Organisée par le Club SI de Dauphine, la conférence sur la Cybersécurité a eu lieu le jeudi 13 Juin 2019 dans les locaux de Paris Dauphine. Cette conférence dont le thème a porté sur :

« La cybersécurité, menaces et stratégie de protection de votre entreprise à l'heure de la transformation digitale » avait pour objectif la sensibilisation des participants sur les enjeux de la cybersécurité à l’heure de la transformation digitale.

Composé d’une trentaine de personnes dont des membres du Club SI, des étudiants et de nombreux invités externes, le public a été tenu en haleine durant cette conférence par des intervenants de haut niveau :

• M. Patrice Bigeard Délégué à la sécurité numérique Ile de France de l’ANSSI (Agence nationale de la sécurité des systèmes d’information)
• M. Christian Gaudin CEO de la société C&S-Novidys accompagné Jacques Lacroix Directeur des Opérations au sein de la société
• M. Louis Vieille-Cessay Pre-Sales Manager Micro Focus

M. Éric Bothorel Député La République En Marche à l’Assemblée Nationale, Co président du groupe d'Étude de l'économie de la donnée, de la connaissance et de l'intelligence artificielle quant à lui s’est excusé pour son absence à cause d’un impondérable lié à l’exercice de sa fonction.

La rencontre a été ouverte par M. Sébastien Bourguignon président du Club SI qui a présenté les différents intervenants ainsi que les différentes activités du Club.

La rencontre s’est poursuivie par l’intervention de M. Patrice Bigeard qui a entretenu le public sur ces points :

• Les facteurs qui favorisent les attaques de nos jours
• Des recommandations pour s’en prémunir.

Les éléments suivants ont été abordés durant l’intervention :

• Le manque de sensibilisation sur les questions de cybersécurité
• L’absence de mise à jour des systèmes
• La mauvaise gestion des mots de passe
• Le laxisme dans la gestion des droits d’accès
• L’absence de surveillance des SI

Une vidéo de présentation d’une attaque sur mobile et sur une montre connectée a été présentée pour illustrer la facilité d’une telle attaque et les impacts sur le vol de données des utilisateurs visés.

La démonstration montrait un client dans un hôtel utilisant une enceinte connectée en bluetooth qui une fois que l’attaquant y accède peut se connecter au téléphone de l’utilisateur et avoir accès à la caméra, aux données, ...  Une fois piratée le mobile, la montre qui y est associée est aussi piratée et elle transmet ainsi des informations sur l’utilisateur (rythme cardiaque, données GPS…) Dans ce cadre, il a été recommandé de ne pas se connecter à des appareils numériques dont la confiance n’est pas garantie.

Les secteurs du ferroviaire, de l’aérien ou encore des smart cities sont ceux sur lesquels il y a beaucoup d’intrusions. Les incidents sont de plus en plus sophistiqués et complexes à identifier.

Suite à des affaires comme Snowden, des outils permettant d’exploiter des failles bien connues par la NSA ont été mis en ligne et rendus accessibles à n’importe qui en quelques clics.

Il existe même des entreprises comme Zerodium qui détectent des failles de sécurité et développent des applications pour les exploiter et les revendent ensuite aux plus offrants (la NSA en est d’ailleurs cliente.)

En France, il existe un record de piratage avec l’office des HLM de Dunkerke qui s’est fait volé 9 millions d’euros il y a 18 mois. Le cas du groupe Pathé a aussi été abordé, il s’est fait piraté plus récemment par l’usurpation par le biais d’un mail à quelqu’un dans l’entreprise qui avait le droit de faire des virements de grosses sommes d’argent, il s’agit d’une fraude au président qui a concerné 3 personnes pour un montant de 19,2M€. 

Dans le cadre des projets de transformation numérique, il devient nécessaire et important d’intégrer la sécurité dès le départ.

Et la sensibilisation sur les enjeux de la cybersécurité au sein de l’entreprise se fait dans la durée et de manière différente en fonction des personnes qui doivent êtres acculturées.

Un autre exemple récent est celui d’Altran qui en janvier dernier a pris un ransomware qui a fait tomber une partie importante du SI, les impacts n’ont pas encore été totalement remis en œuvre à date.

On estime qu’il faut consacrer 6 à 8% du budget IT dans des équipements et des prestations de cybersécurité pour être protégé à 90%.

De nombreuses publications sont disponibles sur le site de l’ANSSI notamment un guide des bonnes pratiques de l’informatique qui a été largement recommandé.

