culture des risques liés au numérique (charte et guides de bonnes pratiques, actions de communication / sensibilisation / formation).

Dans le domaine de l'acculturation, Hapsis possède un réel leadership sur le marché.
Nous avons mené des centaines de projets de l'approche stratégique à la mise en oeuvre de tous types d'action (guides, sessions, e-learning) auprès de tous types de populations (dirigeants, employés, informaticiens, fournisseurs, clients, etc.) et sur tous les types de contenus (aujourd'hui : la mobilité, l'ingénierie sociale, le vol d'information, les données à caractère personnel, ...). Nous prêtons une attention particulière aux évaluations avec la production d'indicateurs quantitatifs et qualitatifs (maîtrise des connaissances utiles et réduction des comportements à risque).

 

De l'effet papillon du hacker à la cyber-guerre

askQu'est-ce que l'effet papillon du hacker ? (sous-titre de votre ouvrage et évoqué p.13)

P-L. R. : Le sous-titre du livre s'appuie sur une histoire vraie et personnelle relatée dans le préambule.
Elle signifie que derrière des actes qui paraissent pour certains, anodins, inoffensifs, de petites incivilités sans gros impacts et du domaine du "défi" ou du "challenge technique", se cachent des pratiques qui peuvent avoir des conséquences (directes ou indirectes) catastrophiques avec des morts à la clé (ce qui est avéré aujourd'hui).

Nous sommes engagés dans une cyber-guerre et les entreprises (en lien avec les Etats et les citoyens) sont au coeur d'un champ de bataille planétaire et virtuel. C'est l'idée centrale de mon livre.

 

ask Vous soulignez l'importance de l'usage de la cryptographie et vous citez les travaux de Jacques Stern. Cependant contrairement aux pays Anglo-saxons, non seulement pour un large public et les entreprises, il n'existe pas de culture du "secret" mais pas non plus de débouchés nombreux pour ceux que ce domaine intéresse.

Comment expliquez-vous le peu d'attrait en France pour cette problématique ?

P-L. R. : je ne suis pas très expert du sujet. La France a des formations de qualité en cryptographie et les compétences vont globalement dans le domaine des cartes à puce et d'autre part chez les industriels nationaux. Il est vrai historiquement que les militaires ont freiné plus longtemps en France que dans les autres pays occidentaux, la libéralisation du chiffrement.

 

ask Que préconisez-vous pour que les entreprises tiennent compte du facteur humain ? Quels sont les signaux du comportement qui doivent alerter qu'il existe un danger de volatilité des données ?

Le social engineering ou comment extirper des informations

P-L. R. : C'est une question de culture d'entreprise, de son éco-système et de secteur d'activité. Il n'y a pas de réponse unique. La plus efficace est de parler "vrai" et de donner des exemples avérés, des histoires réelles (internes ou externes). Les piratages de Bercy, de Areva, de Sony ou Aramco mais aussi l'affaire Kerviel et les fraudes aux fausses factures (de 2011) sont de bons exemples récents. Mais il ne faut pas tomber dans le marketing de la peur et tenir un discours trop "guerrier". Les dirigeants sont à l'écoute mais on ne doit pas leur raconter des histoires. Les utilisateurs expriment de fortes attentes et veulent des consignes simples, applicables, peu onéreuses (sur les smartphones et les portables, les médias sociaux, la protection des données, la vie privée et la cybersurveillance, etc.).

L'attaque de base aujourd'hui c'est le "social engineering" qui consiste "en une série de techniques visant à amadouer, duper ou tromper une personne cible afin d'obtenir d'elle une information qu'elle n'aurait pas donnée ou un comportement qu'elle n'aurait pas eu en temps normal." Toute attitude trop gentille, exerçant une trop forte autorité ou un caractère d'urgence extrême et sollicitant un service ou une information doit nous mettre en alerte notamment lorsqu'elle s'exprime dans un courriel, un réseau social ou sur un blog.

 
Sécuriser l'entreprise connectée

Sécuriser l'entreprise connectée

ask Dans votre premier ouvrage, Sécuriser l'entreprise connectée, publié il y a déjà 10 ans, vous évoquiez déjà la vulnérabilité des entreprises et la très grande exposition aux risques de celles-ci. Les modèles et confrontations avec les experts ont-ils été fructueux et que préconisent-ils ?

P-L. R. : Si des progrès importants ont été accomplis depuis 10 ans, la France, voire l'Europe restent en retrait sur la scène internationale. Le cloud computing, les médias sociaux, la mobilité et maintenant les pratiques de big data augmentent encore les vulnérabilités tandis que les menaces cyber-criminelles sont croissantes. Et les Etats sont désormais bien entrés dans la partie ...

La profusion de technologies de sécurité et de textes législatifs et réglementaires ne règleront jamais tout, et sont ou seront sans doute contre-productifs.

L'Etat, l'Europe et le marché ne répondent pas aux enjeux sociaux, économiques et éducatifs.
Le pouvoir associatif, médiatique, éducatif doit donc mieux se structurer.

Ainsi, la pratique des normes (ISO notamment) et des contrats (avec opérateurs, hébergeurs, fournisseurs de service), comme l'éducation et l'éthique doivent aussi se renforcer.

 

ask Qu'est-ce qui permet d'élaborer de bons scénarii de sécurité ? Et dans 10 ans ?

P-L. R. : Il est impossible de prédire l'avenir aujourd'hui dans quelque domaine que ce soit et je ne m'y risquerai pas.

La conclusion de mon livre propose de travailler sur le concret, le présent et le réel. Professionnaliser encore ce secteur notamment par des institutions / associations plus fortes, acculturer plus que réglementer, mieux dépenser aussi en plaçant la sécurité aux extrémités (datacenter et terminal / utilisateur) plus que dans le réseau.

Il y a tant à faire !

 

Retrouvez l'auteur Pierre-Luc Réfalo sur son site "Sécurité numérique en entreprise " : www.securitenumerique-entreprise.fr
Le site de la société Hapsis : http://hapsis.fr/