Loïc Guézo, Proofpoint : la formation régulière, pierre angulaire d’une défense réussie

septembre 2021 par Emmanuelle Lamandé

Lors de la prochaine édition des Assises, Proofpoint mettra l’accent sur sa stratégie « people-centric » qui permet de renforcer la sécurité des organisations. Pour Loïc Guézo, Directeur Stratégie Cybersécurité SEMEA, Proofpoint, chaque entreprise doit créer une véritable culture de la sécurité, et les collaborateurs doivent prendre conscience des risques et des dangers liés à leurs comportements. C’est grâce à une cadence de formation régulière que les organisations pourront repérer les premiers signes de menaces potentielles et éviter le pire.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Loïc Guézo : Nous continuons cette année de présenter notre stratégie « people-centric » qui permet de renforcer la sécurité de nos clients. Nous poursuivons également nos efforts dans le développement de notre apport en visibilité sur les attaques qui ciblent les humains.

GS Mag : Quel sera le thème de votre conférence cette année ?

Loïc Guézo : Notre conférence cette année aura principalement pour objet de partager un retour d’expérience sur la sécurisation du groupe SAFRAN le 13 octobre de 16h à 16h45.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?

Loïc Guézo : En 2021, plus que jamais, nous avons observé que les rançongiciels explosent et sont devenus omniprésents, avec plus de 48 millions de messages contenant des logiciels malveillants susceptibles d’être utilisés comme un véritable point d’entrée pour des attaques par rançongiciel. L’email reste le canal privilégié pour ces types d’attaque, car il permet de distribuer massivement une grande partie des logiciels malveillants utilisés ensuite pour favoriser le téléchargement de rançongiciels.

Les attaques de phishing (Credential Phishing), tant pour les consommateurs que pour les entreprises, est de loin la cyberattaque la plus courante et représentent deux tiers de tous les messages malveillants. Les attaques de phishing conduisent à la compromission des comptes des victimes, ouvrant ainsi la voie à d’autres attaques sévères comme la compromission de l’email professionnel (BEC) et le vol de données. De toutes les méthodes de phishing (partage de pièces jointes, données, liens), le partage de pièces jointes s’est avéré être la plus efficace. En effet, selon le rapport Proofpoint Human Factor 2021, en moyenne 1 personne sur 5 est victime d’une attaque de phishing contenant une pièce jointe malveillante, soit un taux plus élevé que celui des deux autres méthodes combinées.

De plus, l’apparition de tentatives de fraude BEC de plus en plus élaborées ont contribué à faire de l’email un vecteur d’attaque redoutable. Les chercheurs Proofpoint ont pu identifier à ce jour le cas unique de l’acteur de la menace (TA2520) qui a initié des attaques de type BEC (Business Email Compromise) pour usurper l’identité de cadres supérieurs et demander par email à plusieurs destinataires de transférer des sommes de plus d’un million de dollars au nom d’une acquisition d’entreprise fictive (Human Factor 2021, Proofpoint).

GS Mag : Quid des besoins des entreprises ?

Loïc Guézo : La sensibilisation aux cybermenaces reste une préoccupation majeure : plus d’un an après le début de la pandémie qui a changé à jamais le paysage des menaces, 78 % des RSSI français estiment que leur organisation n’est pas préparée à faire face à une cyberattaque ciblée selon le dernier rapport Voice of the CISO de Proofpoint. Un résultat bien au-dessus de la moyenne mondiale, établie à 66 %. Le cyber risque s’accroît : 45 % des RSSI français sont plus préoccupés par les répercussions d’une cyberattaque en 2021 qu’ils ne l’étaient en 2020.

Le fait de ne pas avoir de mot de passe sécurisé (ne pas le changer ou le réutiliser), la fuite intentionnelle de données (menace interne) et le phishing ont été listés par les RSSI français comme les moyens les plus probables pour les employés de mettre leur entreprise en danger.

Les environnements de travail hybrides représentent un nouveau défi, c’est pourquoi nous pensons qu’il est crucial d’être rigoureux sur une protection opérationnelle notamment avec nos solutions Secure Gateway, Tap Trap qui offrent plus de sécurité dans le cadre des migrations vers cloud des environnements Office 365. En effet, 61 % des RSSI français reconnaissent que le travail à distance a rendu leur organisation plus vulnérable aux cyberattaques ciblées, 56 % d’entre eux révélant avoir constaté une augmentation des attaques ciblées au cours des 12 derniers mois.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Loïc Guézo : Les entreprises s’exposent aux dangers cyber en ne mettant pas en place de véritable programme de sensibilisation pour les collaborateurs ou en n’évaluant pas régulièrement leurs connaissances. Ce sujet inquiète de nombreux RSSI en France, car près de deux tiers estiment que leur programme de formation à la cybersécurité doit être amélioré.

Les RSSI devront ainsi adapter leur stratégie cybersécurité pour garder une longueur d’avance, cela passe par le fait de fournir des moyens de détection et de réponse plus rapides. Ainsi par exemple, la majorité des RSSI à échelle mondiale s’attend à ce que leur budget de cybersécurité augmente de 11 % ou plus au cours des deux prochaines années, et 60 % des RSSI français pensent qu’ils seront en mesure de mieux résister aux cyberattaques et de mieux s’en remettre d’ici 2023.

La pierre angulaire d’une défense réussie est la formation régulière, complète et adaptée aux employés. Cette formation doit aller au-delà des méthodes et des motivations d’une cyberattaque. Elle doit inviter tous les employés à jouer pleinement le rôle qui leur revient dans la protection de leur entreprise. Il est crucial que les employés soient aujourd’hui en mesure de comprendre comment des comportements simples, tels que la réutilisation de mots de passe et la mauvaise manipulation des données, peuvent avoir de lourdes conséquences pour l’entreprise.

Proofpoint continue en outre d’avoir pour ambitions d’anticiper les modes opératoires des attaquants qui sont plus de plus techniques et de plus en plus inspirés de l’ingénierie sociale. Un autre point d’honneur dans la stratégie de Proofpoint est de s’insérer de plus en plus dans un écosystème de confiance français et européen, notamment avec le lancement d’un partenariat avec le champion français Tehtris, annoncé lors du FIC 2021.

GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Loïc Guézo : Les trois principales priorités des RSSI français pour les deux ans à venir sont : le renforcement des contrôles de sécurité (58 %), la gestion des risques liés aux fournisseurs (41 %), le soutien aux collaborateurs en télétravail (40 %) et la mise en œuvre de l’automatisation de la sécurité (40 %).

Le meilleur moyen de freiner l’intérêt des cybercriminels pour les collaborateurs en télétravail est d’instaurer une stratégie de cyberdéfense robuste, à la fois adaptée au monde d’aujourd’hui et préparée pour celui de demain. Cette stratégie de cyberdéfense doit veiller à plus précisément sensibiliser les dirigeants aux risques liés à la cybersécurité. Par ailleurs, toute stratégie de cyberdéfense devrait inclure une solution ZeroTrust capable de connecter en toute sécurité les collaborateurs à l’ensemble des données et des réseaux d’entreprise afin de gagner en efficacité.

Enfin, il est important d’instaurer une sécurité robuste des messageries professionnelles et environnement web en adoptant d’une part l’authentification DMARC (Domain-based Message Authentication Reporting and Conformance) et la surveillance des domaines cousins, et d’autre part une technologie d’isolation qui permette d’évoluer sur le web à l’abris des contenus à risque. C’est bien d’ailleurs ce que nos offres Email Fraud Defense 360° proposent.

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Loïc Guézo : La pandémie a forcé les entreprises à faire preuve d’adaptabilité, c’est pourquoi nous pensons qu’il est important de sans cesse transformer son modèle de sécurité vers un modèle à forte visibilité capable d’intégrer le facteur humain. Avec l’évolution de nos solutions clés SRE (entités émettant des messages vers l’organisation) et People Risk Explorer (centrée sur les collaborateurs), nos clients sont en mesure d’avoir sur un tableau de bord les risques associés à tous les collaborateurs internes. Nos solutions intègrent également la surveillance des risques propres aux environnements des sous-traitants et des partenaires d’organisations.

Le bon fondement de toute défense réside dans le contrôle global de la sécurité de l’entreprise. C’est pourquoi il est nécessaire de savoir qui sont les utilisateurs et à quelles informations ils accèdent. Aujourd’hui, 40 % des organisations disposent d’un programme dédié de gestion des risques internes. Cependant, un travail de fond reste à accomplir, car 29 % des entreprises seulement ont défini correctement les paramètres de leur programme.

En résumé, chaque entreprise doit créer une culture de la sécurité et les collaborateurs doivent prendre conscience des risques et des dangers liés à leurs comportements. C’est en effet avec une cadence de formation régulière que les entreprises pourront repérer les premiers signes de menaces potentielles et éviter le pire.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Loïc Guézo : L’année 2021 a permis de renforcer le rôle du RSSI, ainsi que les attentes de l’entreprise. En effet, 61% des RSSI français s’accordent pour dire que les attentes envers leur fonction sont excessives. La perception d’un manque de soutien de la part du comité de direction persiste : seuls 20 % des RSSI français sont tout à fait d’accord pour dire que leur hiérarchie est en phase avec eux sur les questions de cybersécurité. Les entreprises françaises semblent parfaitement conscientes des cybermenaces qui pèsent sur elles.

Plus de la moitié des RSSI français estiment que la direction de leur entreprise ne prête pas assez attention à la stratégie de cybersécurité, et seuls 14 % d’entre eux pensent que leur entreprise est prête à faire face à une cyberattaque.

Il est temps de faire changer les mentalités rapidement. La cyberdéfense ne doit plus être considérée comme une préoccupation des équipes de sécurité uniquement. Le facteur humain est désormais considéré comme la principale porte d’entrée des entreprises. Les employés à tous les niveaux, dans tous les services, peuvent mettre leur entreprise en danger. Pour mettre en place une défense solide, il est nécessaire de sensibiliser les utilisateurs aux menaces les plus fréquentes et leur faire prendre conscience que leurs actions peuvent avoir de lourdes conséquences.