Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2020 ?

Laurent Oudot : Lors du FIC 2020, nous allons annoncer notre nouvelle suite de cyberdéfense intégrée : TEHTRIS XDR Platform.
Nous avons capitalisé sur des années de développement qui nous ont permis de bâtir l’ensemble des modules composant notre cyberarsenal défensif avec, au cœur de ce dispositif, l’EDR (Endpoint Detection & Response). Déployé sur l’intégralité des postes et des serveurs, cet agent permet, notamment, de neutraliser automatiquement et en temps réel les attaques sophistiquées, même inconnues. Les autres modules complètent l’arsenal, avec des fonctions de détection, mais aussi de mise en exergue des événements significatifs consolidés sur un portail dédié, complet et facile d’utilisation qui permet à des équipes de sécurité opérationnelle de réagir au plus vite en cas de situation suspecte.
Le X de XDR (X Detection and Response) représente l’inconnue que l’on doit contrer. L’idée consiste ainsi à compléter la réponse individuelle, apportée par l’EDR sur le système protégé, par une défense holistique, sur l’ensemble du SI, où chaque module vient coopérer à la réponse de manière automatisée. Cette orchestration est réalisée par un SOAR (Security Orchestration, Automation and Response) intégré, qui existait déjà mais de manière plus embryonnaire. Ainsi, par exemple, une IP malveillante détectée par un module pourra être automatiquement bloquée par le pare-feu de notre futur module EPP (EndPoint Protection) sur les systèmes protégés. Ou encore, l’introduction d’un code suspect dans le SI, détecté par un module pourra provoquer l’envoi de ce code vers l’EDR sans attendre son exécution et, s’il est malveillant, faire interdire automatiquement son exécution sur l’ensemble du SI.
La toute première version de TEHTRIS XDR Platform va être lancée fin janvier 2020 et son développement continuera dans les prochains mois pour apporter progressivement l’ensemble des fonctionnalités d’orchestration complémentaires.

Global Security Mag : Selon-vous, comment l’humain peut-il être acteur de la cybersécurité, alors qu’il est essentiellement regardé aujourd’hui comme victime ou comme auteur ?

Laurent Oudot : L’humain est faillible et, plutôt que de parler de victime ou d’auteur, il est plutôt vu par les attaquants comme une cible intermédiaire pour exploiter une défaillance et rebondir sur les systèmes auxquels il a accès.
C’est pour cela que certains voient l’humain comme le maillon faible. En réalité, il est un maillon clé de la cybersécurité. Une personne vigilante – et bien formée – peut détecter rapidement une situation anormale et la bloquer ou, au moins, la signaler. Pour l’exemple, rappelons que, lors de la tentative de cyber-braquage de la Banque centrale du Bangladesh, un virement SWIFT frauduleux de 20 millions d’euros a été stoppé par la vigilance d’un employé de la Deutsche Bank qui a détecté une faute de frappe sur l’intitulé du compte bénéficiaire (« fundation » au lieu de « foundation »). Aucun système ne l’aurait détecté, c’est là où l’humain représente la plus grande valeur ajoutée en tant que dernier rempart après tous les autres contrôles.
C’est pourquoi il est indispensable de continuer sans relâche à le former aux risques évolutifs auquel il peut être confronté.

Global Security Mag : Quels conseils pourriez-vous donner aux organisations pour qu’elles parviennent à impliquer les décideurs et sensibiliser leurs utilisateurs ?

Laurent Oudot : Nous voyons encore trop d’entreprises qui ont pour motivation « business first » et n’ont pas conscience des risques de cybermalveillance. Tant que les dirigeants ne sont pas convaincus que ce qui arrive aux autres entreprises peut aussi arriver à la leur, il sera très difficile aux équipes de sécurité internes de mettre en place les solutions appropriées avec la discipline indispensable qui y est associée.
Dans un tel cas, la première action à prévoir serait de former les dirigeants aux risques cyber, par exemple, en réalisant des simulations d’attaques qui démontrent la fragilité de leur entreprise. Réaliser un test de phishing ciblant un dirigeant peut être très efficace mais pas forcément perçu positivement par ce dernier quand il a été piégé. Il sera plus aisé de faire mettre en évidence, à l’aide d’actions simples mais parlantes, les faiblesses réelles de l’entreprise lors d’une démonstration par des experts externes et reconnus (nul n’est prophète en son pays).
Quand les dirigeants sont sponsors de la cybersécurité, tous les métiers de l’entreprise se sentent concernés et le RSSI peut plus facilement faire accepter son plan d’actions de sécurisation. Les décideurs deviennent acteurs à part entière de la cybersécurité. Ainsi, un programme de sensibilisation, voire de formation, récurrente de l’ensemble de l’entreprise, et adapté selon les missions des équipes, obtiendra plus facilement son budget, sera mieux suivi et plus efficace.

Global Security Mag : Comment les technologies doivent-elles évoluer pour une sécurité au plus près de l’utilisateur ?

Laurent Oudot : On voit que, lors des tests de phishings qui sont réalisés au sein des entreprises, le taux de clics peut dépasser les 30% et ne descend que rarement en-dessous des 7 ou 8%. Et ce, quel que soit l’effort de formation qui peut être fait. Une vigilance accrue de l’utilisateur est absolument nécessaire mais, malheureusement, loin d’être suffisante.
C’est pourquoi la technologie doit impérativement venir compléter l’action de vigilance de l’utilisateur et rattraper les situations où il a pu faillir.
Les outils de détection et de réponse sont des atouts indispensables pour contrer des attaques où l’utilisateur a permis l’exécution de code malveillant en naviguant sur Internet ou en cliquant sur un lien ou une pièce jointe d’un message qu’il a reçu.
Rappelons que certaines attaques, notamment par déplacement latéral, peuvent être fulgurantes et que seules les solutions de cyberdéfense à réponse automatisée en temps réel sont en mesure de les contrer efficacement.
Il n’en reste pas moins qu’il est aussi très important de mettre en œuvre, en complément, les solutions de défense ad hoc en mesure de détecter et d’alerter les équipes de sécurité opérationnelle pour leur permettre de contrer une attaque qui n’aurait pas été remédiée.
C’est le principe d’une défense en profondeur qui ne considère pas une seule solution mais la combinaison de plusieurs éléments de défense complémentaires pour assurer une couverture la plus complète possible.
Il faut donc que les technologies évoluent toujours vers une amélioration de la réponse donnée aux attaques qui passent au travers des utilisateurs par des méthodes de plus en plus efficaces pour le faire cliquer.

Global Security Mag : Quelles actions les acteurs de la cybersécurité peuvent-ils mettre en place pour attirer de nouveaux talents ?

Laurent Oudot : Le marché de la cybersécurité est en perpétuelle expansion et les nouveaux talents sont sollicités de toute part. Il est difficile pour eux de trouver le meilleur choix comme il est difficile pour les entreprises de les attirer.
La notoriété de l’entreprise dans le monde de la cybersécurité est une première clé mais elle n’est pas toujours suffisante pour emporter la décision.
Il faut que l’entreprise leur propose des challenges innovants qui mettent leur expertise à contribution et les aident à progresser par les partages de connaissances avec les autres experts qui sont engagés dans le même projet ou des projets connexes.
Au-delà de l’intérêt spécifique du travail proposé, il faut aussi considérer l’ambiance dans l’entreprise et les activités annexes qui y sont offertes. Plus un salarié se sent bien dans une entreprise plus il aura tendance à donner le meilleur de lui-même et aura la volonté d’y entrer et, surtout, d’y rester.
Enfin, les entreprises classiques tendent à évoluer vers un modèle moins hiérarchisé qui laisse plus de liberté à leurs collaborateurs, favorise une organisation du travail plus souple, notamment avec le télétravail, et entrent plus dans un modèle de confiance que de contrôle systématique. Malgré cela, elles sont aujourd’hui encore trop souvent organisées avec des systèmes de progression liés à une fonction managériale. Repenser la valorisation des filières d’expertise sera un véritable atout dans le secteur de la cybersécurité.

Global Security Mag : Selon vous, à quoi pouvons-nous nous attendre en termes d’attaques et de défense pour 2020 ?

Laurent Oudot : La prospective n’est pas toujours évidente tant les attaquants sont inventifs.
Nous pouvons cependant partager quelques tendances qui se dégagent comme l’évolution des ransomwares qui, en plus de chiffrer les données, les volent. Les attaquants s’appuient ensuite sur un chantage au RGPD pour menacer les entreprises qui ne paient pas de divulguer aux autorités de contrôles, telles que la CNIL, le vol des données réalisé voire de les diffuser sur Internet.
L’IA commence à faire son apparition dans certaines attaques, notamment de phishing au travers de l’exploitation des réseaux sociaux. En rendant les messages frauduleux plus crédibles, il devient très difficile pour un utilisateur de discerner une supercherie.
Un des risques qui reste toujours très important concerne les objets connectés qui sont mal sécurisés et pourraient être utilisés pour réaliser des attaques massives en les utilisant comme botnet. La bande passante potentielle qu’elle permet de générer, par exemple en déni de service, est telle qu’aucune solution anti-DDOS ne pourrait la contrer.
Enfin, l’arrivée de la 5G, pour laquelle certaines failles structurelles ont déjà été signalées par des experts, risque d’être un nouveau vecteur d’attaque qui commencera à se développer en 2020. Avec la digitalisation à outrance, les équipements mobiles sont de plus en plus utilisés et pourraient devenir les nouvelles cibles des attaquants qui viseraient les applications, telles que les applications bancaires par exemple.
L’évolution de la cyberdéfense se fait de plus en plus à l’aide de l’IA, pas toujours de manière très transparente ni maîtrisée. Il faut rester vigilant car un usage intensif de l’IA sans toujours maîtriser l’arbre de décision peut être une opportunité pour un attaquant de retourner l’outil contre l’entreprise, en alimentant le moteur de décision avec des flux de données malveillants en cas de compromission.
La cybercriminalité, à l’instar des grandes entreprises, se développe en suivant un modèle économique et se structure de même. Les outils d’attaques se fabriquent et se vendent sur Internet pour permettre d’exploiter les failles selon les besoins de ce marché spécial. On y retrouve donc son lot d’innovations imprévisibles. Dans ce cas, lorsque les outils de sécurité existants sont contournés, la cyberdéfense doit les adapter ou en créer d’autres. C’est une course sans fin.

Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?

Laurent Oudot : Parmi l’offre pléthorique de solutions de cybersécurité, il arrive que les RSSI ne sachent pas lesquelles choisir, d’autant que le marketing qui y est associé est souvent très percutant.
La mise en œuvre d’une politique de sécurité complète avec les outils adaptés prend du temps, c’est pourquoi il est important de définir une priorisation pour l’installation des outils en privilégiant les plus efficaces en fonction du niveau de protection que l’on souhaite obtenir.
Même si les solutions de protection classiques doivent toujours faire partie d’un système de défense en profondeur, notre expérience montre qu’elles ont aussi atteint leurs limites en matière d’efficacité contre les attaques modernes qui sont toujours plus sophistiquées et souvent inconnues.
C’est pourquoi nous considérons qu’il est aujourd’hui indispensable d’installer prioritairement des solutions de cyberdéfense permettant une remédiation automatisée en temps réel pour éviter une catastrophe si une attaque latérale venait à se propager dans l’entreprise. Et ce, d’autant plus si les phishings dopés à l’IA s’avèrent plus efficaces pour introduire le logiciel malveillant.
Même si une forte pression est exercée sur les RSSI par l’évolution des réglementations, la conformité doit passer après la protection de l’entreprise si celle-ci est insuffisante.
Notre conseil aux RSSI, c’est de bien prioriser leur choix de solutions et d’en évaluer l’efficacité par des tests appropriés (par exemple, un exercice de « red team » pour vérifier si toutes les attaques sont bien contrées) plutôt que de faire une confiance aveugle aux plaquettes des produits et aux discours des commerciaux.

Pour en savoir plus :

Site web : https://tehtris.com/
Linkedin : https://fr.linkedin.com/company/tehtris
Twitter : https://twitter.com/tehtris?ref_src=twsrc%5Egoogle%7Ctwcamp%5Eserp%7Ctwgr%5Eauthor