Ensuite nous avons eu l’intervention de M. Christian Gaudin et Jacques Lacroix qui ont présenté la société C&S-Novidys spécialisée dans le conseil, l’intégration de systèmes et de solutions de sécurité et de services. 

Puis les tendances sur la cybersécurité à travers les différents points ci-dessous ont été présentés :

• La présentation des enjeux de la RGPD
• La protection des terminaux
• La maitrise des risques SI
• La sécurité as a Service
• Les leviers pour se protéger.

Les enjeux de la RGPD sont à prendre compte par les entreprises d’autant plus que les sanctions peuvent aller jusqu’à 4% du chiffre d’affaires globale de la société. Il alors nécessaire de :

• Désigner un Data Protection officer
• Cartographier les traitements
• Renforcer les droits des personnes 
• La mise en place des mesures de sécurité
• Des mécanismes pour détecter et notifier les cas de violences de la sécurité à la CNIL

Concernant la protection des terminaux, les moyens de protections traditionnelles ont montré leurs limites et il est donc nécessaire de s’orienter vers d’autres moyens de protection pour être efficace. Ces nouveaux moyens intègrent de nouveaux concepts comme :

• L’analyse comportementale
• Le machine Learning
• L’intelligence artificielle

L’importance de maitriser ses risques passe par une analyse des risques contextuels et l’identification des biens essentiels de son entreprise.

Pour ce qui est de la sécurité as a service, cela consiste à confier à des sociétés tierces spécialisées la gestion des questions de sécurité, il a été souligné que cela devient une tendance de nos jours car :

• Les attaques sont de plus en plus complexes
• Il y a un manque de compétences dans les entreprises pour gérer les attaques

Il existe toutefois des leviers pour se protéger, d’une part il est primordial de mener une analyse des risques et d’autre part il est nécessaire de mettre l’accent sur l’éducation et la formation.

La dernière intervention de cette soirée passionnante et interactive a été celle de M. Louis Vieille-Cessay qui après avoir présenté le groupe Micro Focus, a développé la question de la cybersécurité au travers des notions suivantes :

• L’environnement multi système dans lequel nous sommes de nos jours 
• L’utilisation des concepts comme le cyber kill chain, le time based security pour maitriser les questions de sécurité
• Les 3 niveaux d’attention pour la mise en place d’une stratégie de sécurité de son SI

Il est de plus en plus difficile d’accéder à une sécurité efficace au niveau du système d'information. Petit à petit le SI s’ouvre à l’extérieur tout d’abord par des partenaires qui veulent y accéder, puis par le BYOD et enfin le Cloud. À chaque fois que de nouveaux services arrivent de l’extérieur, on ouvre de nouvelles portes qui créées autant de failles potentielles dans le SI.

La cible des pirates est la donnée, c’est elle qu’il est nécessaire de protéger.

Quelques chiffres intéressants sur la probabilité qu’un individu subisse une attaque :

• Nous avons 1 chance sur 960 000 de se faire foudroyer
• Nous avons 1 chance sur 220 de sortir avec un millionaire
• Nous avons 1 chance sur 4 de se faire pirater à titre personnel

The Cyber Kill Chain est une approche développée par Lockheed Martin, entreprise américaine et mondiale de défense et de sécurité qui développe des solutions de cyberdéfense et a formalisé ainsi les 7 étapes d’exploitation d’une faille de sécurité pour un pirate.

Une bonne stratégie de sécurité passe par :

• De manière générale d’abord faire ce qu’il faut pour protéger la donnée, on va mesurer cette protection sur une durée, combien de temps faut-il pour que cette donnée soit accéder par un pirate  ?
• Ce temps de protection doit être égal ou supérieur au temps de détection d’une attaque cumulé avec le temps nécessaire de réaction
• On appelle cela le Time Based Security
• L’objectif est de réduire son temps d’exposition et d’améliorer sa réactivité

90% des applications ont au minimum une faille critique ou haute faille de sécurité.

Enfin 3 niveaux d’attention sont à gérer pour assoir sa stratégie de sécurité :

• Les identités
• Les applications
• Les données

Ci-dessous les présentations utilisées par les intervenants de Micro Focus et Enfin 3 niveaux d’attention sont à C&S-Novidys :

Présentation Micro Focus pour Dauphine - Cybersecurite.pdf

Présentation Novidys pour Dauphine - Cybersecurite.pdf

Présentation ANSSI pour Dauphine - Cybersécurité.pdf