Olivier Hamon, Citalid : Face à une menace de plus en plus présente et protéiforme, Citalid est le GPS pour vous guider dans vos choix
janvier 2020 par Marc Jacob
Lors de l’édition 2020 du FIC, Citalid présentera les dernières évolutions de sa plateforme qui permet de quantifier le risque cyber sous forme d’exposition financière. Cette plateforme a obtenu le prix spécial du Jury de la startup du FIC 2020. Olivier Hamon, Directeur Technique de Citalid considère que face à une menace de plus en plus présente et protéiforme, il vous faut adopter une logique d’arbitrage, choisir vos combats pour optimiser vos budgets. Citalid est le GPS qu’il vous faut pour vous guider dans vos choix.
Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2020 ?
Olivier Hamon : Lors de l’édition 2020 du FIC, nous aurons le plaisir de présenter les dernières évolutions de notre plateforme. Le prix spécial du Jury de la startup du FIC 2020, remporté par Citalid, constitue d’ailleurs une reconnaissance certaine de nos innovations. Notre solution logicielle est en effet la première à être capable de quantifier le risque cyber sous forme d’exposition financière afin de simuler différents plans d’investissement, et ainsi de déterminer la meilleure stratégie à adopter. De récentes améliorations, codéveloppées avec un client historique de Citalid, permettent d’estimer la rentabilité (ROI) de l’adoption d’une nouvelle solution de sécurité, ce qui constitue un cas d’usage unanimement approuvé par le marché.
Notre modèle repose sur une connaissance fine de la menace, via des données de Cyber Threat Intelligence et de contexte géopolitique. Notre nouvelle interface utilisateur permet de présenter les résultats de nos simulations à tous les niveaux décisionnels de l’organisation.
Enfin, nous présenterons également les synergies potentielles de notre plateforme avec les acteurs de la cyber-assurance, aussi bien côté assuré, dans le but d’estimer la rentabilité d’un produit d’assurance, que côté assureur, pour piloter la gestion d’un « portefeuille d’assurés ».
Global Security Mag : Selon-vous, comment l’humain peut-il être acteur de la cybersécurité, alors qu’il est essentiellement regardé aujourd’hui comme victime ou comme auteur ?
Olivier Hamon : Il est vrai qu’aujourd’hui, l’ingénierie sociale place l’humain au cœur de la cybersécurité. Certaines études montrent en effet que 99% des attaques reposent sur une action humaine, le plus souvent en invitant la victime à ouvrir un document piégé ou à suivre un lien malveillant, via un e-mail de phishing : comme le veut l’adage, la principale vulnérabilité se situe entre la chaise et le clavier !
Cela constitue donc un point faible majeur, mais qui peut aussi devenir un point fort : une bonne sensibilisation des employés peut limiter drastiquement ce risque en apportant à chacun une prise de conscience des risques et des techniques potentiellement mises en œuvre. Dès lors, chacun doit appliquer les bonnes pratiques de base pour limiter au maximum ces risques : utiliser des canaux de communication garantissant l’identité de l’interlocuteur et l’intégrité du contenu des messages, ne pas ouvrir de document ni suivre de liens suspects, ne pas installer de logiciels ni connecter des appareils non validés, etc…
Chacun à son niveau doit rester alerte quant au risque cyber, et en particulier en matière d’ingénierie sociale, afin de faire obstacle aux vecteurs d’attaque les plus courants.
Global Security Mag : Quels conseils pourriez-vous donner aux organisations pour qu’elles parviennent à impliquer les décideurs et sensibiliser leurs utilisateurs ?
Olivier Hamon : Il est en effet essentiel que chacun, à tous les niveaux de l’organisation, soit impliqué dans la cybersécurité, aussi bien au niveau des utilisateurs, comme nous l’avons vu précédemment, qu’au niveau décisionnel.
Les décideurs doivent prendre conscience qu’aucune organisation n’est à l’abri vis-à-vis du risque cyber. Les exemples récents sont nombreux dans des secteurs aussi variés que critiques tels que les établissements éducatifs, les organismes d’état et les services publics, les services financiers, les industries stratégiques, les cabinets médicaux, les associations sportives, les petites et moyennes entreprises, etc. De plus, il s’agit à ce niveau d’avoir une approche pragmatique du problème, en présentant ce risque dans le langage des décideurs. L’approche de Citalid est justement de transformer des données techniques et contextuelles en données financières objectives, que les décideurs ont l’habitude de manipuler pour arbitrer. Notre mission première est de favoriser une prise de décision cyber éclairée. Cette démarche permet de faciliter à la fois la prise de conscience mais aussi la prise de décision concernant les investissements à réaliser.
La sensibilisation des utilisateurs peut en outre se faire de différentes manières : les formations en ligne, comme le MOOC SecNumacadémie de l’ANSSI, sont un moyen simple de fournir une excellente compréhension du risque cyber. Fournir des exemples d’hameçonnage ciblé (« spear phishing »), ou même avoir une Red Team qui teste également les failles humaines permet de sensibiliser efficacement les utilisateurs. L’important est avant tout de communiquer sur ces risques, et cette communication doit non seulement venir du service informatique, mais également de la direction.
Global Security Mag : Comment les technologies doivent-elles évoluer pour une sécurité au plus près de l’utilisateur ?
Olivier Hamon : La tendance des applications est souvent de considérer la sécurité comme une fonctionnalité parmi d’autres, parfois prise en compte tardivement dans le cycle de développement. L’exemple de l’IoT est frappant, les premiers standards ignorant totalement cet aspect pourtant crucial dans ce domaine ! Au contraire, les technologies devraient garantir la sécurité "by design", en intégrant cette contrainte au plus tôt dans leur développement. C’est le cas par exemple de certaines applications de messagerie comme Olvid, qui a d’ailleurs reçu le prix de la startup FIC cette année.
Il faut rapprocher la sécurité, et notamment l’authentification, de l’utilisateur lui-même. Les authentifications multi-facteurs, se reposant souvent sur l’envoi de SMS ou, mieux, sur un générateur de token, sont un bon moyen en ce sens. L’utilisation de données biométriques est également un axe à explorer davantage, même si certaines technologies sont arrivées sur le marché avant d’être tout à fait matures (par exemple les systèmes de reconnaissance faciale, trop peu robustes par le passé).
Global Security Mag : Quelles actions les acteurs de la cybersécurité peuvent-ils mettre en place pour attirer de nouveaux talents ?
Olivier Hamon : Les besoins dans le secteur de la cybersécurité sont de plus en plus forts, et le recrutement de nouveaux talents devient un enjeu d’autant plus important. Les acteurs de la cybersécurité doivent s’impliquer dans les cycles de formation, afin d’une part d’augmenter la visibilité des étudiants sur ce secteur tout en les sensibilisant, et d’autre part d’être au plus près des nouveaux talents en devenir. Citalid s’est d’ailleurs toujours impliquée depuis son lancement, dans plusieurs formations et sessions de sensibilisation de haut niveau : cycles Intelligence Economique et séminaires jeunes de l’IHEDN, formations juridiques axées cybersécurité, cryptographie et protection des données à caractère personnel à l’Université Paris 2 Panthéon-Assas notamment mais aussi pour plusieurs entreprises.
Par ailleurs, les cycles de formation proposant une formation en alternance sont de plus en plus courant, à tous les niveaux de formation, et sont un excellent moyen de détecter les nouveaux talents au plus tôt.
Global Security Mag : Selon vous, à quoi pouvons-nous nous attendre en termes d’attaques et de défense pour 2020 ?
Olivier Hamon : Dans la continuité de 2019, nous devons nous attendre à une augmentation significative des attaques de type ransomware ou exfiltration de données à but lucratif. Les attaques combinent d’ailleurs de plus en plus souvent ces deux approches. Elles sont souvent d’une sophistication technique faible ou moyenne, exploitant parfois des outils malveillants disponibles « sur étagère ». Leurs auteurs peuvent cependant faire preuve d’une grande créativité, notamment dans leurs messages de phishing. Le botnet Emotet, qui a repris son activité en fin d’année 2019, utilise souvent des faits d’actualité comme support de ses mails de phishing : dernièrement, il exploitait la sortie du livre d’Edward Snowden pour diffuser un PDF malveillant, ou plus récemment en exploitant la popularité de Greta Thunberg, toujours dans le but d’amener l’utilisateur à ouvrir une pièce jointe malveillante.
Les techniques de défense sont de plus en plus sophistiquées, les technologies d’apprentissage automatique constituant un atout important pour faciliter la détection des incidents. Cependant, ces outils sont également de plus en plus entre les mains des acteurs malveillants, ce qui leur permet d’une part de tromper certains systèmes de défense se reposant sur des modèles d’apprentissage automatique, mais également de perfectionner leurs propres systèmes offensifs. Il est possible d’envisager une course aux mesures défensives et offensives utilisant ces nouvelles technologies, la meilleure approche restant toujours de combiner, avec intelligence et créativité, plusieurs techniques de défense en fonction de son contexte et de ses menaces… et de les maintenir à jour !
Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?
Olivier Hamon : Face à une menace de plus en plus présente et protéiforme, il vous faut adopter une logique d’arbitrage, choisir vos combats pour optimiser vos budgets. Citalid est le GPS qu’il vous faut pour vous guider dans vos choix, puisque vous pourrez savoir : où vous vous situez en prenant en compte votre niveau de défense, votre contexte business et les menaces qui vous sont propres ; où vous devez aller, en fonction de la stratégie de gestion du risque de votre entreprise et son appétit au risque ; et surtout quel est le chemin, c’est-à-dire le plan d’investissement, le plus efficace et le plus rentable à emprunter pour y arriver. Mais notre innovation ne s’arrête pas là : pour filer la métaphore du GPS, nos algorithmes sont également capables de recalculer dynamiquement votre roadmap si de nouvelles menaces – c’est-à-dire de nouveaux obstacles – apparaissent, ou si votre niveau de défense – c’est-à-dire votre nouvelle position – évolue.
Rejoignez-nous pour construire ensemble, et pour la première fois, une stratégie de gestion du risque cyber sur-mesure et orientée ROI !
Articles connexes:
- Maxime Alay-Eddine, Cyberwatch : « Cyberscore » pour mieux appréhender les risques liés aux vulnérabilités
- Romain Quinat, Nomios : Commencez à implémenter de l’automatisation de réponses à incidents
- Régis Fattori, Bertin IT : Pensez prévention et pas seulement détection
- Arnaud Laprévote, PDG de LYBERO.NET : Faites des backups ! Chiffrez ! Formez !
- Michel Gérard, CEO de Conscio Technologies : La sensibilisation n’est pas un projet, c’est un processus
- AlgoSecure : le RSSI doit être un éducateur des bonnes pratiques SSI et un intermédiaire entre la direction et les prestataires en cybersécurité
- Yann LE BAIL, BYSTAMP : Donnez à l’utilisateur les moyens de se protéger et de protéger ses données en toute transparence et simplicité
- François Feugeas, Oxibox : Il est temps de se pencher sur la résilience de votre SI !
- Sébastien Gest, Vade Secure : il faut appréhender la sécurité du point de vue de la remédiation
- Roland Atoui, Red Alert Labs : les RSSI doivent instaurer des cadres de sécurités adaptés aux contraintes techniques et commerciales de l’IoT
- Axelle Saim, SANS Institute EMEA : la formation est la cheville ouvrière qui permet aux équipes SSI de mieux se prémunir contre les menaces
- Benoit Grunemwald, ESET France : La cybersécurité est enfin un sujet de comité de direction !
- Marco Rottigni, Qualys : La conformité est là pour aider. Adoptez-la !
- Florian Malecki, StorageCraft : n’oubliez pas de déployer des solutions de de protection et de restauration des données et des systèmes
- Lionel MOURER, ATEXIO : Les échanges avec les pairs et la sensibilisation des équipes sont primordiaux
- Fabrice CLERC, 6cure : Pensez « défense globale », et méfiez-vous de l’illusion d’être protégés !
- Benjamin Leroux, Advens : les RSSI doivent proposer une sécurité à valeur ajoutée pour que leur organisation tire profit de la révolution numérique !
- Arnaud Pilon, IMS Networks : La clé du succès en matière d’incident et de crise cyber a toujours pour dénominateur commun l’humain
- Frédéric Bénichou, SentinelOne : il est primordial que les entreprises consacrent leurs efforts à la protection du Endpoint
- Antoine Coutant - SYNETIS : La sensibilisation à la SSI est une des pierres angulaires de la cybersécurité
- Hani Attalah, iViFlo : les RSSI doivent projeter d’avantage leur mission dans les préoccupations et les objectifs du COMEX
- Fabrice Tusseau, APIXIT : nous nous efforçons de protéger votre capital « Data » mais aussi votre empreinte numérique
- Luc d’Urso, Atempo.Wooxo Group : Les RSSI doivent privilégier les solutions souveraines
- Renaud GHIA, TIXEO : Pour envisager un avenir serein, la cybersécurité doit être pensée au quotidien par tous, pour tous et s’intégrer dans la culture commune
- Hervé Schauer, Président d’HS2 : Les acteurs de la sécurité doivent poursuivre leur effort de communication
- Sylvain Stahl, SonicWall : L’utilisateur n’étant pas un expert en cybersécurité, la technologie doit donc faire ce travail à sa place
- Florent Fortuné, Forcepoint : Comprendre le comportement est la clé de la cybersécurité moderne
- Théodore-Michel Vrangos, I-TRACING : les ressources Shadow IT dans le viseur des attaquants
- Renaud Bidou, Trend Micro : pensez toujours à la cohérence des solutions de sécurité déployées !
- Bastien Legras, Google Cloud : Soyez objectifs, appuyez vous sur des faits, des réalités et non sur des suppositions ou des fantasmes
- Alexandre Pierin-Neron, Cybereason : les RSSI doivent devenir des évangélistes sécurité pour faire comprendre les enjeux de la cyber
- Alexandre Souille, Olfeo : il faut privilégier les solutions expertes pour mieux protéger son organisation
- Jean-Christophe Vitu, CyberArk : les RSSI doivent aligner leur stratégie de sécurité avec les nouvelles pratiques technologiques
- Norman Girard, de Varonis : En gagnant en visibilité sur les données, les RSSI pourront démontrer que les informations sensibles de l’entreprise sont conservées en toute sécurité
- Jérôme Notin, Cybermalveillance.gouv.fr : Usez et abusez de notre kit de sensibilisation !
- Sébastien Jardin, IBM Security France : La cybersécurité est un moyen de réduire le risque digital
- Arnaud Lemaire, F5 Networks : les RSSI doivent mettre un accent particulier sur la sécurisation des API
- Pierre-Louis Lussan, Netwrix : le RGPD, doit être perçu par les RSSI comme une opportunité d’obtenir des investissements en cybersécurité
- Fabien Pereira Vaz, Paessler AG : PRTG Network permet de superviser le bon fonctionnement des solutions de sécurité
- Eric Heddeland, Barracuda Networks : Soyez vigilants à chaque instant et prêts à de nouvelles attaques
- Laurent Oudot, CTO de TEHTRIS : les RSSI, doivent bien prioriser leur choix de solutions et d’en évaluer l’efficacité par des tests appropriés
- Christophe Auberger, Fortinet : Les RSSI doivent commencer à regarder très sérieusement les technologies disruptives, comme la Deception
- Frédéric Rousseau, Hiscox : l’assurance des cyber-risques à cet avantage : c’est un produit construit sur les besoins clients
- Edouard Camoin, 3DS OUTSCALE : Recherches et partage sont les clés du monde de demain
- Diane Rambaldini, ISSA FRANCE SECURITY TUESDAY : Soyez positifs, même si ce n’est pas drôle tous les jours
- Guillaume Charon, Genetec : Le meilleur fournisseur est celui qui place la cybersécurité avant tout
- Christophe Jolly, Vectra : Les équipes de sécurité doivent considérer l’approche comportementale pour la détection et la réponse aux menaces
- Eric Antibi, Palo Alto Networks : Les RSSI doivent penser à la cybersécurité de façon globale
- Bertrand Augé, Kleverware : L’humain est au cœur de la cybersécurité
- Jean-Dominique Quien, inWebo : Nous souhaitons aider les RSSI à sécuriser les accès aux ressources qu’ils ont la mission de protéger
- Paul Tolmer, Mailinblack : Il est temps de miser sur un acteur Made in France !
- Coralie Héritier, Directrice d’IDnomic et Spécialiste des Identités Numériques chez Atos : l’Europe a pris la mesure des enjeux et la nécessité de coopérer pour avoir un positionnement fort dans le monde numérique
- Hervé Rousseau, CEO d’OPENMINDED : Le pragmatisme du RSSI est une des clés pour permettre d’adapter une posture de sécurité pertinente
- Adrien Petit, Weakspot : RSSI, changez de posture, pensez attaquant !
- Dagobert Levy, Tanium : Il est essentiel que l’humain soit partie prenante du dispositif de sécurité de l’entreprise
- Stéphanie Ledoux, ALCYCONIE : Nombreuses sont les entreprises qui ressortent grandies d’une crise, parce qu’elles ont su la gérer avec pertinence !
- Gérôme Billois, Wavestone : mettez-vous dans les yeux de l’attaquant !
- Vincent Meysonnet, Bitdefender : minimiser les conséquences d’une violation de données peut déjà faire la différence
- Xavier Lefaucheux, WALLIX Group : Nos solutions réduisent les risques de sécurité par la mise en place d’une approche « Zero Trust »
- Eric Fries, ALLENTIS : le social engineering contourne les protections techniques
- Dalila Ben Attia, Terranova Security : les actions de sensibilisation peuvent faire la différence pour lutter contre le phishing
- Alain SCHNEIDER, Cogiceo : Notre mission a toujours été de mettre son expertise technique au service de la sécurité de ses clients
- Bernard Debauche Systancia : Les RSSI sont des facilitateurs de business et doivent être perçus comme tels au sein des instances dirigeantes de leurs organisations
- Nabil Bousselham, Veracode : Un bon RSSI doit toujours avoir une vue d’ensemble de toutes les infrastructures informatiques de l’entreprise
- Cyrille Badeau, ThreatQuotient : Le risque Cyber nécessite d’avoir recours au Cyber Renseignement !