Du 28 au 30 janvier dernier s’est déroulée la troisième édition du Forum International de la Cybersécurité à Lille Grand Palais. Cet événement annuel sur le thème de la cybersécurité est une référence en Europe et est un lieu d’échange entre spécialistes cyber, agents gouvernementaux et entreprises. L’édition 2020, qui a accueilli plus de 12 500 visiteurs, autour du thème « Replacer l’humain au cœur de la cybersécurité », a été l’occasion de découvrir ou redécouvrir des concepts pour mieux protéger les systèmes, mais aussi les utilisateurs.

Nos experts ont retenu de ce salon 5 thèmes clés.

 

Padlock #ZeroTrust

 

Le Zero Trust est une manière d’appréhender la sécurité d’un système informatique pour faire face aux nouvelles menaces apparues avec les évolutions technologiques et comportementales.

Le principe de cette approche est de remplacer la sécurité périmétrique des réseaux d’entreprise par une sécurité ayant pour pierre angulaire l’identité des utilisateurs et des dispositifs d’accès aux ressources. Dans ce paradigme, aucune confiance n’est accordée à un utilisateur sur la simple foi de son emplacement réseau. Tout accès est sécurisé, contrôlé et tracé.

Abordé dans de nombreux talks et tables rondes, le concept du Zero Trust fait l’objet d’un article dédié sur le blog de Klee.

Notre conviction

Les responsables des systèmes d’information et les décideurs doivent prendre en compte les nouvelles problématiques liées à la démocratisation et à la migration vers le Cloud. Les systèmes, de plus en plus ouverts, ne peuvent plus se limiter à une approche de protection périmétrique, et il est nécessaire de considérer, en plus, une approche Zero Trust.

 

signature #CybersecurityAct

Ce règlement, adopté le 7 juin 2019 par le Conseil de l’Union Européenne, légitime de façon permanente l’agence européenne pour la cybersécurité (ENISA), mais aussi définit un cadre de certification de cybersécurité pour harmoniser les méthodes et process d’évaluation au niveau européen. Le FIC 2020 en a profité pour faire un état des lieux un an après son adoption. De niveaux disparates, les process de certification, d’un pays européen à l’autre, sont parfois faibles par rapport à ceux établis en France. Ainsi, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) qui assure la mission d’autorité nationale en France devrait pouvoir garder ses propres schémas de validation en attendant qu’une harmonisation plus forte et équilibrée s’opère. La volonté de se diriger vers une souveraineté numérique européenne se confronte à des difficultés de passage à l’échelle, de limites structurelles (beaucoup de Start-Up, des moyens financiers supplémentaires à déployer). Mais dans l’ensemble, un an après ce règlement, des actions se sont mises en place et les efforts se multiplient pour faire de l’Europe l’un des leaders dans le domaine de la cybersécurité.

Par ailleurs, en lien avec ce règlement, Guillaume Poupard, directeur général de l’ANSSI, lors de son intervention le mercredi 29 janvier, en a profité pour affirmer la volonté de la France d’être un acteur majeur de la cybersécurité, en insistant sur la nécessité pour l’Europe d’être souveraine dans ce domaine. En France, ces actions se traduisent notamment par la création d’un Campus Cyber à Rennes, un centre dédié pour favoriser les échanges entre les acteurs du domaine. De plus, l’annonce de la création de la plateforme GALLIA est encore un moyen supplémentaire pour atteindre cet objectif de partage et de collaboration.

Notre conviction

Le Cybersecurity Act offre l’opportunité à la France et à l’Europe de se positionner stratégiquement dans l’espace cyber. Les entreprises doivent s’investir humainement et financièrement pour contribuer aux développements et à la montée en compétences de leurs collaborateurs. Il faut avoir des experts et des gens qualifiés dans des secteurs de la cybersécurité qui, aujourd’hui, sont en pénurie, mais demain, seront pourvus par les meilleurs. Il ne faut pas rester en queue de peloton et profiter des accélérateurs offerts par ces règlements, qui favorisent l’entraide et les échanges entre les acteurs privés et étatiques.

 

ia  #IA

Terme galvaudé et un tantinet racoleur, l’intelligence artificielle a cependant une réelle utilité pour aider les acteurs du monde cyber tant pour se protéger que pour identifier des vecteurs d’attaque. L’IA est de plus en plus étudiée pour ses capacités à détecter et prévenir les menaces cyber. Elle commence à apparaître dans des solutions d’aide à la récolte et l’analyse des logs voire à la prise de décision pour réagir au plus tôt aux attaques. Des acteurs de la cybersécurité travaillent également sur des méthodes et des outils fondés sur l’IA pour développer des solutions d’audit de sécurité, comme par exemple dans le domaine des tests de pénétration.

Deux sujets majeurs pour la France, l’IA et la cybersécurité montent en puissance et deviennent des enjeux stratégiques.

Notre conviction

Une bonne maîtrise du domaine est indispensable pour distinguer de véritables mécanismes d’intelligence artificielle (réseaux de neurones, systèmes à apprentissage, plus généralement) d’un simple algorithme déterministe. En effet, beaucoup d’entreprises emploient ce terme comme un levier marketing pour proposer des produits qui, intrinsèquement, ne font qu’automatiser certaines tâches. Bien identifier les technologies est primordial afin de comprendre les apports stratégiques de l’intelligence artificielle à la sécurité des systèmes d’information.

 

bug #BugBounty

 

Loin d’être nouvelle, cette pratique se renforce et se diffuse de plus en plus auprès des professionnels pour déceler les moindres bugs ou vulnérabilités dans les applications développées.

Le principe de ce programme ? Récompenser les personnes (professionnels ou amateurs) qui identifient une ou plusieurs vulnérabilités, la récompense variant en fonction de la gravité de ces dernières. L’avantage d’un tel processus est de profiter de l’expérience de plusieurs profils différents, parfois absents au sein de la société, qui sont spécialisés dans les problématiques de cybersécurité. En France, la Start-Up Yes We Hack propose une plateforme pour faciliter le lien entre les entreprises et les Hunters, chasseurs de bugs/vulnérabilités, en créant des programmes de Bug Bounty adaptés à un périmètre défini par l’entreprise. Cette année, en collaboration avec Yes We Hack, la Croix-Rouge française a proposé de vérifier son application durant un Live Bug Bounty au FIC.

C’était aussi l’occasion de sensibiliser aux problématiques de cybersécurité, qui sont présentes dans beaucoup de nos appareils quotidiens, en assistant, par exemple, à une démonstration de hack d’un véhicule.

Les programmes de Bug Bounty sont financièrement intéressants pour les entreprises et il est souvent moins coûteux de rémunérer des Hunters en corrigeant en amont les vulnérabilités plutôt que de réparer après une attaque et de subir des conséquences financières, juridiques et de réputation.

Notre conviction

Le Bug Bounty est un des moyens pour vérifier la robustesse d’une application face aux menaces cyber. Néanmoins, il est illusoire de penser que la seule mise en place d’un tel outil puisse suffire à garantir la sûreté du code produit. Il est donc essentiel de toujours mettre en place l’ensemble des processus nécessaires au respect des bonnes pratiques en matière de sécurité (formation, sensibilisation, intégration de briques de sécurité dans la Plateforme d’Intégration Continue, audits, etc.).

 

law #RGPD

Près de deux ans après la mise en place du Règlement Général sur la Protection des Données, le RGPD s’installe dans la plupart des discours portés par les entreprises et les acteurs de la cybersécurité. La présence de la CNIL qui en a profité, dès le premier jour du FIC, pour publier le guide RGPD du développeur montre la volonté des acteurs étatiques d’aider au plus près les créateurs des solutions numériques de demain. Le sujet ne doit pas être mis de côté et chaque entreprise ou administration publique doit se doter des outils et moyens nécessaires pour être conformes à cette directive européenne, au risque de subir de lourdes amendes. Les notions de security by design / privacy by default se démocratisent et les stratégies associées se généralisent, en parallèle de la montée en puissance des initiatives de valorisation de la donnée (datalake, opendata etc.).

Protéger les données et les valoriser sont deux processus qui ne sont pas antagonistes !

Notre conviction

Les autorités aussi bien européennes que françaises s’évertuent à faire respecter le RGPD, ce que démontrent les nombreuses amendes infligées aux entreprises depuis 2018. Ces dernières doivent donc faire le nécessaire pour respecter la législation en s’équipant des outils mis à disposition pour les aider. La CNIL recense ces outils sur son site dans une démarche gagnant/gagnant pour ne léser personne. La mise en place systématique d’un Délégué de la Protection des Données par les entreprises permet de répondre aux problématiques du RGPD. Les entreprises qui n’auraient pas encore pris ce tournant risquent, tôt ou tard, de faire face à des incidents. La gestion des données à caractère personnel est un métier en soi qui requière des acteurs sensibilisés et impliqués.

 

Conclusion

Les différentes thématiques abordées permettent de se rendre compte d’un nombre non-négligeable d’éléments qui gravitent autour de la sphère cyber. La cybersécurité comprend aussi bien des aspects opérationnels que décisionnels voire juridiques. Il est donc nécessaire, pour les acteurs tant privés que publics de réunir tous les profils nécessaires à définir la meilleure stratégie à venir.

La thématique la plus prégnante concerne la garantie de sécurité et de disponibilité des systèmes dans un écosystème où les frontières numériques ont disparu et où le contrôle des ressources et des accès se généralise.

Le défi majeur pour les entreprises est d’adopter une informatique ubiquitaire, capable d’abolir les frontières de l’espace régi par une sécurité périmétrique, tout en maintenant le niveau de sécurité. La situation actuelle n’est qu’une preuve de la nécessité de changer les comportements, afin de garantir une continuité de service à tout instant.

Le FIC 2020 a largement abordé le thème du Zero Trust, qui est aujourd’hui l’approche privilégiée pour répondre à ces enjeux. Il faut avoir une vision de la sécurité centrée sur l’identité de la personne, ce qu’apporte aujourd’hui l’approche Zero Trust. La sécurité périmétrique, seule, devient obsolète face au changement de comportement. Un article dédié, bientôt disponible sur le blog, vous présentera les enjeux du Zero Trust et notre analyse de ce mouvement de fond.

Tags
#Sécurité