Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Arnaud Laprévote, PDG de LYBERO.NET : Faites des backups ! Chiffrez ! Formez !

janvier 2020 par Marc Jacob

Lors du FIC qui aura lieu 28 au 30 janvier à Lille, LYBERO.NET va présenter la nouvelle version de CryptnDrive, sa solution web de partage chiffré de bout en bout de fichiers avec en particulier un accès via le système de fichiers. Pour Arnaud Laprévote, PDG de LYBERO.NET : "Faites des backups ! Chiffrez ! Formez !"

Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2020 ?

Arnaud Laprévote : Nous présenterons une nouvelle version de CryptnDrive notre solution web de partage chiffré de bout en bout de fichiers avec en particulier un accès via le système de fichiers (ce sera la nouveauté FIC).

Global Security Mag : Selon-vous, comment l’humain peut-il être acteur de la cybersécurité, alors qu’il est essentiellement regardé aujourd’hui comme victime ou comme auteur ?

Arnaud Laprévote : La cybersécurité est d’abord à la fin des fins à destination des hommes. Bien sûr, ce sont les organisations et les données associées que l’on protège mais le but ultime est la protection des personnes. Si la cybersécurité est complexe, c’est parce que certains attaquants sont structurés, déterminés et efficaces. La capacité à remonter aux causes premières plutôt qu’aux symptômes immédiats d’une crise est la marque de l’humain dans le foisonnement d’informations de tout type. Un système de cybersécurité qui n’est pas centré sur l’humain est voué à échouer, l’humain est le rempart ultime.

Global Security Mag : Quels conseils pourriez-vous donner aux organisations pour qu’elles parviennent à impliquer les décideurs et sensibiliser leurs utilisateurs ?

Arnaud Laprévote : Tout d’abord, il faut arrêter de culpabiliser les utilisateurs. La personne qui ouvre une pièce attachée d’un mail contenant un ransomware n’est pas imbécile. C’est un échec de l’industrie dans son ensemble (incapacité à normaliser un chiffrement / signature unique pour les mails, coût de mise en place trop important des solutions, non détection dans les fichiers des ransomware, manque d’isolation des applications entre elles, non détection des comportements anormaux directement dans l’OS, …).
Pour avoir participé à de nombreux événements autour de la cybersécurité, j’ai constaté que la sensibilisation se faisait quand il y avait des témoignages directs de personnes ou d’organisation ayant été victime. Il faut un grand courage pour ce type de témoignage, où l’on avoue avoir été pris en faute, où l’organisation et les individus n’ont pas le beau rôle. Plus le témoignage est proche (géographique, en age, en profil, en activité, …) plus il est puissamment ressenti. C’est la loi du mort kilométrique des journalistes appliqué à la cybersécurité. Un tel témoignage suppose aussi généralement qu’il y a eu dépôt de plainte. Il faut encourager, saluer, récompenser, amplifier, diffuser ces témoignages via le maximum de canaux. Cela doit être fait à toutes les échelles dans les organisations. Il faut apprendre de ses échecs mais aussi de celui des autres.

Global Security Mag : Comment les technologies doivent-elles évoluer pour une sécurité au plus près de l’utilisateur ?

Arnaud Laprévote : Pour les concepteurs, faire compliquer c’est simple et faire simple c’est compliqué.
Je ne peux pas répondre de manière générale, mais en ce qui concerne le chiffrement, on peut noter plusieurs choses. Tout d’abord, le chiffrement (des fichiers, des données, des échanges) doit être fait au plus près des utilisateurs. Un chiffrement centralisé est un début de réponse aux problèmes de sécurité, mais intrinsèquement, il suppose une confiance dans le système central, ce qui est une très mauvaise idée.
Ensuite, les opérations de chiffrement / déchiffrement ne sont plus vraiment un problème. N’importe quel processeur 32 bits peut vous saturer un lien réseau en chiffrant à la volée. Les codes et les algorithmes sont disponibles. La vraie difficulté est la gestion des clés de chiffrement. Il faut trouver l’équilibre entre des clés au plus près des utilisateurs et une centralisation de la gestion des clés pour les organisations. C’est la différence entre d’un côté la gestion par réseau de confiance (web of trust) et les PKIs. Chez Lybero.net, nous exploitons un brevet Inria / CNRS de séquestre à quorum qui est une nouvelle solution très innovante de gestion des clés. Cette solution offre à la fois la souplesse des réseaux de confiance et la centralisation d’une PKI pour la gestion des clés. Nous arrivons à simplifier drastiquement la gestion des clés grâce à cette innovation.

