Mohamed Beghdadi, Hub One : La gestion de crise ne s’arrête pas à la remédiation mais doit intégrer l’après attaque
septembre 2021 par Marc Jacob
Hub One sera présent au FIC et aux Assises de la Sécurité au travers de ses sociétés Sysdream, Ovéliane et Oïkialog. A ces occasions, elle présentera son offre globale de cybersécurité qui s’articule autour de 5 grandes expertises : la prévention d’attaques sur les systèmes d’information, la formation et le cyber-entraînement via la plateforme MALICE (Sysdream), la mesure du risque et de la conformité des systèmes d’informations, le déploiement et l’intégration de solutions de cybersécurité et la supervision de l’écosystème de sécurité informatique via un SOC (Security Operational Center). Mohamed Beghdadi, Directeur Business Line SOC, Hub One considère que la gestion de crise ne s’arrête pas à la remédiation mais doit intégrer l’après attaque.
Global Security Mag : Qu’allez-vous présenter à l’occasion du FIC et des Assises de la Sécurité ?
Mohamed Beghdadi : Du fait de son savoir-faire historique et au travers des acquisitions des sociétés Sysdream, Ovéliane et Oïkialog, Hub One, opérateur de technologies digitales pour les entreprises, propose une offre globale en cybersécurité.
L’offre globale de cybersécurité que nous allons présenter sur Les Assises de la Sécurité s’articule autour de plusieurs grandes expertises : l’audit
la prévention d’attaques sur les systèmes d’information, la formation et le cyber-entraînement via la plateforme MALICE (Sysdream), la mesure du risque et de la conformité des systèmes d’informations, le déploiement et l’intégration de solutions de cybersécurité et la supervision de l’écosystème de sécurité informatique via un SOC (Security Operational Center).
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?
Mohamed Beghdadi : De manière générale, les attaques sont de plus en plus complexes et les attaquants prennent le temps d’infiltrer les systèmes en utilisant plusieurs vecteurs d’attaques. Les attaques sont aussi plus persistantes : un attaquant qui pénètre un réseau ou un terminal peut rester « dormant » jusqu’au moment opportun. Ainsi, l’accès au réseau peut être revendu comme une marchandise. Dans certains cas, l’attaque par ransomware, qui survient une fois le réseau contrôlé, peut servir à dissimuler une attaque par une autre.
Nous avons observé que les campagnes de phishing ont été plus nombreuses en 2021 et souvent en lien avec l’actualité politique, économique et sociale, comme la crise sanitaire. Les attaques par ransomwares se sont industrialisées (on achète un ransomware « sur étagère » et on l’utilise), les pratiques comme le social engineering (utilisation des vrais faux-profiles pour duper les victimes) ainsi que les attaques zero-day sont également en croissance.
GS Mag : Quid des besoins des entreprises ?
Mohamed Beghdadi : Cette diversification et cette complexification des attaques amènent les entreprises à une véritable prise de conscience des enjeux cyber. Cependant, elles sont encore dans une configuration où elles expriment majoritairement leurs besoins quand l’attaque a déjà eu lieu. La plupart d’entre elles ont une approche « réactive » plutôt que d’appréhender la cybersécurité avec une stratégie d’anticipation et de prévention. Il faut faire évoluer ce paradigme et les inciter à réaliser une cartographie précise des risques encourus pour mettre en place les process et les solutions adéquates (aligner sa posture sécurité avec ses objectifs commerciaux).
Encore aujourd’hui, la cybersécurité est vue comme un coût alors qu’elle doit être appréhendée comme un moyen de se démarquer de la concurrence. D’une certaine manière, cette perception de la cybersécurité rappelle l’émergence du numérique : les entreprises ne percevaient pas encore le ROI de leurs investissements.
Dans ce contexte, les sociétés ont besoin d’être conseillées et formées pour intégrer la gouvernance cyber dans leur développement commercial. Pour la plupart, elles n’ont pas encore intégré le fait que certaines cyberattaques sont d’origines étatiques et ont du mal à percevoir les enjeux géopolitiques sous-jacents qui peuvent les impacter.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Mohamed Beghdadi : Nous partons du principe que puisque les attaques sont de plus en plus complexes et vont continuer à se multiplier, il est important pour chaque entreprise de disposer d’une brique sécuritaire solide et évolutive offrant une capacité à être agile et flexible. Cela permet, in fine, de maîtriser et de piloter la gouvernance cyber par rapport à la gouvernance commerciale. L’erreur serait d’installer uniquement des produits cyber « à la mode » qui ne correspondent pas aux besoins métiers et business de l’entreprise ni aux risques identifiés.
Au sein de Hub One, notre démarche consiste à créer du liant entre la gouvernance cyber et l’opérationnelle pour nos clients. Notre objectif est de développer la partie conseil et audit afin de nous assurer que d’un point de vue opérationnel, la solution proposée est pertinente.
GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Mohamed Beghdadi : La pandémie et les confinements ont en effet bouleversé les modes de travail. Cependant, l’essor du télétravail qui en découle n’a fait qu’accélérer un processus de mise à plat du SI (gestion, traitement, stockage des données…). Il a imposé davantage l’utilisation d’outils informatiques dans l’environnement non-contrôlé qu’est le domicile des collaborateurs. Dans les faits, le système informatique de l’entreprise, avec l’utilisation massive des appareils mobiles y compris des imprimantes personnelles, s’étend aujourd’hui jusqu’à des éléments non contrôlés par les organisations.
Dans ce contexte, il est impératif de sensibiliser les salariés sur la manière dont ils utilisent les outils, notamment leur faire comprendre d’éviter d’utiliser un outil pour un autre usage que celui auquel il est destiné. C’est le premier pas pour éviter une intrusion malveillante. La sécurité de l’entreprise doit également être renforcée pour sécuriser le télétravail par exemple par la mise en place de liaisons sécurisés (VPN) et les mises à jour de correctifs de sécurité.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Mohamed Beghdadi : Il faut toujours douter ! Dès que l’on reçoit un email, une pièce jointe, un lien hypertexte. Un conseil que les entreprises doivent absolument donner à leurs collaborateurs car la majorité des intrusions sont issues d’erreurs humaines.
Quant à l’entreprise, elle doit définir le niveau acceptable de ses risques (quelles sont les données essentielles à protéger, celles qui sont essentielles pour l’activité commercial de l’entreprise) et les traiter sous la forme d’un plan d’actions (fonction de mon budget, mes ressources et mes priorités.) Si l’entreprise doit traiter les risques pour garantir un service sécurisé pour ses clients, elle ne doit pas oublier de garantir un niveau de sécurité a minima avec ses fournisseurs et ses prestataires. Il doit se demander si son prestataire a mis en place un niveau de sécurité suffisant lorsqu’il réalise des prestations de maintenance à distance, et si le service comptable a bien les outils pour protéger l’envoi de factures. Mon conseil est toujours de faire ce travail régulièrement, eu égard à l’environnement, et de se poser les questions suivantes : l’environnement actuel est-il propice aux attaquants ? Mon produit/service répond-il aux exigences de sécurité de mon marché national/international, de la réglementation ? C’est aussi là que Hub One intervient : apporter à nos clients une expertise sur le contexte car, comme évoqué plus haut, les entreprises ont du mal à percevoir les enjeux géopolitiques sous-jacents.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Mohamed Beghdadi : Le RSSI est là pour mettre en place une gouvernance, évaluer les risques et investir pour répondre aux enjeux. Mais la première question qu’il doit anticiper aujourd’hui est de savoir comment il va aborder les premières heures d’une crise/d’une attaque : suis-je suffisamment préparé ? D’où l’importance d’anticiper les actions à mettre en place, de définir quels sont les collaborateurs internes et les partenaires à mobiliser (quel est mon processus d’escalade/d’isolation/de remédiation/de communication) ou encore simuler les processus de cette crise peut aussi être un très bon exercice (faire le test de mobiliser les ressources, d’identifier la disponibilité des personnes et de s’assurer que les équipes dans la gestion de la crise ont bien identifié les procédures/processus à mettre en place). En étant bien préparé, il pourra mieux gérer l’attaque et les conséquences qui en découlent car une fois que la crise est lancée, c’est déjà trop tard. Il pourra surtout s’assurer que la gestion de la crise ne s’arrête pas à remédier, elle doit intégrer l’après attaque (apprendre de ses failles, gérer les conséquences juridiques, commerciales, etc..).
Pour tout renseignement : information@hubone.fr
Articles connexes:
- Ninon Pommerie, ProHacktive : Sherlock entre gain de temps pour identifier les machines vulnérables, et pertinence des recommandations
- Florent Skrabacz, Shadline : l’ « Abri Cyber Autonome » va devenir un hub de données pour remédier aux défaillances des SI
- Arnaud Le Men, ERIUM : l’optimisation des technologies Cyber et l’entraînement vont devenir une priorité majeure pour les RSSI
- Jean-François Hugon, EBRC : Pour tout chef d’entreprise, investir dans les certifications, c’est assurer la protection de son outil de travail et de son patrimoine !
- Frans Imbert-Vier, CEO d’UBCOM : Les RSSI doivent mettre en œuvre une bonne hygiène de sécurité pour répondre aux menaces
- David Cummins, Tenable : Les entreprises doivent revenir aux bases de la cyber-hygiène !
- Valentin Jangwa et Nicolas Liard, Bitglass : La généralisation du télétravail doit rimer avec sécurité !
- Mathieu Rigotto, CYBLEX Technologies : Les entreprises ont besoin de rationaliser et de simplifier la gestion de leurs attaques cyber
- Renaud GHIA, Président de TIXEO : La sécurité doit faire partie intégrante de la virtualisation des espaces de travail
- Christophe Auberger, Fortinet :Les RSSI doivent poursuivre leurs efforts pour atteindre la security-by-design garante d’une maîtrise des risques
- François Mazars, Unisys : les risques de ransomwares sont majeurs et aucune entreprise n’est à l’abri
- Boris Berger, Président de WaryMe : Nous vous aidons à organiser la réponse à ces menaces
- Frédéric Grelot, GLIMPS : Boostez l’intelligence de vos lignes de défense !
- Matthieu Iguenane, CEO de Digitalberry : Maîtrisons au plus vite la gestion des certificats numériques !
- Fabien Pereira Vaz, Paessler AG : PRTG Network Monitor permet de superviser le bon fonctionnement des solutions de sécurité
- L’équipe Secure-IC : Les entreprises doivent aborder la cybersécurité de bout en bout
- Sébastien Viou, Stormshield : Notre stratégie est de protéger les organisations et entreprises exploitant des infrastructures critiques et opérationnelles
- Belkacem Teibi, CEO Daspren : L’anticipation est une des clés pour bien se protéger
- Frédéric Lussignol, SPIE ICS : Le métier du RSSI implique d’être un bon communicant et de dialoguer avec les métiers
- Christophe Grangeon, Usercube : Les RSSI doivent prendre la mesure de l’enjeu et considérer les solutions françaises dans leurs appels d’offres
- Thomas Cribier, Rubycat : La Gestion des accès à privilèges (PAM) est un maillon essentiel dans la gouvernance du SI
- Sébastien Talha, Human : Arrêter les bots c’est arrêter les cyberattaques
- Guillaume Kauffmann, TRACIP : De la recherche de compromission à la gestion de crise
- William Culbert, BeyondTrust : Les entreprises doivent prendre conscience des risques associés et de leur surface d’attaque
- Antoine Lionet, NetWitness : L’humain doit être au cœur de notre monde technologique au côté des outils techniques
- Bogenschütz, et François Péchard, VEYAN : Le RSSI doit être le rempart contre les cybermenaces !
- Régis Fattori, ChapsVision : Les entreprises doivent copier leurs Bases de Données sensibles dans un Cloud SecNumcloud
- Philippe LUC, ANOZR WAY : Nous souhaitons aider les entreprises à adopter une politique de protection « people-first »
- Lise Lapointe, Terranova Security : En tant que RSSI, vous êtes chargé de créer et d’alimenter l’enthousiasme pour la cybersécurité
- Florian Malecki, Arcserve : Si la prévention contre les ransomwares échoue, le stockage immuable vous garantit la restauration de vos données !