L'accélération technologique de nos sociétés donne aux enjeux de cybersécurité une ampleur inédite. On fait le tour de cette – vaste – question, avec Bertrand Trastour, Directeur général Kaspersky France, Afrique du Nord, de l'Ouest et Centrale.
Quel bilan cybersécurité après 18 mois de pandémie, notamment pour les entreprises ? Les attaques ont-elles explosé ?
En tant qu’acteur de la cybersécurité, nous nous sommes retrouvés face à une diversité de clients, aux situations très hétérogènes. Certaines entreprises étaient plus prêtes que d’autres, parce qu’elles réfléchissaient déjà au nomadisme ou à la mobilité accrue, avec des stratégies associées. Les autres ont dû évoluer à marche forcée en quelques jours, afin d’assurer leur continuité de services.
Du côté des logiciels et URL malveillants, le volume des attaques est resté stable. Ces envois en masse existent toujours. En revanche, les attaques ciblées ont explosé, avec 700% de croissance en 2020. Par attaque ciblée, je parle ici du groupe d’attaquants qui vise volontairement une entreprise ou une administration, afin de la contraindre à payer une rançon, voire à détruire son système d'information. Différents mobiles existent : le motif crapuleux pour extorquer de l’argent, l’espionnage pour capter des informations confidentielles, ou la logique de destruction…
Entreprise, administration ou particulier : vous serez forcément attaqué. Parce que vos données sont susceptibles d’intérêt, vous êtes une cible de facto.
Quelle est la réalité des menaces aujourd’hui ? Qui sont les attaquants, leurs modalités, leurs cibles ? Faut-il plutôt craindre la criminalité ou l’espionnage ?
Espionnage, criminalité… Les frontières sont poreuses. Ce qui est sûr, c’est que la cyberguerre est une réalité, aussi bien dans le monde des entreprises qu’entre États. Voyez comme les situations géopolitiques peuvent rapidement se tendre dans le monde, parfois même entre alliés !
La question n'est pas de savoir si vous allez être attaqué d’une façon ou d’une autre, par une attaque aléatoire ou ciblée ; vous le serez forcément – entreprise, administration ou particulier. Parce que vos données sont susceptibles d’intérêt, vous êtes une cible de facto.
Souvent, les individus et les organisations pensent ne courir aucun risque, parce que leurs données "n'intéressent personne” ou “parce qu’elles sont bien protégées”. Mais prenons le cas d’un grand groupe, avec des moyens, une organisation, une gouvernance, et la capacité opérationnelle à répondre à des attaques d’envergure. Ses sous-traitants peuvent-ils en dire autant ? Souvent, ces derniers sont reliés par système EDI (ndlr : échange de données informatisées) à leurs clients et peuvent les mettre à risque, en devenant non pas la cible, mais le vecteur d’une attaque.
La cybersécurité n’est pas une seule affaire de “spécialistes” mais bel et bien un enjeu business. La gouvernance est primordiale.
Comment les organisations doivent-elles penser les questions de cybersécurité aujourd'hui ?
La gouvernance est primordiale. La cybersécurité n’est pas une seule affaire de “spécialistes” mais bel et bien un enjeu business. Avant de réfléchir aux solutions technologiques ou même aux moyens financiers, il faut se poser les bonnes questions : où sont nos priorités et nos enjeux business ? Que doit-on sécuriser ? Avec quelles méthodes ? Il faut d'abord identifier la chaîne de gouvernance au sein des organisations, afin d’y faire remonter le sujet cybersécurité, en le rendant par exemple visible au board.
Firewall, EDR (ndlr : endpoint detection and response)… ces solutions sont indispensables – les créer fait d’ailleurs partie de notre métier. Mais la cybersécurité ne se résume pas une accumulation de briques technologiques. Elle est surtout un mix de gouvernance, de solutions bien choisies et administrées, de formation et de sensibilisation. Car l’humain ne doit pas être considéré comme le maillon faible, mais plutôt comme le maillon fort. Et c'est ce tout qui apportera un degré de cybersécurité supérieur.
En 2021, comment qualifieriez-vous la sensibilité et la maturité des organisations à ces questions ?
Je travaille depuis une dizaine d’années dans la cybersécurité : oui, les entreprises arrivent à une certaine maturité sur ces sujets – heureusement ! L’État y a beaucoup contribué, notamment via le travail sans relâche de l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Les administrations locales pour les PME, mais aussi cybermalveillance.gouv.fr pour les particuliers, jouent un rôle important dans la prise de conscience.
Tout est toujours perfectible, mais les progrès sont bien réels. Aujourd’hui, les entreprises se dotent de cette gouvernance. Les RSSI (responsables de la sécurité des systèmes d'information), jusqu’alors souvent dépendants du DSI, sont de plus en plus impliqués par les directions générales dans les décisions stratégiques. Arrêter une ligne de production pour cause de ransomware peut se chiffrer en centaines de milliers, voire de millions, d’euros de préjudice ! La cybersécurité est un élément indissociable des enjeux business – et les chefs d’entreprise l’ont compris.
La sensibilisation des collaborateurs existe – même s’il faut toujours l’entretenir. Une formation sur le phishing ou un séminaire de sensibilisation ne suffisent pas : en matière de formation, c’est la répétition qui compte. Parce que les scénarios d'attaque évoluent, que les attaquants sont chaque jour plus pernicieux ou innovants… Par exemple, “l’arnaque au faux RIB”, visant à intercepter de vraies factures pour y substituer le RIB du fournisseur par celui des escrocs, a récemment fait l'objet de 200 cas en France. La “créativité” des attaquants est sans bornes.
Dans un monde du travail en profonde mutation, un collaborateur peut-il être flexible, agile et protégé ?
La cybersécurité est toujours une décision. Il est possible de tout sécuriser, mais le collaborateur sera-t-il encore en mesure de travailler ? À l’inverse, on peut lui laisser une grande liberté, au risque de baisser la garde. Où positionner le curseur ? Les facteurs sont multiples : enjeux business, mais aussi enjeux RH, voire sociétaux…. Et c’est à l’organisation de les déterminer.
Les modes de travail hybrides accélérés par la pandémie sont là pour durer. Les outils sont installés. Et la gouvernance sert justement à identifier les scenarii d’usages associés aux enjeux business, afin d’en renforcer la sécurité. Mais aujourd’hui, je pense que les outils sont suffisamment performants (quand ils sont correctement administrés) pour amener un niveau de cybersécurité équivalent aussi bien dans l’enceinte de l’entreprise, qu’à l’extérieur.
Il faut le dire : l’usage des stalkerwares, même s’ils sont légaux dans leur modèle de vente, peut être considéré comme une circonstance aggravante en cas de maltraitance conjugale.
Vous vous êtes engagés publiquement sur la question des stalkerwares, ces petits logiciels espions dont l’usage se massifie. Comment faire pour en venir à bout ? Quels bons réflexes acquérir ?
C’est un véritable enjeu de société. Le fléau des violences conjugales a été amplifié par la pandémie. Les stalkerwares, accessibles par n’importe qui pour des sommes dérisoires, sont très problématiques. Ces outils sont pernicieux : ils sont installés sur le téléphone d’une victime, scannent l’intégralité des flux sortants de ce téléphone (messages, localisation, etc.) et sont complètement invisibles (ni icones, ni notifications). Seuls des scans approfondis du téléphone permettent de les détecter. Aujourd’hui les choses évoluent et il faut le dire : l’usage de ces logiciels, même s’ils sont légaux dans leur modèle de vente, peut être considéré comme une circonstance aggravante en cas de maltraitance conjugale, comme reprécisé par le législateur en 2020.
Nous sommes un certain nombre d’acteurs – éditeurs, associations – réunis dans Coalition Against Stalkerware, un collectif de lutte contre les sarcloirs. L’objectif est d’informer sur leur existence et sur quelques bonnes pratiques pour les éviter/repérer… Nos solutions peuvent détecter ces logiciels, mais attention aux risques associés : quand une personne découvre un stalkerware sur son téléphone, s’en ouvrir à son conjoint, ou même le désinstaller directement peut être une très mauvaise idée et entraîner des violences physiques… Alors que la détection de l’outil malveillant par nos logiciels peut constituer un début de preuve pour aller voir les autorités. Le travail de sensibilisation auprès des individus, des autorités, des associations, est crucial.
Nos chercheurs Kaspersky ont aussi développé Tiny Check, un software qui permet de détecter des logiciels potentiellement malveillants sur un smartphone, via une connexion wifi, sans installation sur l’appareil. Ce qui signifie que son usage, contrairement à un antivirus, n’est pas visible depuis la personne qui surveille l’activité du téléphone. Une initiative à but non lucratif, que nous avons présentée au dernier FIC (Forum International de la Cybersécurité) auprès des députés, des sénateurs, de la gendarmerie. La police nationale la présentait également sur son stand. Nous voulons promouvoir ces outils pour que les autorités, les associations s’en saisissent et puissent lutter contre l'espionnage au sein du couple.
L’accélération numérique de l’époque peut donner le vertige : 5G, objets connectés, demain les metaverses… Autant de nouvelles technologies, de nouveaux usages associés, et autant de nouvelles brèches possibles. Comment la cybersécurité peut-elle suivre le rythme ? (R&D, innovation…)
Effectivement, outre l’écosystème IT ‘classique’, l’essor de l’IOT, de la 5G, des objets connectés d’une façon générale pose des enjeux majeurs – aussi bien pour le grand public que les entreprises. Prenez ces nouveaux bâtiments intelligents, bardés de capteurs, et reliés à un système d’information. La sécurité a-t-elle bien été pensée by design ? On a vu arriver sur le marché des serrures connectées sécurisées, finalement hackables à distance !
Notre PDG Eugène Kaspersky parle non plus de cybersécurité, mais de cyber immunité. Penser la sécurité en la mettant au cœur, dès le départ. Nous venons de développer un OS sécurisé, non basé sur Linux, qui a vocation à équiper les industriels : sécuriser des pompes en usine, des capteurs dans l’industrie automobile, etc. Pensez à tous ces véhicules intelligents, rappelez-vous comment deux chercheurs de Google avaient réussi à prendre le contrôle d’une Jeep en 2015… Nous souhaitons mettre à disposition des industriels des outils et des briques pour apporter la sécurité dans la couche la plus basse possible, afin de rendre les objets communicants imperméables aux menaces.
La cybersécurité industrielle et la threat intelligence sont deux de nos marchés prioritaires. Notre priorité stratégique est d'ancrer Kaspersky comme partenaire de confiance dans tous les segments business.
Combien de personnes travaillent en R&D chez Kaspersky ?
Kaspersky représente 4 000 collaborateurs dans le monde, dont les deux tiers travaillent en R&D sur des solutions, des concepts. Notre autre structure, le GReAT (Global Research & Analysis Team), est constituée de quarante chercheurs, dont trois en France, spécialisés sur l’état de la menace. Eux étudient les groupes d’attaquants, les modes opératoires, et publient plus d’une centaine de rapports privés, pour nos clients sur les plateformes de threat intelligence.
Vous avez pris la direction générale de Kaspersky France en janvier 2021 : quelles sont vos priorités stratégiques ?
La cybersécurité industrielle, que j’évoquais plus haut, est cruciale car de nombreuses entreprises n’en maîtrisent pas encore bien les enjeux. Prenons l’exemple de chaînes de production créées il y a dix à vingt ans, avec des logiciels tournant sous Win XP : comment ont-elles évolué dans le temps ? Et si elles sont connectées aux systèmes d’information, comment les sécuriser ? C’est un marché émergent, passionnant, au potentiel très important, tant en termes de conseil, d'analyse des risques que de solutions de cybersécurité spécifiques à ces environnements.
La threat intelligence est aussi en fort développement. Parce que les entreprises ont gagné en maturité, elles sont en demande d’informations sur l’état de la cybermenace. Pour vous donner une idée, en tant qu’éditeur, nous voyons environ 400 000 nouveaux malwares par jour… Nous connaissons sur ce marché une très forte croissance, tant vis-à-vis de clients finaux que de partenaires stratégiques qui packagent cette information. Nous la délivrons sous différentes formes : flux techniques pour alimenter les SOC (Security Operation Centers), ces “tours de contrôle” de la cybersécurité, ou rapports pour les entreprises à forte maturité, avec des insights très techniques sur le risque cyber encouru par rapport à une marque, une zone géographique, etc.
Notre priorité stratégique est d’ancrer Kaspersky comme un acteur de confiance dans tous les segments business. Et pour cela, nous offrons la possibilité à nos clients, s’ils le souhaitent, d’auditer notre code source, nos mécanismes de mise à jour, etc. avec un tiers de confiance neutre, dans nos Transparency Centers, en Suisse, en Espagne, au Canada.
Nous souhaitons démontrer que nos produits sont totalement sécurisés. Nous collaborons aussi bien avec les autorités, qu’avec nos partenaires, voire la concurrence ! Car parfois, certaines attaques ne peuvent être adressées que via la collaboration. Nous sommes partenaires d’Interpol, d’Europol. Nous participons à l’initiative No More Ransom qui fournit des clés de déchiffrement. En France, nous collaborons activement avec cybermalveillance.gouv.fr – dont je salue le travail remarquable.
Dernier point qui nous tient à cœur : la présence des femmes dans l’univers de la cybersécurité. Nous sommes, entre autres, partenaires du Cefcys (Cercle des Femmes de la Cybersécurité), une association qui œuvre à la formation, valorisation et promotion des femmes dans la filière. Nous manquons cruellement de talents dans ce secteur, et les femmes n’y sont que trop peu représentées. Il faut encourager les jeunes femmes à rejoindre la cybersécurité dans tous les métiers : recherche, vente, réponses aux incidents, etc. Nous avons besoin de leurs talents.
Directeur général Kaspersky France, Afrique du Nord, de l'Ouest et Centrale.
<< Tendances 2022 : impossible de faire l'impasse sur la cybersécurité !
Nouveau Monde, Nouvelle Valeur : « Le progrès technologique raisonné est-il une réponse pertinente à la crise environnementale ? » >>
