Revenir aux fondamentaux : challenger les solutions Cyber et mieux se préparer aux attaques
Pour répondre au risque Cyber, les organisations ont tendance à empiler les technologies de protection, avec une complexité opérationnelle souvent contreproductive. ERIUM fait le pari de tirer le meilleur de l’existant : facteurs technologiques, humains et organisationnels.
Entretien avec Arnaud Le Men, cofondateur de l’entreprise.
Comment caractérisez-vous les enjeux auxquels font face les entreprises en matière de cybersécurité et la nature de votre approche ?
Le risque est systémique, il sera permanent avec une intensité croissante. Les entreprises doivent mieux se préparer au combat Cyber dans une philosophie « Anti-Crise ». Les éditeurs et principaux offreurs de services ont bien saisi le potentiel colossal de ce marché. L’enjeu des entreprises est donc de répondre à la pression Cyber en prenant garde aux promesses magiques et simplificatrices face à des attaques dont la complexité est croissante. En une phrase : « Les courbes d’efficacité ne doivent pas décrocher par rapport aux courbes d’investissement ».
Notre société concentre son énergie sur ce champs d’application : la sécurité opérationnelle (alias la SecOps). Ce domaine traite notamment de la mise en œuvre de capacités techniques et l’animation de moyens humains pour faire face à des événements Cyber souvent violents. Au-delà des compétences techniques, le traitement de nos problématiques nécessite une approche pragmatique, très opérationnelle et une excellente connaissance des modes opératoires des attaquants.
Notre quotidien consiste à former et entraîner 3 populations clés : les collaborateurs, les experts Cyber (et leurs technologies), les dirigeants et les managers. In fine, l’objectif est de permettre à chacun de ces acteurs de réagir vite et efficacement face à des événements de sécurité.
Retenons notamment :
- Que les réflexes des collaborateurs évitent des attaques et donc des crises,
- Que les technologies Cyber, mieux utilisées et paramétrées, permettent de contrer les attaques. 90 % des attaques restent non détectées pendant 175 jours en moyenne : est-ce acceptable ?
- Que des dirigeants et des responsables mieux préparés à décider efficacement en situation de crise peuvent éviter l’enlisement opérationnel et les effets dominos.
Est-ce véritablement la mission des collaborateurs que d’éviter les attaques ?
Plus de la moitié des attaques a pour origine une erreur ou un mauvais réflexe : alors oui, miser sur l’apprentissage et les bons réflexes est incontournable.
Faire de chaque collaborateur, expert ou non, un acteur de la sécurité n’est ni impossible ni contournable. Mais cela passe invariablement par la prise de conscience des enjeux, et l’appropriation des risques sur le plan personnel pour inciter à l’adoption des bons comportements.
Nos approches reposent sur l’idée que le collaborateur doit manipuler les risques pour mieux les percevoir. Nous avons donc créé une plateforme web, CyberInvestigation.fr, sur laquelle les collaborateurs doivent résoudre des enquêtes ludiques et immersives. Lors de sa progression sur le scénario, chaque collaborateur va mettre en évidence des risques particuliers : répétition de mot de passe, site internet mal sécurisé, selfie en télétravail avec des informations confidentielles en fond, etc.
Depuis l’été 2020, nous avons accueilli plus de 250 000 utilisateurs sur cette plateforme et leurs retours sont excellents ! L’ANSSI a même mis en avant cette plateforme lors du mois d’octobre de la Cyber 2021, car l’angle d’attaque est nouveau sur le marché français. Le prix des Cas d’Or de la Cyber remis en janvier 2021 en témoigne.
Pour mieux préparer les experts aux attaques, les approches sont forcément différentes que pour les collaborateurs. Quelle stratégie adopter ?
Nous assistons en ce moment à une « course à l’échalote » sur les solutions de sécurité avec un empilement des briques techniques de défense : déploiements d’E/XDR, de plateformes d’agrégation d’alerte, de collecteurs de Threat intelligence, de mécanismes de filtrage, etc. Les experts ne doivent pas troquer leur vigilance contre les promesses d’automatisation des réponses Cyber.
