LA TECH À L'ENVERS — Roch Auburtin Transcription nettoyée Intervenants : - Clément Donzel (animateur) - Roch Auburtin (invité, CISO de Visio Eve) ──────────────────────────────────────────────────────────────────────── 00:00:07 - 00:00:34 CLÉMENT DONZEL Aujourd'hui, j'ai le privilège d'accueillir un invité rare. Rare parce que les directeurs de la sécurité des systèmes d'information ne parlent pas souvent. Rare parce que notre invité du jour a une vue imprenable sur la réalité cyber des PME et ETI françaises. Roch Auburtin est le CISO de Visiativ, un éditeur de logiciels qui accompagne plus de 30 000 entreprises en France et à l'international, et dont certaines évoluent dans les secteurs très sensibles de la défense, de la santé ou encore du nucléaire. 00:00:34 - 00:00:52 CLÉMENT DONZEL Roch, c'est un homme qui voit les cyberattaques arriver de loin et qui passe ses journées à construire les remparts humains et technologiques pour les arrêter — pour son entreprise, mais également pour ses clients. Dans cette véritable masterclass, on va parler IA et nouvelles menaces, pilotage de la cybersécurité par les risques, conseils et bonnes pratiques pour les PME et ETI. 00:00:52 - 00:00:56 CLÉMENT DONZEL Mais surtout, on va parler du premier rempart et du meilleur pare-feu : l'humain. Bonjour. 00:00:56 - 00:00:58 ROCH AUBURTIN Bonjour ! 00:00:58 - 00:01:07 CLÉMENT DONZEL Est-ce que tu peux commencer par te présenter en quelques mots ? Quel est ton parcours jusqu'à devenir CISO d'une belle ETI française comme Visiativ ? 00:01:07 - 00:01:34 ROCH AUBURTIN Oui, alors je ne suis pas tout jeune, j'ai commencé en 89 quand même. J'ai fait une école d'ingénieur, et j'ai commencé par le développement — j'étais développeur sur des technologies comme C et SQL. On faisait beaucoup de développement autour des outils de CAO distribués à l'époque, c'était un peu les prémices du PLM, mais on appelait ça plutôt « système de gestion de la technique ». 00:01:34 - 00:01:53 ROCH AUBURTIN C'est ça. Pendant quelques années, après, j'ai été directeur technique, et puis j'ai plutôt occupé des postes de responsable R&D, directeur R&D, jusqu'en 2009. En 2009, je suis parti aux États-Unis pour créer la filiale. 00:01:54 - 00:02:26 ROCH AUBURTIN Qui s'appelait Visiativ Software, où j'ai beaucoup travaillé à faire vendre nos produits par des partenaires américains qui étaient dans l'écosystème IBM. Ce n'était pas simple, parce que c'était plutôt des gens qui avaient l'habitude de vendre du hardware. Les ventes complexes de logiciels, ce n'était pas leur cœur de métier. Mais j'ai fait un peu l'homme à tout faire : j'ai formé techniquement, formé commercialement, et j'ai accompagné les partenaires en avant-vente. 00:02:26 - 00:02:59 ROCH AUBURTIN C'était un peu compliqué à cette époque. C'était même en 2007 que je suis parti là-bas, donc en plein pendant la crise des subprimes. Et je suis revenu en 2009 — d'abord chez un hébergeur où j'étais responsable du pôle ergonomie, et après je suis reparti chez un éditeur de PLM avant de revenir chez Visiativ en 2014. 00:02:59 - 00:03:14 ROCH AUBURTIN Depuis 2014, j'ai été responsable de l'innovation, puis directeur de la R&D. Et depuis 2020, je suis donc le CISO. 00:03:14 - 00:03:18 ROCH AUBURTIN En français, le directeur de la sécurité des systèmes d'information de Visiativ. 00:03:18 - 00:03:27 CLÉMENT DONZEL OK. Et qu'est-ce qui t'a amené à la cybersécurité ? À ce rôle de CISO chez Visiativ ? 00:03:27 - 00:03:57 ROCH AUBURTIN En fait, dans les différentes fonctions que j'ai occupées, notamment en tant que directeur R&D, j'ai toujours eu affaire à des problèmes de sécurité et à des remontées de clients. C'était quelque chose qui m'intéressait, parce que je trouve que la cyber, pour quelqu'un qui a quelques années derrière lui en informatique, c'est une convergence de tout un ensemble de technologies. 00:03:57 - 00:04:26 ROCH AUBURTIN Des connaissances que j'avais dans le domaine de l'infrastructure, de l'hébergement, du cloud, du développement, des bonnes pratiques. Ça me plaisait beaucoup pour ça. Et je voulais faire la sécurité différemment — c'est-à-dire que je ne voulais pas faire la cybersécurité comme on le voit souvent : des responsables qui sont intransigeants, qui ne font aucun compromis et qui ferment toutes les portes. 00:04:26 - 00:04:32 ROCH AUBURTIN Ce n'est pas du tout comme ça que je voulais faire de la cyber. Je voulais montrer qu'on pouvait le faire autrement. 00:04:32 - 00:04:36 CLÉMENT DONZEL OK, super. 00:04:36 - 00:04:43 CLÉMENT DONZEL En tant qu'éditeur de logiciel, vous êtes à la fois fournisseur et partenaire de nombreuses PME et ETI. 00:04:43 - 00:04:44 ROCH AUBURTIN Oui. 00:04:44 - 00:04:51 CLÉMENT DONZEL Et comment cette double casquette influence-t-elle ta vision de la cyber ? 00:04:51 - 00:05:05 ROCH AUBURTIN Alors, déjà, il faut revenir sur ce qu'est Visiativ. Il y a plusieurs métiers. On a un métier d'intégrateur de solutions PLM, notamment Dassault Systèmes. 00:05:05 - 00:05:06 CLÉMENT DONZEL Ouais. 00:05:06 - 00:05:38 ROCH AUBURTIN Dassault Systèmes, oui. On est aussi éditeur depuis très longtemps, depuis 95, avec quand même plus de 150 développeurs à peu près au niveau de la R&D — ça c'est important. Et on fait aussi du consulting dans le financement de l'innovation. Ce sont des activités assez différentes, donc c'est assez intéressant d'avoir en charge l'ensemble du système d'information qui supporte ces activités. 00:05:38 - 00:06:03 ROCH AUBURTIN La partie R&D, c'est différent. Même s'il y a des équipes de dev dans beaucoup de DSI, c'est souvent un peu limité — un petit groupe de développeurs. Là, on a une grosse équipe de développement avec de vrais outils industriels. 00:06:03 - 00:06:29 ROCH AUBURTIN Une plateforme d'intégration continue, des processus qui sont assez complexes aussi. Ça, c'était assez challengeant à sécuriser. Et puis on a tout le cloud — on est éditeur SaaS — donc on a des clients qui nous confient leurs données. C'est la moindre des choses d'assurer une sécurité sur les différents axes que sont la confidentialité, l'intégrité, la disponibilité et la traçabilité. 00:06:29 - 00:06:32 ROCH AUBURTIN Il faut toujours revenir aux basiques. 00:06:32 - 00:06:42 CLÉMENT DONZEL Ça ressemble à quoi, le quotidien ? Une journée type pour toi ? Quels sont les sujets qui occupent le plus de temps ? C'est quoi la journée d'un CISO dans une ETI ? 00:06:42 - 00:06:50 ROCH AUBURTIN Tu voudrais plutôt qu'on parle d'une semaine ? On a beaucoup d'activités, partageons-les. 00:06:50 - 00:07:21 ROCH AUBURTIN On a modélisé nos activités selon plusieurs piliers. Le premier, c'est la gouvernance. On est certifiés ISO 27001 depuis de nombreuses années, et c'est important de piloter la sécurité, de piloter notre SMSI. Parce que j'aime beaucoup parler de bonnes pratiques plutôt que de conformité aux normes. Notre objectif, ce n'est pas juste d'avoir un certificat. 00:07:21 - 00:07:50 ROCH AUBURTIN En fait, on s'en fout du certificat en lui-même. L'important, c'est d'améliorer nos pratiques en continu et d'avoir une sécurité pilotée par les risques. C'est l'essence même de l'ISO 27001, avec l'engagement de la direction — ça c'est vraiment fondamental. J'ai la chance d'avoir un assistant qui est avec moi depuis longtemps, qui connaît parfaitement ce sujet et qui le pilote remarquablement. 00:07:50 - 00:08:16 ROCH AUBURTIN Moi, j'interviens plutôt en termes d'impulsion et de contrôle, on travaille ensemble. Ça, c'est quelque chose qui me prend dans la semaine à peu près une demi-journée. Ensuite, on a une partie qui est essentielle pour moi : la sensibilisation. J'ai souvent dit que le premier pare-feu, c'est l'humain. 00:08:16 - 00:08:40 ROCH AUBURTIN Et si on prend les vecteurs d'attaque principaux que sont le phishing, le téléchargement de malware, et puis les attaques sur la surface d'attaque — on en parlera après — le phishing et les malwares, ça passe quand même en premier par les humains. On a beau avoir les meilleurs systèmes du monde, un système ne va pas forcément détecter tous les fichiers malveillants. 00:08:40 - 00:08:56 ROCH AUBURTIN C'est totalement impossible. Quand c'est un mail d'un client qui lui-même s'est fait compromettre, et que moins d'une minute après qu'il soit compromis on reçoit un email — il n'y a pas le temps d'alerter les systèmes, même si on a les meilleurs du monde. 00:08:56 - 00:08:58 CLÉMENT DONZEL Ouais, ça rappelle que la cyber, ce n'est pas que technique. Voilà. 00:08:58 - 00:09:16 ROCH AUBURTIN Et donc c'est important de rappeler la base phishing : on ne renseigne jamais ses identifiants après avoir cliqué sur un lien dans un email. Je l'ai répété des fois, j'ai même fait exprès de le dire trois fois de suite dans une conférence. 00:09:17 - 00:09:46 ROCH AUBURTIN Il y a aussi le sujet de la séparation du pro et du perso : on n'accède pas aux ressources d'une entreprise depuis son PC personnel, sur lequel on joue à des jeux, ou — et je parle de vraies choses qu'on a vues — sur lequel le fils a téléchargé le dernier jeu piraté qui contenait un infostealer ayant volé tous les mots de passe stockés dans le navigateur. 00:09:46 - 00:09:50 ROCH AUBURTIN Chez nous, les mots de passe, on ne peut pas les enregistrer dans le navigateur. On a accès... 00:09:50 - 00:09:52 CLÉMENT DONZEL À une politique qui permet de la... 00:09:52 - 00:10:12 ROCH AUBURTIN Gestion. On travaille beaucoup sur ces sujets-là, mais sur le PC personnel, non. Ça c'est un sujet. Et puis il y a des choses toutes simples comme l'usage des disques durs USB. Nous, on ne peut pas tout interdire — on me dit : « il suffit d'interdire les ports USB ». Non, on ne peut pas faire ça comme ça. Il faudrait travailler sur des classes de périphériques. 00:10:12 - 00:10:32 ROCH AUBURTIN Et là, il y en a une quarantaine à maintenir — c'est très compliqué. Donc nous, on n'a pas fait ce choix. On a dit qu'on autorisait dans notre politique les disques durs chiffrés. Voilà — si tu mets des données importantes dessus, ton disque dur est chiffré. 00:10:32 - 00:10:34 CLÉMENT DONZEL C'est une garantie de pas perdre les données. 00:10:34 - 00:10:48 ROCH AUBURTIN Là, on autorise les disques durs chiffrés, on dit de ne pas mettre des données trop sensibles sur ces équipements, et on surveille. 00:10:48 - 00:10:50 CLÉMENT DONZEL Donc ça, c'est la partie sensibilisation qui prend... 