Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles

janvier 2019 par Marc Jacob

Pour sa nouvelle participation au FIC, UBCOM aura une actualité riche en nouveautés avec le lancement de la version 2.0 de son logiciel d’évaluation du risque Cyber au regard des contraintes du RGPD : CyberManager.ch , son offre de détection des vulnérabilités sur la base de la solution BeSecure de Beyond Security, en version On-demand et souveraine. En outre, elle lancera C2SEC qui permet de générer une matrice de l’exposition au risque Cyber d’une marque et de son SI. Sans compter toutes ses autres solutions comme les produits de chiffrements audios du Suisse Nagra, WhiteNoise et bien entendu ceux d’Arenim avec CrypTalk. Frans Imbert-Vier, CEO d’UBCOM considère que la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles.

Global Security Mag : quelle actualité allez-vous mettre en avant à l’occasion de la 11e édition du forum International de la Cybersécurité  ?

Frans Imbert-Vier : Cette année sera très riche en nouveauté. Depuis le Pôle Innovation du salon, nous présentons dans sa version 2.0 notre logiciel d’évaluation du risque Cyber au regard des contraintes du RGPD : CyberManager.ch est un outil d’analyse dynamique qui accompagne le consultant dans ses interviews auprès de tous les services transverses de l’entreprise afin de produire en 5 heures un schéma directeur des tâches à accomplir dans le domaine de la technologie, de la gouvernance, de la RH, de l’ingénierie sociale, du légal et bien sûr du RGPD. En complément une matrice BCG destinée à l’exécutif permet de synthétiser la maturité et la performance de l’entreprise face au risque cyber. On détecte en même temps si les clauses juridiques sont supportables par l’informatique et vice-versa. Enfin, l’analyse est construite autour des référentiels internationaux tels qu’ISO 27XXX, Cobit 5, ISACA, ITIL, EBIOS, SOX et bien sûr le module propre à UBCOM construit sur 20 ans d’expérience en gestion des SI.

Nous présenterons en première mondiale l’unique offre du marché de détection des vulnérabilités sur la base de la solution BeSecure de Beyond Security, qui soit On-demand et souveraine. L’offre est hébergée en Suisse au travers du réseau de confiance VigiSwiss qui extrait l’infrastructure à la soumission du Cloud Act et Cyber Act US. Ainsi, les vulnérabilités remontées dans notre infrastructure ne sont pas accessibles aux agences de renseignements ni exposée à la cyber criminalité. Nous considérons en effet comme contradictoire de remonter les vulnérabilités des entreprises dans un Cloud, quelle qu’elles soient. Cette offre est non seulement la première en Suisse totalement souveraine, mais elle couvre toute l’économie du pays et de la zone UE, car pour quelques centaines d’euros une PME peut désormais gérer ses vulnérabilités à un prix accessible ce que personne ne propose aujourd’hui. En réponse à l’Art. 32 du RGPD, l’obligation de sécurisation d’un système d’information passe par la détection des vulnérabilités. C’est à la demande, sans abonnement et la facturation est au nombre d’adresse IP scannés.

Parmi les éditeurs qui ont été labélisés cette année, nous présenterons l’offre de C2SEC qui permet de générer une matrice de l’exposition au risque Cyber d’une marque et de son SI. Avec un Business model accessible aux petites et moyennes entreprises pour offrir un service que seuls les plus grands pouvaient s’offrir et qui nous semble aujourd’hui essentiel. La solution est très pragmatique, puissante et vraiment accessible financièrement. Ainsi un assureur ou une société d’analyse de risque peut nous solliciter à la demande, sans engagement dans le temps et toujours en toute discrétion pour évaluer la situation d’un acteur économique dans le monde cyber.

Bien sûr nous continuons de distribuer les produits de chiffrements audios du Suisse Nagra et son produit WhiteNoise et bien entendu la solution d’Arenim avec CrypTalk, qui, associée à notre valeur ajoutée sur les terminaux IOS et Android permet désormais de proposer des GSM avec un durcissement de niveau militaire pour un faible coût.

Enfin nous mettrons en avant notre offre en Intelligence artificielle avec notre partenaire Business Investigation avec lequel nous avons construit la première solution souveraine de gestion et pilotage d’un bastion SI. Cette offre destinée aux grands comptes et gouvernements permet de détecter la compromission de la donnée au sein de l’organisation de façon prédictive et automatique. La Protection du Secret des actifs économiques de l’entreprise reste quoi qu’il en soit notre cœur de métier et comptons bien rester leader sur ce segment de la cyber sécurité qui intervient très en amont de la gestion du risque.