Il faut absolument évaluer le service rendu par chaque dispositif dans ses conditions d’usage réelles, et la qualité de la réaction humaine. Depuis 3 ans, nous développons une solution nommée Blacknoise qui reproduit, en toute sécurité, le séquencement technique des attaques cyber sur les environnements informatiques, afin de valider la capacité de l’entreprise à les voir et à les traiter efficacement. Cette innovation unique dans le monde des « Breach & Attack Simulator » (#BAS) vient d’être primée en octobre 2021 du prix de l’innovation lors de la Cyber Night, en présence des principaux RSSI et du directeur de l’ANSSI.
Il est désormais possible de tester l’efficacité réelle des différentes briques cyber, de valider la robustesse des modèles d’architecture, de confirmer la pertinence de choix technique, de mesurer la vitesse de réaction des équipes cyber, etc. sans aucune prise de risque ni contrainte technique.
Enfin, malgré tout ce travail d’anticipation, la possibilité d’une crise ne peut être écartée. Il faut donc préparer l’organisation à ce genre d’événements. Nous avons pu participer à des crises de grande ampleur, et de ce fait nous avons bénéficié d’un grand retour d’expériences sur ces sujets que nous mettons au profit des entreprises sous forme d’entraînement et d’exercice de simulation de crise de grande ampleur.
Quelles priorités opérationnelles donnez-vous pour réduire la magnitude des attaques « réussies » du point de vue de l’attaquant ?
L’énergie doit être mise sur les fondamentaux d’une défense Cyber, et en premier plan la capacité à détecter des actions malveillantes : comment voir et qualifier un événement anormal sur des infrastructures informatiques, afin d’engager des mesures de sécurité particulières ? La réponse à cette question, nécessite d’avoir une parfaite connaissance des stratégies techniques les attaquants et de stimuler régulièrement les défenses face à ces attaques, jusqu’à créer une forme d’immunité cyber.
“Nous voulons faire des collaborateurs, experts ou non, les maillons forts de la sécurité.”
Pour atteindre cette immunité, la capacité de détection seule ne suffit pas. La réaction défensive doit coller à la nature de l’attaque : la qualité d’exécution et la vélocité des séquences de contre-mesures sont la clé. Auprès de nos clients, notre retour terrain acquis face aux crises Cyber les plus dures est devenu essentiel pour construire ces séquences en amont et les dérouler ou les adapter aux situation de crise.
25 % des interventions auprès de nos clients consistent à valider le fonctionnement et l’efficacité de leur organisation en matière de sécurité opérationnelle. Ce point est déterminant : une sécurité opérationnelle efficace repose sur la préparation et la réactivité de tous les acteurs de l’organisation. La notion d’entraînement permanent est un enjeu d’efficacité majeur. Cela se matérialise par des simulations d’attaque techniques régulières, des formations et mise en situation des collaborateurs et des exercices de crises mobilisant l’ensemble de la chaîne hiérarchique.
Les acteurs de la cybersécurité s’accordent pour constater un manque de ressources humaines dans le secteur. Quel regard portez-vous sur cette lacune ?
Plusieurs facteurs peuvent expliquer cet état de fait : la bascule en télétravail depuis la crise Covid a ouvert la compétition sur le recrutement à un niveau international, le rattachement à un bureau physique n’étant plus un prérequis. Les entreprises françaises sont donc confrontées dans leur recrutement à une compétition qui n’est plus seulement locale. C’est un phénomène qui peut assécher nos ressources, ou du moins y contribuer.
Mais les ressources humaines sont évidemment liées aux questions de formation, et relèvent aussi d’une stratégie nationale à mettre en place : dans le secteur Cyber où les compétences requises sont de haut niveau, les temps de formation demeurent assez longs. Accélérer la formation aujourd’hui est essentiel pour prévenir les besoins exponentiels de demain. À court terme, une marque employeur solide valorisant l’expertise et l’innovation permet de s’affranchir des tensions du marché.
En bref
Créée en 2012, elle emploie plus de 50 salariés sur deux sites, Paris et Rennes. Elle mène une activité d’expertise et d’édition de logiciel pour des entreprises et administrations