00:10:50 - 00:11:15 ROCH AUBURTIN Et la surveillance, c'est aussi lié à la sensibilisation. Par exemple, on a un malware — ou un logiciel qu'on va dire indésirable — comme un outil FTP qui dans sa version de base intègre du sponsoring. Ça ressort comme mis en quarantaine. On pourrait dire « c'est bloqué, terminé ». Non. 00:11:15 - 00:11:21 ROCH AUBURTIN On envoie aussi un mail aux utilisateurs pour leur expliquer qu'il ne faut pas le faire. 00:11:21 - 00:11:27 CLÉMENT DONZEL Donc là, je reçois un email de Roch le matin en disant : « Attention, voilà, on a repéré... ». Éventuellement, la sensibilisation. 00:11:27 - 00:11:43 ROCH AUBURTIN C'est essentiel. On fait de la sensibilisation sur les usages pour tous les utilisateurs. C'est une sensibilisation assez rapide — une demi-heure — qu'on a faite nous-mêmes, en ligne avec des jeux. Et c'est obligatoire. Tout le monde l'a faite. 00:11:43 - 00:11:44 CLÉMENT DONZEL OK. 00:11:44 - 00:11:48 ROCH AUBURTIN Et on a une sensibilisation spécifique pour les développeurs. 00:11:48 - 00:11:49 CLÉMENT DONZEL Et... 00:11:49 - 00:12:21 ROCH AUBURTIN Spécifique pour les développeurs, c'est le Top 10 OWASP, c'est comment développer des applications sécurisées. C'est aussi une formation qu'on fait en sessions à distance, avec un support et des exercices. Parce que si on ne fait pas d'exercices là-dessus, pour les développeurs, ça reste trop théorique. On a formé 230 développeurs. Et on fait aussi des formations pour les admins, parce qu'eux aussi ont de vrais sujets. 00:12:22 - 00:12:48 ROCH AUBURTIN Des choses toutes simples, par exemple : l'historique dans les commandes PowerShell — il ne faut pas mettre ses mots de passe quand on tape une liste de commandes, parce que ça va rester dans l'historique. Il faut vider l'historique. C'est un exemple de ce qu'on couvre. Et comme ça ne suffisait pas, on fait aussi des podcasts internes où on raconte des histoires qui se sont vraiment passées dans l'entreprise — et ça, ça intéresse beaucoup les gens. 00:12:48 - 00:13:21 ROCH AUBURTIN On en fait depuis neuf mois. Par exemple : un manager se prend un infostealer sur son poste perso. Ça a levé une alerte, des traitements automatiques ont isolé la machine. On l'a contacté, on lui a expliqué quoi faire — parce qu'il y a les mots de passe qui sont envolés, mais il y a aussi tous les cookies, et parfois des cookies de session de longue durée, des cookies d'authentification. Et ils ont tout. 00:13:21 - 00:13:42 ROCH AUBURTIN Et si quelqu'un récupère un cookie de session valide, il suffit qu'il l'injecte dans un navigateur et c'est parti — il est connecté. Donc il faut faire très attention à ça. On a fait beaucoup de podcasts internes sur le phishing, sur le téléchargement de malware. 00:13:42 - 00:14:08 ROCH AUBURTIN On a aussi fait des campagnes de vishing, où on s'est fait passer pour des membres de la DSI : « Bonjour, je viens d'être embauchée, je travaille pour untel, on a vu qu'il y a un malware sur ton poste, est-ce que je peux me connecter ? Lance l'outil d'assistance de Microsoft. » Juste au téléphone, avec uniquement des informations publiques — et ça marche. 00:14:09 - 00:14:17 ROCH AUBURTIN Et donc on a fait un podcast pour ça. On a pris quelqu'un qui s'est fait avoir et qui a accepté de témoigner. 00:14:17 - 00:14:21 CLÉMENT DONZEL Donc c'est fini le e-learning, on ne fait que du... 00:14:21 - 00:14:45 ROCH AUBURTIN Non ! La sensibilisation, c'est tout un ensemble d'actions. Et la dernière chose qu'on a faite, ce sont des quiz interactifs. On a un outil, on fait des sortes de slides entrecoupées de jeux, on pose des questions, et ce qui marche très bien c'est le podium en interaction directe — on voit les gens qui ont le mieux répondu, qui répondent le plus vite. 00:14:45 - 00:14:46 ROCH AUBURTIN Et là il y a un jeu qui... 00:14:46 - 00:14:48 CLÉMENT DONZEL Donc la gamification marche toujours. 00:14:48 - 00:14:57 ROCH AUBURTIN Exactement. Ça marche très très bien en physique dans une grosse salle avec 200 personnes, mais ça marche aussi très bien sur 300 personnes en distanciel. On en fait beaucoup. 00:14:57 - 00:15:06 CLÉMENT DONZEL Et t'as toujours les démos de hack, les fiches réflexes au-dessus de l'imprimante dans la cafétéria, comme j'ai pu voir — les bonnes pratiques. 00:15:06 - 00:15:26 ROCH AUBURTIN Ouais. En fait la sensibilisation, c'est un peu un art. Quelqu'un qui enverrait à chaque fois un email pour dire « attention, il y a un phishing en cours » — nous on le fait très peu, vraiment quand c'est grave et qu'on sait que ça va faire du mal. Mais c'est contreproductif en fait. 00:15:26 - 00:15:49 ROCH AUBURTIN Donc on fait peu de communication de masse, mais on essaie de la faire bien. Sur la partie sensibilisation dans la semaine, j'ai une collègue dans mon équipe qui est plutôt sur ces sujets-là. C'est difficile à chiffrer, mais je dois bien y passer aussi deux ou trois heures par semaine. 00:15:49 - 00:15:53 CLÉMENT DONZEL Tu peux peut-être nous dire comment est organisée ton équipe ? 00:15:53 - 00:16:03 ROCH AUBURTIN Alors, il y a moi qui m'occupe plutôt de la stratégie de sécurisation. Je fais les budgets... 00:16:03 - 00:16:05 CLÉMENT DONZEL Les relations avec la direction. 00:16:05 - 00:16:31 ROCH AUBURTIN La relation avec la direction, tout à fait. Il y a mon collègue assistant qui s'occupe plutôt de la conformité et qui, comme il a une vraie expérience infrastructure, gère aussi l'infrastructure. Il est par exemple présent au COPIL avec tous les fournisseurs cloud. J'ai derrière quelqu'un qui s'occupe du SOC. 00:16:31 - 00:16:57 ROCH AUBURTIN Et puis on a quelqu'un qui s'occupe plutôt de toute la documentation. On a beaucoup travaillé là-dessus. On n'utilise plus Word — on est passés à la création web, avec exactement les mêmes principes que les développeurs. On fait du Markdown qu'on met dans un dépôt Git. C'est disponible tout de suite, en un clic. 00:16:57 - 00:16:58 ROCH AUBURTIN Maintenant on fait des liens vers notre... 00:16:58 - 00:17:01 CLÉMENT DONZEL Doc. Et ça c'est un élément important de la norme ISO 27001. 00:17:01 - 00:17:21 ROCH AUBURTIN Voilà. La traçabilité, il faut aussi y regarder. Là c'est parfait parce que dans l'historique Git, on peut savoir au détail près ce qui a été modifié entre deux versions. On a une personne qui s'occupe plutôt de la surface d'attaque — j'en ai parlé tout à l'heure. Troisième... 00:17:21 - 00:17:49 ROCH AUBURTIN Troisième vecteur d'attaque : le phishing — on a l'habitude de dire 60 % — les malwares c'est 20 %, et la surface d'attaque c'est 20 %. On a des outils pour mesurer en temps réel tout ce qui peut se passer sur la surface d'attaque. Il peut y avoir d'un seul coup une nouvelle application qui a été mise en ligne... 00:17:49 - 00:18:12 ROCH AUBURTIN Une page de login qui a été exposée, un outil d'administration, une base de données qui d'un seul coup se retrouve exposée. Donc ça, il faut mesurer ça en temps réel. On a quelqu'un qui suit tout ça, vérifie, et fait les bons tickets auprès des bonnes personnes. 00:18:12 - 00:18:36 ROCH AUBURTIN Voilà, je crois que j'ai parlé des cinq membres. Et cette dernière personne s'occupe aussi de tout ce qui est scan des applications. L'autre point important qu'on a, c'est évidemment la sécurité des offres. On travaille sur des sujets de politique avec la politique de développement sécurisé, on fait beaucoup de revues de sécurité, surtout pour les nouvelles offres. 00:18:36 - 00:19:11 ROCH AUBURTIN On sécurise aussi toute la chaîne logicielle, c'est extrêmement important. On a aussi des notions de WAF. Après, il y a la sécurité des endpoints : tout ce qu'on met sur les serveurs, la protection de la messagerie, la protection de l'identité — extrêmement important — les mots de passe, l'obsolescence des OS. 00:19:11 - 00:19:43 ROCH AUBURTIN Et même des choses toutes simples comme le transfert de secrets à des clients — on a une plateforme pour ça. Voilà. Ça, c'est la sécurité des SI. L'autre pilier, aussi une partie importante de notre travail, c'est la partie contrôle et audit. On fait beaucoup d'audits applicatifs — une particularité d'être éditeur, je pense — on en fait à peu près une quinzaine par an. 00:19:43 - 00:19:49 ROCH AUBURTIN On en fait nous-mêmes un peu, mais c'est principalement sous-traité à des spécialistes. 00:19:49 - 00:19:50 CLÉMENT DONZEL C'est aussi des clients éventuellement qui viennent... 00:19:51 - 00:20:16 ROCH AUBURTIN Alors oui, de plus en plus. Et c'est drôle, c'est bien, parce qu'on voit très bien que les clients montent en niveau et sont de plus en plus exigeants. Ils font des pentests — soit sur des logiciels qu'ils installent en interne, et là on n'est pas forcément au courant — ils nous renvoient des rapports. Ou alors ils le font sur nos outils SaaS. 00:20:16 - 00:20:39 ROCH AUBURTIN Là, normalement on est au courant. Pour la partie cloud, il y a une procédure pour nous avertir qu'ils vont faire un test. On fait aussi des tests sur le réseau interne. On a fait le choix d'un outil assez génial où on a totalement automatisé les tests internes. 00:20:40 - 00:21:10 ROCH AUBURTIN Et ça, c'était très important au départ. J'avais parfois du mal à faire avancer des mesures de cybersécurité malgré les risques, malgré les remontées, même dans les rapports d'audit ISO 27001. Par contre, les tests de pénétration, c'est très parlant. Quand on montre que parce que telle mesure n'est pas en place, on a pu prendre possession de certains serveurs ou postes de travail... 00:21:10 - 00:21:55 ROCH AUBURTIN Là, ça a un impact très fort. Ça m'a beaucoup aidé les premières années. Maintenant, depuis deux ans, on est à un très bon niveau — je le maintiens, mais ce n'est plus tout à fait le même objectif. Dans les audits, on a aussi des outils automatiques de scan applicatif — c'est loin du niveau d'un pentest complet, mais on en fait régulièrement. Et on fait bien sûr les audits organisationnels : audits clients, et l'audit de certification ISO 27001. 00:21:55 - 00:22:13 ROCH AUBURTIN Quand on est certifié ISO 27001, on a un audit interne et un audit de certification annuel, qu'on est obligé de faire. 00:22:14 - 00:22:17 CLÉMENT DONZEL Voilà, ça fait des bonnes... 00:22:17 - 00:22:18 ROCH AUBURTIN C'est déjà... 00:22:18 - 00:22:51 ROCH AUBURTIN Alors oui, difficile de te dire c'est la journée type. Surtout que derrière il y a la surveillance : surveillance de notre surface d'attaque, surveillance de toutes les librairies intégrées dans le logiciel — on en a des milliers. On a un outil pour ça. Et pour que ça marche, il faut sensibiliser les développeurs au fait que c'est important de surveiller les CVE de leurs librairies. 00:22:51 - 00:23:15 ROCH AUBURTIN Il faut aussi qu'ils prennent le temps — ils sont toujours pris sur autre chose, il y a la roadmap produit. Il faut leur faire comprendre que la sécurité, c'est une tâche comme une autre à laquelle on consacre le temps nécessaire. Comprendre la vulnérabilité, voir si elle est exploitable, et si elle ne l'est pas, la rejeter en documentant pourquoi. 00:23:15 - 00:23:37 ROCH AUBURTIN Et si elle est exploitable, la traiter — généralement, c'est une mise à jour de la librairie. Ça c'est très important. On demande aussi à tous nos fournisseurs. Puis en termes de surveillance, il y a d'autres sujets — on fait aussi une vérification des CVE. On a des outils très connus pour ça. 00:23:38 - 00:23:49 ROCH AUBURTIN Et je pense que c'est à peu près tout en termes de surveillance. Et le dernier point, c'est la conformité légale. 00:23:49 - 00:24:12 ROCH AUBURTIN On travaille beaucoup avec le juridique — vraiment beaucoup. Sur des discussions contractuelles, chaque fois il y a des sujets de sécurité. Je ne dis pas que c'est tous les clients — on en a plus de 30 000 — mais sur les grands comptes, c'est presque systématique. 00:24:12 - 00:24:21 ROCH AUBURTIN On reçoit un questionnaire de sécurité, on y répond, et puis j'interviens sur les discussions et sur les mesures de sécurité qu'ils veulent nous imposer. 00:24:21 - 00:24:28 CLÉMENT DONZEL Est-ce que tu vois une évolution ? Est-ce que les exigences des grands donneurs d'ordres montent ? J'imagine que c'est principalement eux. 00:24:28 - 00:24:50 ROCH AUBURTIN Dans nos activités, on a un produit qui est Visiativ Gestion Immobilière et Visiativ Gestion des Risques, plutôt vraiment pour les grandes entreprises. Eux, ça a toujours été le cas — d'ailleurs c'est eux qui ont souhaité qu'on soit certifiés en premier. C'était en 2018, c'était déjà systématique. Et là, c'est encore plus fort. 00:24:50 - 00:24:52 ROCH AUBURTIN Maintenant, on passe encore plus de temps. 00:24:52 - 00:24:55 CLÉMENT DONZEL On ne travaille même plus avec des fournisseurs qui ne sont pas ISO. 00:24:55 - 00:25:17 ROCH AUBURTIN C'est sûr. Ils nous imposent leur questionnaire de sécurité, on est vraiment dans la discussion sur leurs clauses contractuelles et les mesures associées. Et l'impact de l'IA : dans ces boîtes-là, les exigences sont très fortes. Sur les autres clients, ça devient un peu comme les grands comptes d'il y a quelques années. 00:25:17 - 00:25:39 ROCH AUBURTIN On voit que c'est assez structuré. On a des RSSI en face qui sont exigeants. Et pour les PME, ça dépend — il n'y a pas de règle générale, ça dépend du secteur d'activité. On a aussi des clients dans des secteurs sensibles comme la défense. Là, c'est très particulier. 00:25:39 - 00:25:44 ROCH AUBURTIN Forcément, ça va très loin. 00:25:44 - 00:25:58 ROCH AUBURTIN Et puis on a des secteurs comme la santé où c'est aussi très important. Ça dépend des secteurs, ça dépend de la culture d'entreprise. Mais de toute façon, on voit que... 00:25:58 - 00:26:02 CLÉMENT DONZEL C'est en train de descendre vers les plus petites structures. Les gens sont... 00:26:02 - 00:26:25 ROCH AUBURTIN De plus en plus exigeants, c'est sûr. On remplit à peu près 40 questionnaires cyber par an. Ça prend du temps — ça peut prendre 4 heures, parfois plus — et on intervient beaucoup avec le juridique pour faire passer... 00:26:25 - 00:26:31 ROCH AUBURTIN Des bonnes pratiques. Sur l'IA par exemple, on a beaucoup travaillé. 00:26:31 - 00:26:55 ROCH AUBURTIN On a fait des guidelines, des chartes IA, on a essayé de simplifier pour que ça parle à tout le monde. Dans notre documentation sécurité, on met des choses simples. Et puis il y a les réglementations : l'AI Act, le Data Act. Il y a de plus en plus de réglementations importantes à suivre. 00:26:55 - 00:27:15 CLÉMENT DONZEL Quelles sont les grandes tendances en cybersécurité dans les années à venir, notamment dans les PME et ETI ? On a parlé de l'IA, il y a potentiellement le quantique, il y a les enjeux de souveraineté. Qu'est-ce que tu vois comme sujets et tendances qui vont structurer la cyber ? 00:27:15 - 00:27:24 ROCH AUBURTIN C'est marrant ces questions, parce qu'il faut déjà les poser, mais il faut aussi voir l'état dans lequel sont les entreprises en général. 00:27:24 - 00:27:50 ROCH AUBURTIN On a une offre cybersécurité qu'on fournit à des PME. Le cœur de cible, c'est 200 à 500 personnes. La maturité cybersécurité de ces entreprises est assez faible — il y a un gros travail. On a dix ans à rattraper. Et je ne parle même pas de l'OT, c'est encore un autre sujet. 00:27:50 - 00:28:10 ROCH AUBURTIN Je pense que c'est encore pire. On a eu à faire un test : il y avait un serveur sur une chaîne de production. On avait bien demandé si la production était dans le périmètre — ils avaient dit non. Ce serveur n'avait pas été mis à jour depuis des années. 00:28:10 - 00:28:14 ROCH AUBURTIN Il a été hacké en quelques minutes. 00:28:14 - 00:28:22 CLÉMENT DONZEL Et on voit l'impact — sur les chaînes de production, dès qu'il y a une interruption, ça peut se chiffrer à plusieurs centaines de millions. 00:28:22 - 00:28:38 ROCH AUBURTIN Rien que sur ce serveur-là, c'était 30 000 € l'heure. Ce n'est pas rien. Et il n'y a pas beaucoup d'entreprises qui travaillent sur ces sujets-là, ni beaucoup de prestataires. 00:28:38 - 00:29:05 ROCH AUBURTIN C'est un peu dommage. Mais revenons sur l'IT — il y a quand même beaucoup de retard. Il faudrait déjà arriver à un niveau convenable. On a fait une sorte de barème, un peu comme le Nutri-Score, qui va de A à F. Je pense qu'on a beaucoup d'entreprises en E et F, et on aimerait les amener à un niveau B. 00:29:05 - 00:29:09 CLÉMENT DONZEL Ce qui serait l'entreprise cyber-résiliente, voilà, on va dire. 00:29:09 - 00:29:42 ROCH AUBURTIN Et ça, c'est appliquer les bonnes pratiques — c'est la base. Au moins dix règles fondamentales : avoir des backups offline, faire des mises à jour régulières, faire une veille sur les failles de son pare-feu — parce qu'on a vu le problème avec Fortinet, il y a eu trois ou quatre critiques en un an. Au moins avoir un EDR sur les postes de travail, et gérer les alertes — parce que ça ne sert à rien si personne ne les gère. 00:29:42 - 00:29:44 CLÉMENT DONZEL Donc en gros, ton message c'est de dire que... 00:29:44 - 00:29:59 CLÉMENT DONZEL Avant de parler de quantique ou de sujets très prospectifs — ou même qui existent aujourd'hui — l'enjeu est bien plus basique pour la majorité des PME : appliquer les bonnes pratiques et le guide d'hygiène de l'ANSSI, les treize mesures. C'est ça ? 00:29:59 - 00:30:23 ROCH AUBURTIN Et on en est très loin. Il y a beaucoup de retard, il y a beaucoup de vieux systèmes. Donc ça, il faut le faire et il faut le faire en masse. Je sais bien qu'il y a eu beaucoup d'initiatives du gouvernement là-dessus, mais parfois les diagnostics proposés étaient trop lourds, trop longs. 00:30:23 - 00:30:31 ROCH AUBURTIN Avec la BPI par exemple, les diagnostics étaient complexes. 00:30:31 - 00:30:33 CLÉMENT DONZEL Consultant, plusieurs jours, restitution — c'est pas ça. 00:30:33 - 00:30:51 ROCH AUBURTIN Exactement — les PME n'ont pas le temps. Donc il faut adapter les méthodes à ces entreprises. Après, si tu me demandes pour nous qui sommes assez avancés... 00:30:51 - 00:30:58 CLÉMENT DONZEL Et certainement pour beaucoup de RSSI qui nous écoutent, qui aimeraient avoir cette structuration, cette approche. 00:30:58 - 00:31:27 ROCH AUBURTIN Mais on n'est pas parfaits du tout non plus. Les enjeux ? Je dirais qu'il y a un gros sujet sur les fournisseurs. Beaucoup de gens qui nous écoutent devraient regarder s'ils sont sur Microsoft 365. Il y a de fortes chances. Le nombre d'applications tierces qui sont connectées à ces environnements — et installées par défaut sans forcément de demande de consentement — c'est préoccupant. 00:31:27 - 00:31:45 ROCH AUBURTIN Un utilisateur peut autoriser une application à lire SharePoint, et il peut le faire lui-même. Microsoft a changé les choses récemment, mais ils ne demandaient pas forcément de consentement explicite avant. 00:31:45 - 00:31:50 CLÉMENT DONZEL Et on a vu beaucoup de failles passer par des extensions — y compris sur les stores officiels. 00:31:50 - 00:32:14 ROCH AUBURTIN Exactement. Et là il y a un vrai sujet. Prenez une application web quelconque — même quelque chose d'aussi banal qu'un outil de gestion de drones. C'est une page web, ça s'affiche. On va dans « Fichier > Enregistrer sous », et là ça vous propose différentes options, dont votre OneDrive. Pour enregistrer depuis le web sur mon drive, je clique — et là il vous demande une autorisation. 00:32:15 - 00:32:37 ROCH AUBURTIN Si vous dites « Autoriser » sans lire, ce qui se passe c'est que vous autorisez cette app à accéder à tous vos espaces OneDrive et SharePoint. Si cet utilisateur est administrateur, il peut tout voir. C'est la catastrophe. 00:32:37 - 00:33:05 ROCH AUBURTIN Ce qui se passe aussi, c'est que toutes ces applications web qui veulent travailler avec Office 365 vont stocker un token OAuth2. Il y a un access token, et un refresh token de longue durée — parfois un mois. Ils vont le stocker dans leur SaaS. Et avec ce refresh token, ils peuvent se reconnecter à votre SharePoint à n'importe quel moment. 00:33:06 - 00:33:31 ROCH AUBURTIN C'est un peu comme si un fournisseur avait accès en permanence, la nuit, à votre baie de stockage dans l'ancien monde. Et quand vous multipliez ça par le nombre d'applications connectées — on parle de centaines — il faut faire ce travail de vérification. Quelles sont les permissions accordées ? Qui les a autorisées, pour quelles raisons ? 00:33:31 - 00:33:54 ROCH AUBURTIN Il faut être beaucoup plus rigoureux et révoquer les accès quand ce n'est pas nécessaire. Dans les sujets importants aussi, il y a l'IA dans les outils qu'on utilise. Il y en a de plus en plus. Le traitement des alertes SIEM, la messagerie — la messagerie, c'est de l'IA. 00:33:54 - 00:34:16 ROCH AUBURTIN Pas forcément du génératif, mais c'est de l'IA. Ce qui complique les choses, c'est que parfois un mail passe en quarantaine et on ne sait pas pourquoi. On fait un ticket chez Microsoft, et quand ils disent « je ne sais pas, c'est l'IA » — ça commence à être problématique, parce qu'on ne sait plus quoi dire à l'utilisateur. 00:34:16 - 00:34:36 ROCH AUBURTIN Donc il faut faire attention à ces sujets-là. Il faut bien documenter les comportements de l'IA et bien comprendre les mécanismes. Il ne faut pas se dire « je m'asseois, je n'ai plus rien à faire ». Non, ce n'est pas du tout ce qui va se passer. 00:34:36 - 00:35:01 ROCH AUBURTIN L'IA, c'est un vrai sujet dans tous les outils qu'on utilise. En ce qui concerne les tests notamment, il y a plein de nouveaux jobs qui émergent autour des tests faits par des agents autonomes IA. C'est vraiment au début — il faut les tester, mais il ne faut pas non plus se faire des plans sur la comète en disant que ça va remplacer tous les tests faits par des humains. 00:35:01 - 00:35:04 CLÉMENT DONZEL C'est un assistant aujourd'hui. 00:35:04 - 00:35:28 ROCH AUBURTIN Exactement, c'est comme ça qu'il faut le voir. Moi, j'utilise beaucoup l'IA pour faire quelques tests, mais c'est vraiment un assistant. Il faut faire attention à ce qu'on lui fournit dans les prompts — hors de question de lui fournir des informations qui pourraient aider des attaquants, comme des failles précises. 00:35:28 - 00:35:48 ROCH AUBURTIN Sur la surface d'attaque aussi, l'IA est très forte. Nous, on a des agents — on lui fournit un scan nmap parce que c'est du public — et elle est capable de construire toute seule des tickets. On les relit systématiquement, on vérifie, on les annote. 00:35:48 - 00:35:59 ROCH AUBURTIN Mais ça fait gagner beaucoup de temps. Il faut aussi savoir que l'IA, on l'utilise, mais les attaquants l'utilisent aussi énormément. Pour le phishing par exemple, on ne voit plus de fautes d'orthographe. 00:35:59 - 00:36:00 CLÉMENT DONZEL D'orthographe. 00:36:00 - 00:36:25 ROCH AUBURTIN Il y a quelques années. Aujourd'hui, on a des phishings assez ciblés. Il y a eu une étude qui montrait que le spear phishing avec l'IA obtient à peu près 95 % de la performance d'un phishing fait par un humain, pour 30 fois moins cher. Donc on va en avoir de plus en plus. 00:36:25 - 00:36:56 ROCH AUBURTIN Ce qu'on voit aussi beaucoup, c'est la réduction du temps de réaction des attaquants. Un phishing avec un proxy de la vraie interface Microsoft — un adversary-in-the-middle attack. On en voit beaucoup. Et maintenant, il peut y avoir des attaques par push de code MFA qui sont assez... 00:36:56 - 00:37:27 ROCH AUBURTIN On ne les voit pas souvent, mais quand ça arrive, les gens ne savent pas ce que c'est. On leur dit « tape ce code dans une interface » — ils le font moins, mais certains le font quand même. Il faut donc aussi faire de la sensibilisation là-dessus. Et entre le moment où l'utilisateur a renseigné le code de validation et le moment où un attaquant automatisé s'est connecté pour la première fois, on est maintenant à la minute. Puis reconnexion depuis différentes IP, reconnaissance secondaire... 00:37:27 - 00:37:48 ROCH AUBURTIN Voilà — on a en face de nous des gens qui évoluent très vite. C'est ce qu'il faut se dire. Donc il faut faire de la cyber intelligence et se tenir au courant. 00:37:48 - 00:37:53 CLÉMENT DONZEL Si tu avais une baguette magique pour changer une chose dans le monde de la cyber, ce serait quoi ? 00:37:53 - 00:38:16 ROCH AUBURTIN J'ai l'impression que dans les formations techniques autour de l'IT, la cybersécurité n'est pas forcément très bien abordée aujourd'hui. Il y a quelque chose à faire là-dessus. On reçoit beaucoup d'alternants — même ceux qui ont des formations spécifiques à la cyber... 00:38:16 - 00:38:42 ROCH AUBURTIN Ça va. Mais quand on voit les développeurs qui sortent, ils n'ont pas les règles du jeu en tête — ce n'est pas normal aujourd'hui. Ça il faut vraiment travailler là-dessus. Et les admins, c'est pareil. Il faut arrêter avec les mauvaises pratiques : la gestion des mots de passe, taper un mot de passe en ligne de commande — c'est tout simple à éviter. 00:38:42 - 00:38:59 CLÉMENT DONZEL Ouais, ça doit être un sujet réglé. Et puis il y a peut-être aussi l'élément : la cyber n'est plus que technique aujourd'hui. On parlait de gouvernance, de GRC. Il y a aussi l'enjeu que tu mentionnais — quand tu reçois des questionnaires, quand tu participes à des réponses à appel d'offres... 00:38:59 - 00:39:15 CLÉMENT DONZEL En tout cas, quand tu parles à des clients, tu as un vrai rôle où la cybersécurité devient un levier commercial, un levier de transformation et de performance — plus seulement un centre de coûts. J'ai l'impression que cette image-là est dépassée. Mais ça veut dire aussi peut-être de nouveaux profils dans la cyber. 00:39:15 - 00:39:29 ROCH AUBURTIN Ça, ce n'est pas facile de montrer que la cyber participe au business. C'est ce qu'il faut arriver à faire. Et quand tu y arrives, tu as fait un grand pas en avant. Ce n'est pas facile. 00:39:29 - 00:40:00 CLÉMENT DONZEL Pour finir, je te propose un petit quiz. Trois questions avec réponses A ou B — tu me donnes ta préférence. Et trois questions ouvertes à compléter. Tu es prêt ? Alors : pour toi, le pire ennemi du CISO, c'est — réponse A : les utilisateurs qui cliquent partout, ou réponse B : les budgets trop serrés. 00:40:01 - 00:40:05 CLÉMENT DONZEL Réponse B, les budgets trop serrés. 00:40:05 - 00:40:08 ROCH AUBURTIN On a peu de... 00:40:08 - 00:40:10 ROCH AUBURTIN Moi je pense que... 00:40:10 - 00:40:12 CLÉMENT DONZEL La réponse courte ! 00:40:12 - 00:40:22 ROCH AUBURTIN Je pense que c'est A — parce que le budget, c'est un budget, mais il faut aussi savoir composer avec. Donc je dirais A. 00:40:22 - 00:40:38 CLÉMENT DONZEL On peut faire des choses sans avoir nécessairement des budgets colossaux. OK. Et le pire message que tu aies reçu d'un collaborateur, c'est — réponse A : « J'ai cliqué sur le lien mais c'est bon, j'ai un antivirus », ou réponse B : « On a perdu le mot de passe admin mais on l'avait noté sur un Post-it en bas. » 00:40:38 - 00:40:41 ROCH AUBURTIN C'est peut-être le B. 00:40:41 - 00:41:06 CLÉMENT DONZEL Alors, le plus gros défi avec les PME, c'est — réponse A : leur faire comprendre que la cybersécurité, ce n'est pas que pour les grands, ou réponse B : leur expliquer que « mon neveu s'y connaît en informatique » n'est pas une stratégie. B ! Voilà. Il y a des questions plus ou moins faciles. Alors là, je te laisse compléter la phrase. Le pire conseil en cybersécurité que tu aies entendu, c'était... 00:41:14 - 00:41:51 ROCH AUBURTIN Pour moi : voir la cybersécurité uniquement sous l'angle physique. Fermer les portes, mettre des cadenas sur les PC — pour moi, c'est dépassé. Les attaques aujourd'hui, les attaquants sont généralement à 2 000 ou 1 000 kilomètres. L'accès, c'est par Internet. Ce sont les malwares, le phishing. Voir la sécurité que du côté physique, c'est vraiment une catastrophe. 00:41:51 - 00:41:59 CLÉMENT DONZEL D'accord. Trop limité. Et NIS 2, la directive NIS 2, c'est surtout... 00:41:59 - 00:42:04 ROCH AUBURTIN C'est surtout une réelle opportunité pour les entreprises de se mettre au niveau. 00:42:04 - 00:42:12 CLÉMENT DONZEL Rien à ajouter. Dernière question : l'IA en cybersécurité, c'est avant tout... 00:42:12 - 00:42:18 ROCH AUBURTIN Je voudrais une réponse... mais... 00:42:18 - 00:42:24 CLÉMENT DONZEL Dans la deuxième version on coupera. 00:42:24 - 00:42:32 ROCH AUBURTIN L'IA en cybersécurité — aujourd'hui, l'IA est incontournable, il faut faire avec. 00:42:32 - 00:42:40 ROCH AUBURTIN Elle peut être un formidable moteur pour gagner beaucoup de temps. Donc il faut l'embrasser. 00:42:40 - 00:43:03 ROCH AUBURTIN Vraiment. Il faut que ça fasse partie des outils. Il faut que ça fasse partie de l'attirail des gens de la cyber. Moi j'utilise beaucoup l'IA. Et dans mon équipe, j'ai beaucoup formé — il est nécessaire que les gens de la cyber utilisent l'IA. Je ne comprendrais pas quelqu'un qui, pour des raisons éthiques ou philosophiques... 00:43:03 - 00:43:24 ROCH AUBURTIN ...dirait « je ne veux pas utiliser l'IA parce qu'elle dit des bêtises » ou « je suis plus intelligent qu'elle » — ce n'est vraiment pas le sujet. Ça fait gagner du temps, ça va beaucoup plus vite, et pour des gens qui ont de bonnes connaissances, ça permet même d'avoir des miroirs de réflexion intéressants, ça permet de rédiger des documents qui sont plus propres. 00:43:24 - 00:43:33 ROCH AUBURTIN Il faut la prendre pour ce qu'elle est aujourd'hui. Et il faut bien cadrer les pratiques autour de l'IA. Mais c'est vraiment... 00:43:34 - 00:43:45 CLÉMENT DONZEL OK, merci. Et un dernier mot pour nos auditeurs — un livre, un auteur, un expert cyber que tu adores et que tu recommandes ? 00:43:45 - 00:43:55 ROCH AUBURTIN Moi, j'ai une passion, c'est l'offensive security, l'attaque. Et il y a un auteur — je ne me souviens plus de son nom. Attends, je vais le retrouver. 00:43:55 - 00:43:57 CLÉMENT DONZEL Je te réponds oui... 00:43:57 - 00:44:22 ROCH AUBURTIN Il a écrit des bouquins formidables, parce que ça se lit un peu comme des romans — sauf que ce sont de vraies attaques. C'est du pentest éthique. Il l'a fait sur des environnements de test, mais il reproduit des environnements de clients qu'il a connus, et il raconte exactement comment les attaques se sont passées. C'est assez formidable. 00:44:22 - 00:44:49 ROCH AUBURTIN Tu lis ça comme un roman. Ah le voilà — je ne pense pas que ce soit son vrai nom — il s'appelle Sparc Flow, et il a écrit plusieurs bouquins. Ça date un peu maintenant, il faudrait qu'il en sorte de nouveaux. C'est : « Hack : La Légende », « Hack : Ghost », « God Hack », « Hack : La Pornstar ». 00:44:49 - 00:44:54 ROCH AUBURTIN Qui sont quand même assez intéressants. 00:44:54 - 00:44:58 ROCH AUBURTIN Parce que ce sont des histoires qui racontent de vraies attaques. 00:44:59 - 00:45:20 CLÉMENT DONZEL Merci beaucoup ! Roch, tu as conclu notre échange aujourd'hui. Merci infiniment pour tous ces bons conseils — j'espère qu'ils pourront être appliqués et utilisés par nos auditeurs qui travaillent dans la cybersécurité ou qui souhaiteraient y travailler demain. Merci infiniment et à très bientôt pour un prochain épisode de La Tech à l'Envers !