Global Security Mag : Quelles actions les acteurs de la cybersécurité peuvent-ils mettre en place pour attirer de nouveaux talents ?

Arnaud Laprévote : Le problème de la formation des talents dans les métiers de l’informatique est aussi vieux que l’informatique. L’IA et la cybersécurité sont 2 tendances émergentes qui bousculent profondément l’informatique. Il n’y a pas d’autres solutions que de former encore et toujours. On voit dans l’informatique que la formation privée est en train de s’engouffrer dans les vides laissés par la formation publique. Discutez avec n’importe quel enseignant du supérieur des contraintes budgétaires auxquelles ils sont confrontés. Dans certaines écoles d’ingénieurs en informatique, 50 % de l’enseignement est assuré par les permanents, parce qu’il est impossible de recruter d’autres enseignants. Les moyens de formation dans le supérieur doivent être alloués aux secteurs de l’économie qui sont les plus producteurs de richesse. Ce sont des décisions très difficiles à prendre, il est tellement simple de raboter partout de la même manière, ou de s’indexer au nombre d’étudiants. Les acteurs économiques de l’informatique doivent être présents dans les instances de décision universitaire pour influencer les choix faits de manière à prendre en compte leurs contraintes.
J’ai la conviction que les étudiants ne sont pas aveugles aux débouchés et aux moyens mis en œuvre pour les former. Bien sûr, cela doit rencontrer leur goût et leur envie ; mais aujourd’hui de nombreux jeunes sont intéressés par nos métiers. Offrons leur les formations qu’ils méritent, et qu’elles soient diverses et variées, alors chacun trouvera son chemin.

Global Security Mag : Selon vous, à quoi pouvons-nous nous attendre en termes d’attaques et de défense pour 2020 ?

Arnaud Laprévote : La réponse c’est toujours plus d’attaque. La dématérialisation de l’économie est une réalité. La valeur des entreprises est de plus en plus immatérielle. En conséquence, pour un attaquant, les gains en cas de réussite sont de plus en plus intéressants, ce qui évidemment attire les « talents ». Entre faire du trafic de drogue, ou faire un vol informatique sur un prestataire de wallet bitcoin, le ratio récompense / risque grandit pour le casse informatique.
Donc, il ne faut pas s’attendre à une décrue. Si vous lisez le journal, il y a une annonce « grand public » de fuite informatique maintenant chaque semaine.
En ce qui concerne la défense, le problème de l’identité numérique des individus est un problème clé. Dans ce cas, l’État a un grand rôle à jouer pour fournir une identité « racine » pour les personnes. Bien sûr, il faut être d’une prudence extrême pour repousser le spectre de « big brother » ; mais la sécurité informatique passera par ce rôle de l’État de garantie de l’identité numérique. Et mieux vaut un État garant de l’identité numérique plutôt qu’un acteur privé transnational. Nous autres citoyens pouvons agir sur l’État. Faiblement, lentement, collectivement mais effectivement. Les citoyens sont potentiellement totalement sans influences sur une grande entreprise privée étrangère.

Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?

Arnaud Laprévote : Faites des backups. Chiffrez. Formez. Évaluez. Et venez voir Lybero.net pour sécuriser les échanges de fichiers et de données vers l’extérieur sans autre logiciel qu’un navigateur web ( :=) j’ai craqué).

Pour en savoir plus :

• Site internet : https://lybero.net/
• Twitter :@Lybero_net
• Youtube https://www.youtube.com/channel/UCd...
• Linkedin : https://www.linkedin.com/company/ly...


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants