Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2023 ?

Frans Imbert-Vier : Elle est aussi riche que l’actualité cyber. Mais nous avons quand même des grandes nouvelles que nous détaillerons sur nos stands puisque cette année nous sommes bien sûr sur le pavillon Suisse, mais aussi au village du Luxembourg.
L’ouverture d’UBCOM Portugal est une actualité importante pour nous. À l’heure de la souveraineté numérique, il était essentiel pour nous d’y être alors que le gouvernement portugais de M. Costa est le premier gouvernement à introduire l’enjeu de souveraineté numérique comme un rôle régalien. La France en est loin, et le Portugal est à prendre en exemple avec sa dynamique, son agilité et sa volonté politique très claire et sans demi-mesure de vouloir réduire sa dépendance numérique vis-à-vis des États-Unis pour l’essentiel.
Nous annonçons également l’attribution de notre label à Aleph Networks et son navigateur IA qui permet de répondre dès maintenant aux objectifs de la future réglementation européenne Dora en application à compter de janvier 2025.
Enfin, nous avons mis le temps, mais nous l’avons. Une offre cyber 360 facturée à l’utilisateur pour permettre ainsi à des petites organisations de s’offrir des technologies jusque-là réservées aux grands comptes et pour un prix non engageant et très largement supportable. On répond ainsi à un marché, un peu perdu tant les offres sont pléthores, avec un langage clair en ayant choisi les meilleures du moment, dans un modèle de vente à l’unité.

Global Security Mag : Quels les points forts des solutions que vous allez présenter à cette occasion ?

Frans Imbert-Vier : Vous savez que nous attachons une grande importance à la souveraineté de nos solutions. Il faut reconnaitre que ce n’est pas facile, car sur certains domaines les américains sont encore les meilleurs, mais on sait trouver des compensateurs qui nous permettent au moins de garantir le maintien de la donnée de nos clients sur site.

Aussi, nous avons redessiné nos offres : Cyber Essentiel, Cyber Advanced et Cyber Entreprise et Secret Protection sont composées d’un mixte des meilleures solutions disponibles sur le marché, sélectionnées par nos experts. Chacune de ces offres répond aux besoins d’une organisation selon sa taille, son secteur d’activité, le niveau de sensibilité de données traitées, etc.

Parmi les éditeurs français, nous avons intégré dans le package de base l’offre de Serenicity et son Detoxio toujours inégalé sur le marché. Cette start-up stéphanoise a toute notre admiration puisqu’ils vont jusqu’à pouvoir bientôt fabriquer leurs composants en Rhône-Alpes et non en Chine comme c’est le cas pour tout le monde. Nous intégrons les bonnes idées de l’éditeur Seald pour le chiffrement et de Threema pour converser un haut niveau de confidentialité, permettant de produire une certaine résilience. Bien sûr c’est sans compter sur nos outils maison comme Mailshield pour identifier les défauts de règle sur le DNS, le DKIM et le DMARK et qui, une fois bien réglé, limite très fortement l’usurpation d’identité et protège mieux la correspondance. En firewall, ce sont nos amis Clavister que nous mettons toujours en avant pour offusquer les solutions américaines. Seuls ceux qui l’ont testé comprennent pourquoi le gap entre les concurrents et Clavister est énorme. Sur la partie Endpoint, mobile et email, c’est encore Checkpoint qui sort de notre benchmark annuel avec une certaine longueur d’avance.

En analyse de code SAST, nous continuons à certifier les applications aux standards ISO, OWASP, HIPAA pour la santé et PCI-DSS pour le bancaire. Je crois que nous sommes les seuls à le faire en Suisse, au Portugal et au Luxembourg. En France nous n’avons pas identifié un acteur capable de certifier un code ou une installation sur ces standards en facturant à l’IP.
Dès lors notre catalogue cyber entreprise est désormais réalisé, à jour et bien sûr déployé à des milliers d’exemplaires. Mais nous avons su l’industrialiser et pouvons ainsi annoncer des tarifs inégalés sans impacter la qualité de service et la performance, bien au contraire.

Global Security Mag : cette année le FIC aura pour thème le Cloud Computing, quelles sont les principales cybermenaces qui pèsent sur le Cloud ?

Frans Imbert-Vier : Je trouve le thème dépassé. Le FIC aurait pu s’attarder sur l’IA, le métavers, le cadre politique de la souveraineté très actuel ou même évoqué les mutations nextgen des applications. Le Cloud ça fait 20 ans qu’on en fait, et à date on n’a rien réinventé. C’est du réchauffé. Chez UBCOM, la menace a toujours été le facteur humain. Soit parce qu’il est mal formé, que ce soit l’utilisateur ou l’administrateur, soit parce que la technologie est trop légère. Si la technologie Zero Trust peut compenser pas mal d’erreurs, il existe encore beaucoup d’activité ou ce n’est pas applicable, car l’identité du connecté reste le déterminant à vérifier pour autoriser un accès. La cybermenace de la donnée reste donc l’humain, mais sur le plan infra, la faiblesse du Cloud c’est les codes sources des plateformes qui ne sont pas testés (SAST) et présentent d’emblée des niveaux de vulnérabilité incroyable. Vous savez, seules 200 entreprises dans le monde font du Whitebox et du blackbox systématiquement. Apple, Samsung, Amazon, Oracle, la SNCF ou Dassault le font. Tesla ne le fait pas ni même Microsoft ou Boeing, c’est vous dire. Et dans le Cloud, demandez à votre opérateur un rapport de test Blackbox : au mieux il vous dira qu’il n’en a jamais fait, au pire il ne comprendra pas la question. La menace est donc le service lui-même et son code. Je me méfierais si j’étais vous et j’irais demander à UBCOM ce qu’il en pense parce qu’on est toujours les seuls à le faire pour les autres et surtout nous savons poser la question aux éditeurs pour les accompagner dans cette démarche. À ce titre, je souligne que la BPI nous a référencé comme premier acteur de cyber sécurité pour tester les codes sources des pépites portées par la BPI, c’est bien entendu une démarche très mature qui contribuera à présenter les innovations françaises à des niveaux de qualités que les Américains sont loin d’avoir, surtout pour les plus gros !

Global Security Mag : Quels sont les avantages qu’autorise le Cloud Computing ?

Frans Imbert-Vier : C’est le principe de la mutualisation d’une ressource qui permet d’augmenter la performance et de faire baisser le cout. On gagne en agilité d’infrastructure, mais certainement pas applicative compte tenu des difficultés rencontrées dans la réversibilité. Le Cloud a du bon et du mauvais. Il faut s’en servir en bonne conscience et ne pas mettre ses œufs dans le même panier. Jamais.

Global Security Mag : Comment les technologies doivent-elles évoluer pour conter ces menaces ?
Les technologies sont bonnes, enfin elles s’améliorent. Ce qui fait défaut c’est la réglementation de la résilience exigible à un service cloud. ISO 27 ou OWASP, je rigole. On est sur des modèles qui ont plus de 10 ans. La dernière menace elle, a 1 heure ! Il faut réglementer les fournisseurs cloud sur des standards élevés comme la banque et le PCI-DSS ou le HIPAA avec les systèmes de santé. Tant que cela ne sera pas fait, le marché sera un grand bazar qui rendra toujours hasardeux celui qui s’y aventure. Mais les Américains ne veulent pas de standard, ou alors celui qu’ils inventeront. Ils ont peur du format allemand ou français, trop lourd, complexe et administratif. Pourtant la norme AFNOR a sauvé des millions de vies comme les règlements du TUG allemand et à ce que je sache, l’ISO 27XXX n’interdit pas d’avoir des rongeurs dans les datacenters !

Global Security Mag : selon vous, quelle place l’humain peut-il avoir pour renforcer la stratégie de défense à déployer ?

Frans Imbert-Vier : Elle est phénoménale. Mais qui investit sur l’humain aujourd’hui ? Seules les grandes structures avec un ADN fort comme Michelin ou Apple sont protégées. Leurs collaborateurs sont accompagnés en permanence dans une sensibilisation qui couplée à leur engagement les rend plus performants que n’importe quel anti-phishing ! Quand j’étais DSI, je mettais tout dans l’humain, j’avais des marques très exposées et rien n’est arrivé. Regardez, 2 % des administrateurs ont été formés en niveau II par le constructeur du Firewall qu’ils sont censés administrer. Autrement dit, on a 98 % des pilotes aux commandes d’un système d’information qui n’ont pas le brevet. Et après on s’étonne qu’un CAC 40 se fasse attaquer. Ne cherchez pas, c’est entre le clavier et la chaise que le problème persiste et dans le bureau du DRH qui devrait s’interroger sur le bienfait de la formation… sinon qu’il achète des robots. Les DSI ont leur part de responsabilité et devraient exiger des formations constructeurs chaque année pour tous ceux qui ont en charge un équipement de sécurité. C’est sidérant en 2023 de voir une telle pauvreté du savoir et un monde cyber dont les règles sont édictées par un marketing essentiellement US parfaitement géré. Je pense à Fortinet ou CISCO qui vous vendent dans tous les sens leurs solutions sans jamais se soucier de savoir si le client a le niveau pour les intégrer.

Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?

Frans Imbert-Vier : Ne craquez pas. Vous êtes les derniers remparts de l’économie face aux attaques cyber de masse. Respectez les galons que vous portez sur les épaules et défendez votre mission, haut et fort. Si on vous dit non, faite-le écrire par celui qui vous donne tort, vous allez voir ça calme. Insistez, ne lâchez jamais, ayez confiance en vous et votre instinct. L’instinct c’est votre IPS, il ne vous fera jamais de faux positif. On devrait appeler les RSSI « Shield ». Les Shields ils évitent l’appel aux pompiers et tous savent qu’appeler les pompiers en cyber ça fait mal. Formez-vous, soyez curieux, considérez que jamais rien n’est acquis. Écoutez votre administrateur réseau, mais ne le croyez jamais. Doutez de tout, tout le temps et vis-à-vis de tout le monde. Hurlez pour vous faire entendre, sortez du bureau et imposez les fondamentaux. On vous traitera de rouspeteur pour ne pas dire autre chose, mais vous aurez toujours raison. La juste mesure est un bon sens à trouver, mais si vous voulez baisser les bras, changez d’employeur, c’est qu’il ne vous mérite pas. Les années à venir vont être très difficiles et surtout vont passer très vite. Si vous n’êtes pas préparé, protégez-vous et changez de métier. Le RSSI a une responsabilité terrible, il doit donc aller chercher son autorité pour que l’interne ne le voit pas comme un régulateur de la règle, mais bien un officier de la protection des assets de l’entreprise.

Contact : Ubcom France
Contact@ubcom.eu
Commerce : Olivier Corneau