GS Mag : selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy «  by-design  », thème du FIC 2019  ?

Frans Imbert-Vier : Nous sommes particulièrement attachés aux deux, car pour nous, en Suisse la donnée personnelle est un enjeu inscrit dans la constitution. La privacy, c’est la garantie du maintien de la souveraineté d’une donnée à son détenteur. Par définition, il n’existe pas de Privacy à ce jour, car presque 100 % des technologies exploitées en Occident proviennent des États-Unis qui n’a pas du tout le même point de vue que les Européens sur la Privacy. L’enjeu n’est ni humain ou financier, il est avant tout politique, car c’est ce dernier qui détermine les conditions juridiques du traitement d’une donnée et de son statut. Le RGPD est d’ailleurs une réponse politique au GAFAM en particulier. Mais nous sommes encore trop dépendants des États-Unis au niveau de l’internet pour trancher fermement sur ce sujet. Il y a donc un rapport de force et nous sommes loin d’être à l’équilibre. Le forum de l’Internet animé par le Président Macron après les commémorations du centenaire de l’armistice est la preuve que le sujet est désormais traité au plus haut rang de l’état. Ce n’est pas un hasard, car Trump ayant aboli la neutralité du Net, il a engagé en même temps une guerre unilatérale de l’intelligence économique. Et avec 24 agences de renseignements sur 26 dédiées à l’intelligence économique, on est certain pour le moment que le gagnant c’est lui. Le thème du FIC est donc essentiel et de bon augure, car il oblige nos gouvernants et l’Europe à prendre très au sérieux ce sujet qui détermine à la fois notre souveraineté économique, mais aussi politique, c’est-à-dire notre démocratie.

En ce qui concerne la security by design, il y a quatre ans nous avions publié un article sur le risque vital qu’engendre l’absence de législation sur la sécurité des IoT en particulier. Les Hollandais ont été les premiers en Europe à promulguer une obligation de sécurisation d’un IoT domestique pour autoriser sa commercialisation. Mais l’Europe, encore trop soumise à la persuasion des lobbyistes, n’est pas prête à légiférer dans ce sens et nous le regrettons. Cependant, notre offre BeStorm de Beyond Security et son outil de fuzzing sait répondre et anticiper le risque pour les industriels qui veulent bien considérer le traitement du risque cyber comme un gage de qualité.

Vous savez, la cyber sécurité ce n’est pas juste un marché avec des logiciels et des matériels qui s’inscrivent dans une démarche de commerce conventionnel. La cyber sécurité est un enjeu d’état et c’est désormais une arme politique, mais aussi technique. On a retourné plusieurs gouvernements avec un tweet, alors vous comprendrez bien que les Nations ont tout intérêt à reconsidérer le traitement de l’information et sa communication sans quoi on fragilise une République, un Etat confédéré ou un Empire avant même qu’on n’en ait pris conscience.
C’est un marché dangereux, dont la puissance augmente frénétiquement compte tenu du volume d’affaire qu’il produira en 2022. C’est presque 8 fois plus que le marché de la drogue avec une projection de 8 trillions de dollars entre 2017 et 2022 pour le coût cumulé des failles de sécurité concernant les données selon Juniper Research. Autant dire que l’acteur qui nie la nécessité de considérer l’enjeu de cyber sécurité sur son marché n’existera plus dans les 2 prochaines années.

Mais pour répondre franchement à la question, l’enjeu n’est ni humain, technique ou psychologique. Il est uniquement politique et la responsabilité est désormais dans les mains de nos gouvernants.

GS Mag : quels sont vos 3 conseils aux organisations pour relever ces défis  ?

Frans Imbert-Vier : Le premier, et nous l’avons déjà dit l’année précédente, c’est d’arrêter d’utiliser le chiffrement américain et israélien. Il faut changer les clés de chiffrement par celles provenant d’éditeurs basés en Suisse, en Suède ou en Finlande, c’est-à-dire des États neutres et non membres de l’OTAN. Il faut bien entendu exclure la Chine et la Russie qui ne garantissent aucune souveraineté. Cette règle vaut aussi pour les antivirus  ! Car il n’y a rien de plus intrusif qu’un antivirus. La Privacy By Design commence par la protection de votre chiffrement et la confiance en l’origine du pays où est produite votre clé.

En second, il faut que chacun utilise un VPN souverain pour anonymiser son trafic internet. Cette gouvernance ne va pas faire du bien aux GAFAM qui se nourrissent exclusivement ou presque de la gratuité de nos données. Il n’existe pour le moment plus qu’une solution logiciel au monde et qui soit souveraine. C’est celui du Finlandais F-Secure que nous distribuons, mais qui hélas n’a pas choisi d’y associer un déployeur, ce qui freine considérablement les déploiements en grand compte à la grande joie des Américains entre autres.

Enfin, il faut que les acteurs politiques au niveau européen, mais aussi national, fournissent un outil législatif qui permet de se protéger du Cloud Act en particulier, car ce dernier ignore non seulement nos propres réglementations, mais il aspire tout ou partie de notre innovation technologique, industrielle et financière à la barbe de leurs ayants droit. Le souci c’est que les lobbyistes font un bon travail et nos députés européens, sont rarement armés pour désamorcer les argumentaires souvent mercantiles et bien construits des acteurs, qui demain mourront si la Privacy by Design s’applique bel et bien. En effet, on ne va pas demander à Google de se tirer une balle dans le pied, et la révision des Conditions générales d’Utilisations de Google est une belle démonstration, mais aussi l’impunité accordée à Facebook quoiqu’il arrive. On a volé la privacy de plus de 2 milliards d’individus, et alors ?
Au niveau européen, nous accusons un retard affligeant, qui, je l’affirme clairement met en péril nos nations et notre sécurité. Et même si Andrus Ansip (Vice-Président de la Commission européenne) est un homme clé, il ne va pas assez vite, pour ne pas dire trop lentement. La Commissaire européenne au numérique, Marya Gabriel invoquait début décembre dans Capital qu’il fallait se méfier de Huawei, c’est bien, mais c’est tard pour le dire et il manque aussi la mention contre les Américains qui sur ce terrain ne sont plus des alliés. Bruxelles est un frein énorme et les verrous doivent sauter. Un petit exemple tout frais : Bruxelles qui investit 5,5 millions pour protéger les Etats de l’Union des Trolls russes. Moins amusant, c’est qu’en 2017, la Russie aura investi plus de 1,5 milliard de dollars dans la conception de plusieurs milliers de Trolls. On ne joue pas dans la même cour et si l’Europe est brillante sur certains sujets qu’aucune nation ne peut égaler, en matière de cyber sécurité nous sommes en proportion les derniers. C’est une question d’unité européenne et de souveraineté pour chacun d’entre nous et chaque Etat de l’Union. Vous ajoutez à cela la route de la soie numérique ouverte par Xi Jinping depuis 2016 qui est en train de nous rogner peu à peu et nous éloigne de notre capacité à produire notre propre internet et gagner notre indépendance numérique. Vous l’aurez compris, nous appelons à la création d’un Internet européen comme nous avons pu gagner notre indépendance mobile avec le programme spatial Galileo qui nous délie du GPS américain.
Pour nous, le fait marquant de cette année c’est l’abandon de la neutralité du Net signé par le président Trump en juin 2018 et qui signifie désormais chacun pour soi, mais aussi tous contre l’Europe, premier marché mondial. Enfin le RGPD aura été la seule bonne nouvelle de l’année quoiqu’on en dise.

GS Mag : qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité  ?

Frans Imbert-Vier : La prise de conscience est arrivée très tardivement, essentiellement grâce à la menace financière. Le barème est assez dissuasif pour que les plus récalcitrants s’y mettent. Beaucoup se sont contentés de gérer le RGPD au niveau juridique sans tenir compte de la capacité technologique à honorer la promesse d’un contrat. Nous avons le sentiment que la résistance est globalement importante et trop peu d’acteurs économiques ont compris qu’il y avait une opportunité réelle pour générer une nouvelle confiance numérique. Peu de dirigeants ont compris que l’investissement en cyber sécurité pouvait produire un vrai retour sur investissement. En BtoC nous avons testé au hasard 10 acteurs majeurs du marché et pas un seul ne respecte la réglementation. Il y a toujours une carence quelque part, souvent dans l’Opt-In. D’autres acteurs, en BtoB essentiellement, se considèrent non soumis à la réglementation, tel un déni instauré pour se justifier de ne pas le faire. C’est bien sûr une grave erreur qui pourrait coûter la vie de l’entreprise. Du coup le RGPD pourrait devenir malgré lui une attaque cyber  !!

Si au sens du droit commun cette réglementation est une bouffée d’air pour chaque citoyen de l’Europe, elle n’a pas été suffisamment accompagnée par les chambres des métiers et de commerces. En Belgique, si vous consultez la page RGPD de la Fédération des Entreprises de Belgique vous avez une erreur 404. En France, le MEDEF n’a pas proposé d’accompagnement dynamique pour les PME et l’État s’est contenté de produire une machine à sanction qui est la CNIL, mais pas une vraie machine à accompagner, c’est-à-dire pragmatique et efficace. En Europe, seul le Grand-Duché du Luxembourg aura pris au sérieux cette réforme. Résultat, les Big Four et les cabinets d’avocats sans compter les opportunistes se gavent de prestations inachevées, car nous persistons à dire que le RGPD est une réglementation transverse à l’organisation d’une société et qu’à lui seul le service administratif ou juridique ne peut pas la faire vivre, la respecter et la supporter sans le soutien inconditionnel de la DSI, des dirigeants, mais aussi et surtout des salariés. À ce jour, en ingénierie sociale, nous n’avons vu personne produire une gouvernance ou recommander sa mise en place. Cela illustre, hélas, que le travail est mal fait et qu’il reste tout à faire.

GS Mag : à quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense  ?

Frans Imbert-Vier : Les prédictions d’Interpol et du rapport 2017 de la CIA ne sont pas les plus drôles du moment. La probabilité de voir une attaque dynamique et intelligente de masse au format Wanacry est réelle. Ce type d’attaque pourra vraiment remettre en cause la stabilité politique d’un Etat en privant la population d’un service ou d’un moyen. L’eau pour le service par exemple. Les modèles de transactions financières pour le moyen. En mettant à mal les DAB (ce qui reste très facile) et en même temps les TPE des commerçants de toute une région, vous stoppez net l’économie locale. Le dernier exemple magistral, c’est la faille de sécurité de quelque 20 000 bornes internet Orange non patchées depuis 2012  ! Plus de liquidité pour acheter son pain, plus de carte bleue pour payer son essence… je vous laisse imaginer les effets de bords.
Sur le plan de la défense, à ma connaissance cela reste de l’ordre du SECRET DÉFENSE, donc je n’en sais rien. Mais le principe de Hack Back évoqué par Guillaume Poupard à la Conférence sur la Confiance numérique en 2017 à l’UNESCO est probablement en place aujourd’hui compte tenu des répliques américaines aux dernières attaques de masses début 2018.

Si nous avons aujourd’hui un format de réponse de défense face à l’IA avec notre solution en détection de la compromission (GPS by Business Investigation), les organisations cyber mafieuse et les États (sauf l’Europe) investissent des milliards dans l’IA pour produire des modèles d’attaques à effet papillon avec une dynamique collatérale et systématique. Systématique veut dire qu’on ne peut pas la détecter, car elle s’inscrit dans un modèle vu comme étant normal. La dynamique collatérale c’est que l’attaque est synchronisée dans des segments variés et adaptés aux environnements. L’effet papillon est ce qu’il y a de plus machiavélique, car l’attaque progresse toujours alors même que l’on pense qu’elle est stoppée. Seul l’IA permet de produire cela et sur ce thème les progrès sont hélas effrayants. Mais très franchement, entre une attaque de masse qui se produit une seule fois et un espionnage économique continu et généralisé, je ne vois pas bien la différence, exception faite que l’un est médiatisé et pas l’autre. Au bout du compte, c’est le chômage qui menace quand ce ne sont pas des morts.

GS Mag : quel est votre message à nos lecteurs  ?

J’en ai deux. Un pour les exécutifs que j’invite à reconsidérer leur vision sur la cyber sécurité et à l’intégrer dans leur stratégie d’affaires. Ce n’est pas une contrainte, mais bel et bien une opportunité extraordinaire de générer des nouveaux services, de la confiance et donc un accroissement de l’offre, quel que soit son secteur d’activité. Il y a maintenant des acteurs sérieux sur le marché pour les accompagner à commencer par nous  ! Si vous me garantissez que ma donnée vous la protégerez avec autant d’acharnement que votre propre donnée, je deviendrais client les yeux fermés.

Pour les directions opérationnelles, je les invite à toujours se remettre en cause dans leur stratégie de cyber sécurité. Ne jamais mettre les œufs dans le même panier – c’est-à-dire ne pas détenir un SI homogène et mono marque. Et bien sûr reconsidérer chaque jour sa stratégie et toujours se remettre en cause, chaque jour. Je me permets de rappeler un élément fondamental : on ne parle jamais de sa stratégie de sécurité. Ce qui ne signifie pas de témoignage client, pas de communiqué de presse, pas de testimonial dans un évènement constructeur ou éditeur, bref. Ne rien dire c’est essentiel, mais c’est aussi très difficile. Il est en effet très compliqué de garder un secret. C’est une culture qui n’est pas à la portée de tous. C’est pour cela que nous en avons fait notre métier.

Contact : + 33 6 60 40 18 59
www.ubcom.eu
mailto: contact@ubcom.eu


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants