Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Gérôme Billois, Wavestone : RSSI, profitez de cette prise de conscience pour vous rapprocher du métier

octobre 2019 par Marc Jacob

Lors de l’édition 2019 des Assises de la Sécurité, Wavestone dévoilera sa nouvelle étude sur l’intelligence artificielle et la cybersécurité qui s’intitule « protéger dès maintenant le monde de demain ».De plus, elle présentera deux maquettes innovantes, construites par ses équipes, et démontrant des cas d’usage concrets sur la sécurité de l’IA « HackMyAI » Pour Gérôme Billois, Partner de Wavestone, les enjeux cybersécurité des entreprises deviennent de plus en plus perceptibles du côté des métiers. Ainsi, les RSSI, doivent profiter de cette prise de conscience pour se rapprocher des métiers.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Gérôme Billois : Nous dévoilerons une nouvelle étude sur l’intelligence artificielle et la cybersécurité qui s’intitule « protéger dès maintenant le monde de demain ». Celle-ci fait suite à un constat alarmant issu d’une étude Wavestone sur les rapports annuels des groupes côtés : 58% des entreprises du CAC40 mentionnent lancer des projets d’intelligence artificielle dans leur dernier rapport annuel mais seulement deux d’entre elles mentionnent leur sécurisation. Nous donnerons les clés concrètes des mesures de sécurité à mettre en œuvre dans un projet métier incluant de l’IA.

Nous en profiterons également pour présenter deux maquettes innovantes, construites par nos équipes, et démontrant des cas d’usage concrets sur la sécurité de l’IA « HackMyAI » avec une attaque sur un système de reconnaissance faciale, et notre robot DigiBot qui explicite les problématiques de gestion des droits et des accès aux objets connectés.

Enfin, nous révèlerons notre benchmark des incidents de sécurité sur lesquels le CERT-Wavestone a été mobilisé entre septembre 2018 et août 2019. Ce benchmark s’appuie sur 40 évènements majeurs que nous avons gérés dans 10 secteurs d’activité différents. L’objectif de ce benchmark est d’éclairer les grandes organisations sur l’état de la menace cyber en France et de partager les clés pour une meilleure anticipation et réaction. Quelques constats clés ressortent, par exemple sur le temps moyen écoulé entre une intrusion et sa détection par les entreprises ou encore sur les sources de détection des incidents. Rendez-vous le 8 octobre pour la communication des différents chiffres et constats !

GS Mag : Quel sera le thème de votre conférence cette année ?

Gérôme Billois : Cette année, notre atelier portera sur le sujet de la cyber-résilience et plus précisément sur les méthodes pour faire face aux dernières attaques et définir une stratégie efficace.

Le constat est limpide : la cyber-résilience devient un enjeu phare des directions générales mais sa définition et son périmètre d’application restent flous. Les plus en avance sont ceux ayant connus des incidents majeurs. Mais nous ne devons certainement pas attendre d’être frappé pour structurer une stratégie de cyber-résilience ! Notre intervention donnera aux RSSI les clés pour initier une démarche efficace, impliquant les métiers et les dernières évolutions technologiques, sur la base des attaques gérées par le CERT-Wavestone. Pour cela, rien de mieux qu’une analogie avec un combat de boxe pour rythmer l’intervention et donner des éléments utiles aux RSSI pour faire progresser leurs organisations !

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2019 ?

Gérôme Billois : Nous faisons face à une menace cyber qui ne faiblit pas. En 2019, notre équipe de réponse à incident a observé un flux ininterrompu d’attaques, certes moins visibles et médiatisées que les attaques de 2017 mais tout aussi impactantes. Notre équipe de réponse à incident est bien sûr toujours mobilisée sur les fameux ransomwares (qui représentent plus d’un tiers de nos interventions réponse à incident) ! Ce constat n’est pas vraiment surprenant : ils offrent aux cybercriminels une certaine simplicité de mise en œuvre (notamment avec l’émergence des offres de ransomwares-as-a-service) et une grande rentabilité. Mais notre équipe observe également des attaques qui se veulent toujours plus astucieuses, pernicieuses et complexes : plus proches des processus métiers, sur la supply chain, sur les partenaires (attaques par rebond), des cas de fraude, etc. Les cybercriminels prennent désormais de plus en plus de temps pour méticuleusement étudier et comprendre leur cible, son fonctionnement, son environnement, ses mesures de sécurité et la façon de les contourner. Ce qui en fait une menace grandissante pour les entreprises !

GS Mag : Quid des besoins des entreprises ?

Gérôme Billois : Les besoins des entreprises se dessinent principalement autour de trois axes :

_ * Développer la confiance numérique des clients et des collaborateurs. Initier par des grands acteurs américains, ce mouvement se place désormais comme une priorité afin de développer le business et débloquer l’innovation au sein des grandes entreprises : tant pour aller chercher des partenaires de qualité que des clients.
* Devenir cyber-résilient. Les cyberattaques particulièrement ciblées de cette année ont fait réagir dans les entreprises, et ont provoqué une véritable prise de conscience, notamment du côté des directions générales qui requiert désormais la mise en place d’une stratégie de cyber-résilience solide.
* Sécuriser les nouvelles innovations. Dans une étude Wavestone sur les rapports annuels des grandes entreprises, nous notons qu’une grande proportion des programmes d’innovation font toujours l’impasse sur la cybersécurité (IA, IoT, Blockchain, 5G…). Dans la course à la transformation numérique, les projets d’innovation sont souvent lancés par des unités dédiées, avec l’objectif de développer rapidement un système qui fonctionne à destination des clients. La brique de sécurité est intégrée seulement plus tard, et est souvent accompagnée de coûts supplémentaires et des délais importants. Ainsi, nous observons via nos missions, l’émergence croissante de nouvelles fonctions tels que le « Product Security Officer », en charge d’intégrer la sécurité dans les produits vendus aux clients. C’est un point positif qu’il faut accompagner car cela entraîne aussi souvent une évolution de la gouvernance cybersécurité.

L’évolution de ces différents périmètres entraînent également de nombreuses réflexions sur la refonte de la gouvernance cybersécurité. Doit-elle se cantonner uniquement à la DSI ? Quel rôle pour les équipes métiers qui conçoivent des objets et des services connectés ? Dans les groupes industriels, comment s’assurer de la sécurité de l’outil de production ? Quel rôle pour la sureté face à des attaquants qui sont de plus en plus liés à la criminalité ? Comment intégrer ces risques dans une démarche globale d’entreprise ? Il n’y a pas de réponse unique à ces questions, elles sont très liées au fonctionnement de l’entreprise et sont maintenant fréquemment adressées au sein du comité exécutif ou encore du conseil d’administration des grands groupes.

Et bien sûr, les entreprises ont encore de forts besoins pour sécuriser leurs fondamentaux : SI interne, déploiement massif du cloud, arrivée des APIs, etc. Sans oublier la mise en conformité aux récentes règlementations qui reste encore un sujet d’actualité.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Gérôme Billois : Pour répondre à ces enjeux métiers, la practice cybersécurité de Wavestone s’est mise en ordre de marche. Concrètement, en sus de nos offres historiques, nous avons structuré trois offres sectorielles : Financial Services, IoT & Smart Products et Manufacturing & Industrie 4.0. Celles-ci permettront de comprendre et répondre aux besoins spécifiques des métiers pour se positionner comme facilitateur auprès de ceux-ci.

Nous sommes conscients de l’évolution rapide de l’écosystème cybersécurité, et avons une volonté forte d’être à l’affût des derniers développements en la matière. Nous sommes très investis dans l’innovation. Nous publions annuellement notre radar des startups françaises en cybersécurité. Et parce que l’innovation n’a pas de limite, celui-ci ne se limite pas au périmètre Français. Nous publions également notre radar des startups en cybersécurité au Royaume-Uni, à New York (conjointement avec les équipes de la mairie de New-York), au Luxembourg et nous allons publier une lettre de veille sur l’innovation France / Israël (en partenariat avec Shushane & Co). Wavestone accélère également des startups en cybersécurité au sein de ses locaux en France et New York, avec récemment : Dispel pour les accès distants, Hazy sur l’anonymisation des données, Olivid sur la messagerie instantanée sécurisée. Le but est de les accompagner dans leur développement, les guider sur leur offre et les besoins auxquels elles répondent et in fine les présenter à nos clients si cela est judicieux : un win-win !

GS Mag : La sécurité et la privacy « by design » sont devenues incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ? Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Gérôme Billois : Pour limiter les risques, il faut se rappeler que la sécurisation d’une entreprise ne repose pas sur la filière cybersécurité uniquement : il y a un fort besoin d’embarquement des métiers.

Pour ce qui concerne la mise en place de la sécurité / privacy by design, un premier conseil aux entreprises est de rester pragmatique. Il ne s’agit pas de devenir des ayatollahs de la sécurité ou du privacy mais d’accompagner les métiers et l’innovation sans devenir des freins pour le business. Un second conseil est d’éviter absolument les processus ad hoc. Il existe déjà suffisamment de processus existant qu’il suffit d’enrichir plutôt que de créer des processus parallèles qui ne seront pas suivis. Enfin, penser la conformité et la sécurité comme des opportunités est certainement ce qui crée le plus d’adhésion autour de cas sujets et donc la mise en place la plus facile.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Gérôme Billois : Les enjeux cybersécurité des entreprises deviennent de plus en plus perceptibles du côté des métiers : impact fort des dernières attaques sur les opérations des entreprises touchées, prise en compte des aspects sécurité dans les appels d’offres, évaluation cyber de plus en plus présente lors de fusion-acquisition, importance croissante accordée à la privacy par les consommateurs mais également les parties tierces (associations de consommateurs, etc.). Et cela n’est que le début. RSSI, profitez de cette prise de conscience pour vous rapprocher du métier, l’embarquer dans la sécurisation de ses activités, accompagnez le dans l’intégration de nouvelles technologies, etc. Tout cela dans le but de repositionner la filière sécurité comme un facilitateur business et assurer un embarquement global de l’entreprise sur ces problématiques !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants