Tech.Rocks K2

Meetup Tech.Rocks x Hack In Paris

Publié le 16 juillet 2021

Meetup Tech.Rocks x Hack In Paris

La cybersécurité, une priorité dans les entreprises ? Comment ce sujet y est-il réellement perçu ? Comment l'infuser à tous les niveaux des structures ? Quatre tech leaders se sont penchés sur ces questions lors du meetup Tech.Rocks du 8 juillet 2021. Replay.

Speaker who’s who :

  • Aroua Biri, CEO de FRCYBER-Weesec.
  • Christophe Ternat, co-fondateur et CEO de Cyrating.
  • Vincent Hautot, CTO de Sysdream, entreprise qui organise le Hack in Paris.
    Ce meetup a été animé par Aurore Malherbes, co-fondatrice & CTO de Padok.

Comment la cybersécurité est-elle perçue en entreprise ?

Vincent : Selon moi, la cybersécurité est souvent mal traitée en entreprise. On la voit comme un centre de coût qui complexifie les projets et parfois les relations au sein des équipes. Elle fait apparaître des problèmes techniques ou même d’organisation.

Malheureusement, elle est rarement perçue comme un élément différenciant, notamment dans les business orientés produits. Il existe pourtant un certain nombre de qualifications dédiées aux produits et aux services qui permettent de se distinguer sur son marché.

Aroua: La cybersécurité est une question centrale pour les CEO. C'est un budget. Elle représente toutefois des opportunités qu’il convient de connaître. Gain de leads, impact sur le closing, réduction du temps passé en due diligence… D’ailleurs, ce dernier point représente de plus en plus d’intérêt.

Christophe : La cybersécurité est un sujet complexe. On peut la percevoir de deux façons. La première est liée à la conformité. On essaie de formaliser des dispositifs mis en place pour répondre à des attentes de parties prenantes. On procure de la confiance. Ça, c’est une grande partie des activités de sécurité dans les entreprises.

L’autre façon de la voir est plus orientée sur l’efficacité, plus tech. Elle consiste à construire, maintenir, améliorer les dispositifs pour limiter les risques. On parle plus souvent d’architectures et d’organisations.

Dans les années à venir, il va falloir être vigilant à ce que ces deux visions ne se distancent pas trop. Faire en sorte que ce qui est décrit dans les process commerciaux ne soit pas différent de ce qui est appliqué en réalité.

Comment s’emparer de la cybersécurité en tant que CTO ?

Christophe : Le premier point dont il faut s’affranchir est celui de la complexité. La cybersécurité suppose du vocabulaire ou des concepts pas toujours admis de tous. Le rôle du CTO est de simplifier, de vulgariser. Le but est que tout le monde comprenne ce que c’est et le sens. Ensuite, la priorisation entre en compte dans un second temps.

Vincent : À la suite d’échanges que j’ai avec des CTO et des pairs, force est de constater que malheureusement la cybersécurité est traitée par le prisme du management de patch, le développement logiciel. À savoir, on part d’une liste à la Prévert de patch à installer. On les déploie. On déploie des fixes sur des applications. Et dans le prolongement les audits sont vécus comme une sanction.

a
En termes de priorisation, le CTO a le rôle de faire sortir le sujet du giron technique. D’expliquer les concepts et les difficultés.

Par ailleurs, j’ai pu très régulièrement noter que les organisations font souvent de l’analyse de risques sans pour autant partager les résultats. Les éléments sont bien identifiés dans les scénarios de menaces mais personne, hormis les tech, n’est à même de comprendre les difficultés.

Aroua : Parfois, pour gagner des deals, certains CTO acceptent des listes à la Prévert. Et il arrive qu’un audit mené un peu plus tôt que prévu les rattrape. D’où l’importance d’anticiper au maximum les problèmes en amont.

En effet, le rôle du CTO est de faire avancer les choses grâce à la vulgarisation. Cela peut passer par la gamification, par exemple. Des outils permettent de sensibiliser, d’entraîner des équipes à la rédaction d’incidents. Clairement, il faut faire adhérer tout le monde.

La cybersécurité nécessite des armes ?

Christophe: Comme toutes disciplines, s’armer en matière de cybersécurité est nécessaire. Pour cela, il faut des moyens. Cela suppose de parler et pas seulement avec ceux qui font de la sécurité. Il s’agit ainsi d’adopter d’autres codes. Il faut accepter d’ouvrir un peu sur ce que l’on fait.
Et puis, il me semble important aussi de ne pas focaliser la sécurité uniquement sur ce que l’on développe. En tant que CTO, on a tendance à appliquer la sécurité sur son appli.
Or, bien souvent, si on se place du point de vue assaillant, il est difficile d’attaquer quelque chose de spécifique à une entreprise. Autant viser ce qui est largement déployé : Microsoft, Windows, les lecteurs de pdf, les lecteurs de mails… À partir du moment où le poste de travail est compromis, le système d’information est accessible.

Vincent : Un des pièges, en tant que CTO ou RSSI, est d’incarner la cybersécurité dans l’organisation. On devient alors la caution, voire le fusible. Et puis, on déresponsabilise l’organisation de sa propre sécurité. Tout le monde se dit : « c’est l’expert qui gère, c’est son domaine... ». Pour éviter cela, il faut casser les silos de l’utilisation de la cybersécurité, dans l’organisation.

Ceci étant, quelque chose me frappe dans nos métiers : l’amnésie dont on souffre. J’en veux pour preuve les vulnérabilités historiques comme les pings de la mort. Ils existaient déjà dans les années 90. Ils sont revenus en IPV6 dans les années 2000. Ils sont réapparus l’année dernière… On a un manque de mémoire opérationnelle. Et en face de ça, des solutions techniques toutes faites sont censées régler tous les problèmes. On se retrouve alors avec des formules magiques…

Comment fait-on adhérer les profils tech et non tech à la cybersécurité ?

zz
Aroua : Niveau CEO, pour les faire adhérer, les projeter dans de futurs deals ou dans du due diligence, est une démarche qui fonctionne bien. Il s’agit de raconter ce qui est arrivé à d’autres structures comparables.
Côté CTO, ils sont encore confrontés à l’enjeu de faire adhérer leurs développeurs à la sécurité. Passer par l’aspect automatisation peut être intéressant.
Ça rend le sujet concret. D’une façon générale, lorsque l’on commence à expliquer les choses, elles finissent par s’adapter. Tout ça prend du temps, demande de l’implication mais ça fonctionne bien au final.

Vincent : Pour régler les problèmes de sécurité, on est tenté de taper en amont, d’aller voir les développeurs, de les former aux bonnes pratiques. Effectivement ça marche, mais ça n’empêchera pas le phishing d’un collaborateur et un ransomware. La difficulté est de trop responsabiliser les équipes techniques et d’oublier tout un pan de la cybersécurité, à savoir l’utilisateur classique du moyen informatique. Il faut faire de la sensibilisation à ce niveau et dédramatiser pour éviter tout tabou. Il s’agit de faire en sorte que l’utilisateur qui a cliqué sur la mauvaise pièce jointe remonte naturellement l’information. C’est un vrai enjeu, car ce risque, seul l’humain peut le traiter.

Avez-vous des tips à partager ?

Christophe : Dans notre culture, on aime bien rencontrer le mur avant de réagir. La communication et la vulgarisation sont importantes. Je pense aussi qu’en tant que tech leader, il faut aussi qu’on se remette en cause. Par exemple, je suis assez frappé, quand je rencontre des sociétés, de voir à quel point, certaines ne connaissent pas leur système d’information.
Elles ne savent pas comment celui-ci est administré ou n’ont aucune idée du nombre exact d’accès internet. Si à la base, c’est de la tech, c’est aussi un sujet sécurité. Et puis , quand on met en place des systèmes de monitoring de sécurité, tout le marché oriente vers de l’IA pour détecter automatiquement les brèches. Or, interrogeons-nous déjà à la façon dont on utilise le SI en faisant le lien avec nos sujets du quotidien. La sécurité est du bon sens avant tout, de l’hygiène.

Comment mener une bonne veille sécurité ?

Christophe : Premier conseil, suivre le chanel Tech.Rocks dédié à ça (rires). Sinon, des sources, il y en a des centaines. Tout le monde peut en trouver. Le plus difficile, en revanche, est de se poser régulièrement 5 minutes sur les sujets de la cybersécurité pour les comprendre et les vulgariser. En faisant ça, on parvient à les rendre plus accessibles aux autres.

Aroua : Il y a, en effet, différentes sources pour s’informer mais le plus important est de sensibiliser en interne.

Vincent : La cybersécurité est un domaine vaste avec une pluralité de métiers. Si on connaît bien ses systèmes, ses actifs, on est capable de cibler sa veille sécurité.

Les formations de sensibilisation de l’ANSII sont-elles utiles ?

Christophe : Oui.

Comment ne pas être anxiogène quand on parle de cybersécurité ?

Vincent : Pour parler de la cybersécurité, il s’agit de dédramatiser, de parler du quotidien. Il existe des vidéos de grands groupes très bien faites. Elles évitent l’axe technique et préfèrent l’aspect risque, avec humour. Il faut en outre absolument contextualiser par rapport à ses cas d’usage à soi.

Aroua : Il m’arrive de former des jeunes et moins jeunes à devenir le RSSI de leur famille. C’est très amusant à faire, ça responsabilise. Parfois, par ricochet, la prise de conscience dans la sphère personnelle se déploie dans la sphère professionnelle.

Vincent : Le marketing de la peur fait beaucoup de mal au sujet. Ça le rend trop sérieux, la discipline un peu austère. Et, je ne suis pas certain que ce soit efficace. Force est de constater qu’il est souvent piloté par ça. On a tous l’impression que le pain testeur porte une cagoule derrière son ordi. C’est très caricatural. Ça mériterait d’être mieux traité notamment par les médias grand public.
D

À bientôt lors d’un prochain meetup Tech.Rocks. Les prochaines dates ? Accédez- y : https://www.meetup.com/fr-FR/Meetup-CTO-Tech-Rocks/