Lundi 18 novembre 2024, SMART TECH reçoit Arnaud Pilon (responsable des activités de réponse aux incidents, Synacktiv) , Jérôme Bouteiller (Fondateur, ecranmobile.fr) , Yosra Jarraya (directrice générale et cofondatrice, Astran) et Pauline Losson (directrice des opérations cyber, CybelAngel)
Category
🗞
NewsTranscription
00:00Bonjour à tous. 2024 est parti pour être une année record en matière de vols de données pour la France.
00:14Rien qu'en l'espace de deux mois, un Français sur deux a vu ses données personnelles compromises.
00:20C'est ce que nous dit la présidente de l'ACNI.
00:22Les fuites ne cessent de s'accumuler avec des volumes d'informations personnelles en circulation
00:27sur les réseaux criminels qui sont de plus en plus affolants.
00:31Alors peut-on faire quelque chose ?
00:33C'est ce qu'on verra aujourd'hui dans notre taux de comment stopper l'hémorragie.
00:37C'est le sujet à la une de Smartech.
00:38On aura également rendez-vous avec le mobile business.
00:41On regardera comment le RCS va changer la donne puisqu'il arrive enfin sur les iPhones.
00:46Mais d'abord, trois questions sur l'innovation dans la résilience informatique.
00:51C'est en ouverture aujourd'hui.
00:57Quel sujet important la résilience, la résilience des systèmes d'information.
01:01On en parle tout de suite avec Youssra Jaraïa. Bonjour.
01:03Bonjour Daphné.
01:04Vous êtes la directrice générale et cofondatrice d'Astra,
01:06un éditeur de logiciels spécialisés en résilience digitale.
01:09C'est cette capacité des entreprises à pouvoir continuer le cœur de leur activité en cas de crise informatique.
01:17C'est vraiment devenu un sujet qui préoccupe énormément tous les responsables de systèmes d'information
01:23parce qu'il y a de plus en plus d'attaques,
01:24parce qu'il y a des nouvelles règles qui arrivent et qui vont imposer des obligations.
01:29Quelle est la mesure des enjeux déjà sur ce sujet de résilience ?
01:33Ce qui est extrêmement important, c'est que les entreprises,
01:37y compris celles que traditionnellement considèrent comme bien protégées des cyberattaques,
01:42ont fini par admettre qu'en réalité on ne peut pas échapper à certaines cyberattaques.
01:49Notamment les cyberattaques par ransomware.
01:52Il y en aura d'ici 2031 toutes les deux secondes.
01:57Si on ne fait rien ou si on reste au statut actuel sur la manière de protéger les données ?
02:04Si on ne fait rien, c'est encore pire.
02:06C'est en tenant compte de tous les efforts qu'on fait déjà pour les éviter.
02:10Ce qui s'est passé, c'est qu'il y a eu un shift dans l'esprit des comex, des boards, des grands groupes
02:18qui est d'aller d'un investissement sur le fait de les éviter vers un investissement
02:23pour que l'entreprise puisse se poursuivre même lorsqu'elle est sous une cyberattaque majeure.
02:28Comment est-ce qu'on peut aborder ce sujet de la résilience avec un œil neuf ?
02:34Qu'est-ce qu'on peut faire aujourd'hui qu'on ne faisait pas jusqu'ici ?
02:38Traditionnellement, on faisait une cartographie très compliquée de tout le système d'information
02:45et on essayait de faire les sujets les uns après les autres.
02:48Ce qui a changé aujourd'hui, c'est que depuis que les dirigeants se sont saisis du sujet,
02:53il y a une plus forte priorisation.
02:56Il y a un concept qui s'est développé qu'on peut appeler « Minimum Viable Company »,
03:00c'est-à-dire qu'on va discuter directement avec le dirigeant d'entreprise
03:03et lui dire si tout s'arrête, qu'est-ce qui ne doit pas s'arrêter.
03:07On va avoir un nombre de processus critiques très limités et on va se concentrer sur eux,
03:13aussi bien en termes de reconstruction du système d'information
03:16que pour maintenir la continuité d'activité.
03:19On ne va aller que sur cela en priorité et ça, c'est une démarche assez innovante
03:24qui commence à être adoptée par les grands groupes français.
03:27Donc là, c'est vraiment une approche proactive finalement.
03:31J'ai vu qu'Astran avait breveté une architecture de plateforme de stockage sécurisée et immuable, vous dites.
03:38C'est pour ça que je vous ai invitée.
03:40Qu'est-ce que c'est ? Qu'est-ce que ça change ? Elle est où l'innovation ?
03:44Alors, c'est la particularité d'Astran, c'est qu'on ne se propose pas simplement
03:50d'héberger les processus critiques, mais on va y ajouter une plateforme de stockage
03:57hautement résiliente et sécurisée.
03:59Et ce qu'on a breveté, c'est une architecture qui va permettre,
04:02plutôt que de stocker la donnée directement chez un cloud provider
04:06et de dépendre de lui, en fait de d'abord l'encoder, la fragmenter
04:10et de distribuer les fragments sur plusieurs lieux de stockage différents,
04:14au choix du client.
04:15Ce qui fait qu'en fait, à quoi ça sert tout ça ?
04:17Ça va permettre, en cas de cyberattaque, que cette architecture-là,
04:22elle reste toujours disponible et donc que les données qui sont là soient disponibles,
04:27y compris lorsque le reste ne fonctionne plus.
04:29Mais comment est-ce qu'on peut s'en assurer ?
04:32Aussi, ma deuxième question, c'est que vous avez convaincu
04:35notamment un grand groupe industriel français.
04:38Qu'est-ce que ça engage comme transformation, en fait,
04:40de se dire maintenant, à partir d'aujourd'hui,
04:42je vais utiliser une nouvelle architecture de stockage ?
04:45Compliqué à mettre en œuvre ?
04:47Il faut tout changer, on repart de zéro ?
04:49Non, on ne change rien au système informatique existant.
04:52En fait, nous, on va venir à côté comme un système informatique d'urgence,
04:57complètement indépendant, et on va simplement faire en sorte
05:01Sur ces activités critiques ?
05:03Exactement. En fait, sur ces activités critiques,
05:06d'avoir un endroit où sont décrits les processus critiques
05:10de continuité d'activité, de reconstruction du système informatique.
05:14Et ensuite, on va, par ce qu'on appelle des API,
05:16on va pouvoir aller récupérer dans le système principal,
05:20sans le changer en aucune manière,
05:22mais aller récupérer un duplicata des données les plus critiques,
05:26ce qu'on va appeler les joyaux de la couronne,
05:28pour que celle-ci reste tout le temps disponible
05:31à la disposition de l'utilisateur quand il en a besoin.
05:35Merci, je crois que j'ai tout compris.
05:37Merci Yosra Jaraya, je rappelle que vous êtes la directrice générale
05:40et cofondatrice d'Astran.
05:42Merci.
05:43Et on continue sur cette thématique aujourd'hui,
05:45on va s'intéresser vraiment à cette explosion de fuites de données.
05:48On a l'impression qu'on n'arrivera pas à stopper les morts agis.
05:51Justement, c'est la question qu'on va se poser,
05:52est-ce que c'est possible de faire quelque chose ?
05:59Les mauvaises nouvelles se sont succédées.
06:00On a eu France Travail, la CAF qui ont été piratées.
06:04Free a confirmé un piratage de données de 19 millions d'abonnés.
06:08Plutôt, c'était SFR.
06:10Il y a quelques jours, c'est Amazon qui a confirmé un vol d'informations.
06:14On parlerait de 2,8 millions de lignes de données concernant ses salariés.
06:18On peut également citer Picard,
06:20fuite de données qui concernent 45 000 clients,
06:23ou encore Molotov.
06:24Alors, perte de données, est-ce qu'on peut stopper cette hémorragie ?
06:28Pour en parler, deux invités aujourd'hui.
06:30Pauline Lausson, bonjour.
06:31Bonjour.
06:32Vous êtes directrice des opérations cyber de Cybel Angel,
06:34société française de cybersécurité,
06:37qui est spécialisée dans la gestion de la surface d'attaque externe.
06:41Ça veut dire que tous les jours, vous allez scroller la toile,
06:44plus de 6 milliards de points de données,
06:47pour identifier des actifs d'entreprises
06:50qui seraient éventuellement exposés publiquement.
06:53C'est quoi ? Des marques ? Des fichiers ?
06:57Nous, ce qu'on va aller chercher, c'est les mots-clés de nos clients.
06:59Ils vont être les noms des marques, les adresses IP, les noms de domaines.
07:03On va aller à la recherche de ces mots-clés
07:06à travers toute Internet, différentes parties.
07:09Nous, ce qu'on va chercher, c'est ce qui est exposé à Internet.
07:11On ne va pas faire de la brute force,
07:13on ne va pas chercher là où les portes sont fermées.
07:14Mais on se rend compte qu'en allant chercher sur ces couches
07:17qui sont laissées en accès libre,
07:20on trouve énormément de données, énormément d'informations
07:23qui peuvent être critiques dans un certain nombre de cas pour nos clients.
07:26J'ai rencontré un de vos clients aux assises de la cybersécurité à Monaco
07:31qui m'a dit que quand on a une alerte de Cybel Angel,
07:34il faut agir très vite, parce que derrière,
07:36ça veut dire qu'il y a une menace d'exploitation cybercriminelle des données.
07:40Nous, la démarche, c'est vraiment d'aller chercher ce qui est critique
07:43et de ne pas créer du bruit, ce qui est souvent un problème en cybersécurité.
07:46En général, quand on embête nos clients avec des alertes,
07:48c'est qu'il se passe vraiment quelque chose.
07:50À côté de vous, Arnaud Pilon.
07:52Durant dix ans, vous avez travaillé pour l'ANSI,
07:54la grande agence nationale française de sécurité des systèmes d'information.
07:58Vous avez notamment été responsable des activités d'investigation numérique
08:02et du pilotage des incidents de sécurité visant des intérêts de l'État.
08:05Aujourd'hui, vous êtes le responsable des activités de réponse aux incidents de SYNACTIV,
08:10qui est une référence française aussi en matière d'évaluation en cybersécurité,
08:14et aussi de sécurité offensive.
08:17Bonjour à tous les deux.
08:19Je voulais démarrer avec ce que nous dit la CNIL,
08:22notre gardienne des données personnelles en France,
08:25qui nous dit que ça va être une année record en matière de vol de données pour la France.
08:29Rien qu'au début de l'année, en l'espace de deux mois,
08:32un Français sur deux a vu ses données personnelles compromises,
08:35a résumé sa présidente, Marie-Laure Denis.
08:38Alors, sans rentrer dans le détail, parce qu'on va le faire au fil de ce talk,
08:42mais déjà, est-ce que oui ou non, vous pensez qu'on peut faire quelque chose
08:46pour stopper cette hémorragie de données ?
08:50Il faut être positif. Je pense que c'est important.
08:53Nous, on travaille dans ce secteur-là au quotidien,
08:55c'est ce qu'on fait protéger nos clients de ces potentielles menaces,
08:58notamment les fuites de données.
09:00Donc oui, ça demande du budget, ça demande de l'effort, des équipes,
09:04que ce soit en interne ou en externe.
09:06Vous répondez oui. On va voir justement comment, pourquoi.
09:09Vous répondez oui, non, peut-être ?
09:12Il faut être aussi positif dans le sens où il existe des solutions techniques,
09:15il existe des solutions, enfin, la cybersécurité, c'est la sécurité informatique auparavant.
09:20Il existe tout un tas de méthodes aussi, de méthodologies qui sont reconnues,
09:23poussées par l'ANSI et d'autres entités.
09:26Après, ce qu'il faut voir, c'est que tout le monde doit bien percevoir ce risque aussi,
09:30cyber, et à tous les échelons de l'entreprise aussi,
09:33parce que c'est aussi des questions de moyens.
09:35C'est quelque chose qui doit être mis en place aussi régulièrement.
09:38Ce n'est pas juste un outil qu'on va poser, c'est quelque chose de continu,
09:42que ce soit en détection de fuite ou dans les outils de sécurité.
09:45Ce sont des fonctions qui doivent être faites régulièrement,
09:48parce que c'est un travail qui doit être fait au quotidien.
09:51Il y a aussi des attaquants sur les surfaces qui sont exposées,
09:54que ce soit en interne ou en externe.
09:56Moi, je suis ravie. Moi aussi, j'ai envie d'être positive.
09:58Mais ce que je constate, c'est que pour l'instant, c'est non.
10:01Comment vous expliquer cette explosion de pertes de données,
10:04de vols de données, de fuites de données personnelles ?
10:07Comment vous expliquer ça, Arnaud ?
10:10Déjà, dans un premier temps, on a parlé de quelques entreprises.
10:14Ils hébergent beaucoup de données personnelles,
10:16beaucoup plus qu'année dernière.
10:18Ils en hébergeront beaucoup plus l'année prochaine.
10:20Donc, si il y a moindre fuite de données,
10:22forcément, ça fait des volumes qui sont conséquents.
10:25Donc, on a une forme de concentration de ces données
10:27et aussi des concentrations sur les traitements.
10:30Il y a souvent une chaîne de sous-traitance aussi.
10:32C'est rarement les entreprises elles-mêmes qui sont responsables de leurs données.
10:35Elles ont quelque part délégué le risque,
10:37même si ça ne se délègue pas vraiment, ça se partage plutôt,
10:39pour justement que les entreprises
10:42qui sont pivots sur toutes ces gestions de données,
10:45elles doivent être d'autant plus sécurisées.
10:47Et c'est aussi l'enjeu de cette démarche.
10:50Beaucoup d'intermédiaires.
10:51Beaucoup d'intermédiaires.
10:52Beaucoup de données à protéger.
10:53Et des SI qui sont de plus en plus complexes.
10:55Nous, on le constate en audit.
10:57Chez SignActiv, régulièrement,
10:59aujourd'hui, c'est forcément des infrastructures multicloud.
11:02Il y a du on-prem qui faut conserver.
11:04Il y a la partie développement qui bouge beaucoup.
11:06La partie communication.
11:07Donc tout ça, mis bout à bout,
11:09ça fait beaucoup de surfaces qui sont exposées.
11:11Et si on rajoute à ça la sous-traitance,
11:14avec des intermédiaires qui sont plus ou moins,
11:17je dirais, au fait des risques cyber,
11:20ça crée des...
11:21Et pourtant, on n'a jamais eu autant conscience quand même,
11:23justement, des risques,
11:24de l'importance de protéger ces données.
11:26Je ne veux même pas parler du règlement européen, le RGPD.
11:29Mais enfin, ça fait quand même quelques années maintenant
11:31qu'on sait qu'il faut protéger ces infos.
11:33Oui, oui.
11:34Après, je pense qu'il y a quand même une multiplication
11:36de l'usage, finalement, de tous ces services-là.
11:39Que ce soit typiquement combien de fois par semaine, peut-être.
11:42Est-ce qu'on met des e-mails, des mots de passe sur des sites, etc.
11:44Donc finalement, on multiplie les acteurs
11:46à qui on va fournir de l'information.
11:48Et en effet, je pense que la sous-traitance,
11:50je pense que c'est un des points très importants.
11:52Nous, c'est pour ça qu'on se concentre sur l'extérieur de l'organisation.
11:55Parce que finalement, en fait,
11:56une entreprise, quand elle va se lancer sur un projet marketing,
11:58par exemple,
11:59ou même de construction d'un bâtiment,
12:01de déménagement de son organisation,
12:03en fait, il y a une multiplicité des acteurs
12:05qui vont avoir accès à l'information.
12:06Et les API ?
12:07Parce qu'on me parle souvent aussi du problème des API.
12:09En fait, toutes ces applications qui accèdent au système d'information.
12:12Oui, tout à fait.
12:13C'est pour ça que nous, on a développé un nouveau produit en 2024
12:15axé spécifiquement sur ces API externes.
12:17Parce qu'on se rend compte aussi que c'est une nouvelle porte d'entrée
12:19qui peut permettre d'accéder à de l'information
12:21et souvent, là, de la donnée, typiquement des données personnelles.
12:24Alors, moi, je voulais savoir aussi
12:26comment ça se monnaie.
12:27Est-ce que ça a encore de la valeur ?
12:28Parce que finalement, tout ce qui est exposé aujourd'hui,
12:31on se dit, bon, là, c'est bon,
12:32les cybercriminels, ils ont déjà toutes les infos nécessaires
12:35pour lancer leur campagne de phishing.
12:38Alors, ce sont des données qui ont de la valeur
12:40parce qu'elles vont permettre de favoriser,
12:42de simplifier certaines attaques.
12:44Le plus connu, c'est l'escroquerie,
12:46un type phishing par SMS.
12:48Au plus, vous avez de l'information sur une personne ou une entreprise.
12:51Mais est-ce qu'ils n'ont pas déjà tout ?
12:53Alors, elles ont tout, mais il y a aussi la fraîcheur de l'information.
12:55C'est-à-dire qu'une file de données de Yahoo,
12:57par exemple, il y a 10 ans,
12:58qui était des millions,
12:59enfin, des files de données, en fait, c'est régulier.
13:02Alors, certes, il y a peut-être encore des mots de passe de l'époque
13:05ou des fuites de LinkedIn aussi,
13:07qui sont peut-être encore valables,
13:08mais certainement que la fraîcheur de l'information est dépassée.
13:11Et donc, ça aussi rafraîchit tout ça,
13:13même sur des adresses postales, sur des numéros de téléphone.
13:15Des IBAN maintenant.
13:16Qui n'a pas encore reçu un SMS
13:18lié à une ancienne adresse, par exemple, postale,
13:21si vous avez déménagé.
13:22Donc, il y a aussi ça.
13:23Et il y a aussi le croisement des bases.
13:25Généralement, on se focalise sur un leak de données,
13:27une fuite de données.
13:28Mais les attaquants, eux,
13:30ils prennent ça largement,
13:31ils vont croiser les bases
13:32et ça enrichit d'autant plus la connaissance
13:34si on doit préparer une attaque sur une personne,
13:37une usurpation d'une identité,
13:38ou plus largement, je pense.
13:39Et si on regarde ce que ça...
13:42Quelles sont les conséquences ?
13:44Parce que, bon, alors, à chaque fois,
13:45on reçoit un mail qui nous dit
13:47« Alors, attention, vous donnez les piratés,
13:49mais bon, rassurez-vous,
13:50il n'y a quand même pas vos coordonnées bancaires. »
13:51Bon, bref.
13:52Quelles sont les conséquences
13:53pour les individus,
13:54qui sont visés par ces vols de données,
13:57pour les entreprises,
13:58et j'ai même envie de dire,
13:59pour l'économie, peut-être, même, du pays ?
14:02Au niveau de l'individu,
14:03c'est assez simple.
14:04C'est justement l'usage de ces données-là
14:06pour pouvoir créer, en fait,
14:08des schémas de fraude
14:09qui sont d'autant plus complexes.
14:10Donc, typiquement,
14:11ça va se faire passer pour free
14:13dans quelques semaines,
14:14et même par aussi des concurrents,
14:16qui vont pouvoir utiliser cette donnée-là
14:17pour savoir
14:18« Ah, je sais que vous aviez ce type d'abonnement,
14:20est-ce que ça vous intéresse, etc. »
14:22Donc, c'est vraiment la complexité, je pense,
14:24de ces schémas-là.
14:25Et puis après...
14:26Pour l'entreprise ?
14:27Pour l'entreprise, concrètement,
14:28c'est la réutilisation de ces données-là.
14:30Potentiellement, c'est des demandes de rançon
14:32quand on s'attaque à des groupes de ransomware.
14:34Et puis derrière,
14:35ça va être aussi la disruption des activités,
14:37parce que fuite de données,
14:38on peut dire perte de données,
14:40inaccessibilité des outils informatiques.
14:42Et dans ce cas-là,
14:43c'est toutes les histoires des hôpitaux
14:44qui fonctionnent au papier.
14:45C'est des organisations
14:46qui ne peuvent plus fonctionner
14:47pendant certains jours.
14:48Et donc là, par exemple,
14:49si on parle du secteur du retail, etc.,
14:51de la vente en ligne,
14:52l'inaccessibilité de ces outils-là
14:54va avoir des impacts très importants.
14:55Et sur l'économie mondiale, peut-être, Arnaud ?
14:57Au final, c'est sur la confiance dans ces systèmes.
15:01Alors aujourd'hui,
15:02on a a priori confiance dans les banques en ligne,
15:04parce qu'historiquement,
15:05il y a beaucoup de mécanismes de sécurité.
15:07On se souvient tous des claviers
15:09où les numéros changeaient.
15:11Aujourd'hui, c'est avec le smartphone
15:12où on demande confirmation des paiements bancaires.
15:15À travers la biométrie ?
15:16La biométrie,
15:17des systèmes qui sont relativement robustes
15:19au niveau des téléphones.
15:21Donc, ça va être la confiance dans l'outil numérique,
15:24parce qu'aujourd'hui,
15:25comme on l'a dit,
15:26c'est utilisé très largement pour faire des achats.
15:30Mais demain, pour aussi,
15:31et déjà aujourd'hui,
15:32pour faire des actes citoyens.
15:34Donc, c'est vraiment ça l'enjeu.
15:36Donc, ce n'est pas que l'économie mondiale.
15:37Vous nous dites que ça peut avoir des conséquences
15:38même sur les fonctionnements des États.
15:40Oui, par exemple,
15:41si demain on peut voter avec son téléphone.
15:43Je ne sais pas si ça arrivera un jour,
15:44parce que c'est un sujet qui est complexe.
15:45Mais tout ça, ça se construit aussi.
15:47Il faut qu'il y ait une adhésion,
15:48en fait, à un moment donné.
15:49Et d'ailleurs, on le voit bien,
15:51sur les générations,
15:52parfois les personnes peuvent être un peu réflecteurs à l'outil.
15:54Alors, il y a l'usage, il y a l'ergonomie.
15:56Mais il y a aussi le fait de ne pas avoir confiance,
15:57parce qu'on voit toutes ces fuites de données.
15:59Et on se pose la question de,
16:00mais finalement,
16:01est-ce que je vais vraiment avoir confiance
16:03dans cette entreprise demain ?
16:07Alors, on parle beaucoup d'entreprises françaises
16:09depuis le début,
16:10mais il y a aussi tout à l'international.
16:11Bien sûr.
16:12En Europe, on a le RGPD,
16:14qui est quand même censé, en théorie,
16:16on est au moins au courant
16:17qu'il y a une fuite de données,
16:18plus ou moins clairement.
16:20Mais à l'international,
16:22il y a tout un tas de fuites de données,
16:23on n'est pas au courant.
16:24Là, on a par exemple, vous citez LACNIL,
16:26mais LACNIL a engagé, par exemple,
16:29un contrôle après la fuite de données chez Free.
16:31Quel rôle elle peut tenir, finalement, là-dedans ?
16:34Est-ce que ça fait partie des acteurs
16:36qui peuvent permettre de stopper cette hémorragie ?
16:40Il faut.
16:41C'est son rôle,
16:42donc je pense que c'est important
16:43qu'il y ait un rôle,
16:44qu'il y ait un positionnement aussi,
16:46derrière, au niveau de la responsabilité,
16:48et aussi, potentiellement, limiter l'impunité,
16:50parce que c'est là où on a un problème.
16:52Si, finalement, il ne se passe pas grand-chose
16:54après ces grandes fuites
16:55qui ont été partout dans la presse,
16:57c'est le problème de confiance,
16:58et du coup, ça devient presque
16:59un phénomène de société,
17:00ou un risque pour la société,
17:01plus que juste pour l'économie.
17:02Et là, ça devient aussi, du coup,
17:04derrière politique,
17:05parce que c'est un choix politique
17:07qui a créé LACNIL,
17:08qui a créé le RGPD,
17:09c'est comment est-ce que, derrière,
17:10on arrive à en faire quelque chose de concret,
17:13pour que les citoyens, aussi,
17:14sentent l'intérêt, en fait, de ces organisations,
17:16et ne soient pas juste un acronyme ?
17:18Parce que là, on a vraiment l'impression, en fait,
17:20que ne se passe pas grand-chose, quoi.
17:22On fait juste accumuler des chiffres,
17:23de millions de données qui circulent,
17:25et on ne voit pas les actions.
17:27Donc, c'est vrai qu'on a un vrai besoin
17:28de transparence sur les actions.
17:30Vous, à votre niveau,
17:31qu'est-ce que vous pouvez donner
17:32comme conseils aux entreprises ?
17:34J'imagine qu'elles sont hyper dotées
17:36en logiciels de cybersécurité,
17:38hyper conseillées sur la protection des données,
17:41mais qu'est-ce qu'elles ne font pas ?
17:43Qu'est-ce qu'il faudrait ajouter comme couches
17:46pour que ces données soient mieux protégées
17:48par les entreprises ?
17:50Alors, les plus matures, oui,
17:51ont des moyens, des personnes, parfois...
17:53Les entreprises que j'ai citées, elles sont matures.
17:55Après, quand je parle d'Amazon,
17:57bon, même de Free, on se dit...
17:59Après, c'est la question de la surface, aussi,
18:00qu'elles doivent couvrir.
18:02Ce ne sont pas non plus des moyens illimités.
18:04C'est la complexité des couches qui s'empilent.
18:07Un système d'information,
18:08ce n'est pas comme, demain,
18:09un bâtiment que vous voulez renover,
18:10vous le détruisez, vous en faites à nouveau.
18:12Un système d'information,
18:13c'est quelque chose qui est sans cesse en transformation
18:16par des acquisitions,
18:18par des changements technologiques.
18:20Et c'est ça, la vraie difficulté.
18:22Et généralement, la première étape,
18:24ça va être aussi de faire un état des lieux,
18:26de faire des audits.
18:27Ça peut être de très hauts niveaux.
18:29Déjà, ne serait-ce que cartographier CSI,
18:31même si c'est un grand mot,
18:33c'est quelque chose d'avoir un petit peu une connaissance
18:35avant que quelqu'un s'occupe
18:37un petit peu de vos vulnérabilités.
18:39C'est déjà de faire ce type d'audit,
18:41mais il suffit, quelque part, de se préparer aussi
18:43avec des moyens de détection et de réponse,
18:45au pire,
18:46et d'essayer de minimiser, quelque part,
18:48l'impact de ces attaques
18:50qui peuvent réussir,
18:52à un moment donné,
18:53mais en tout cas,
18:54de rendre les systèmes plus résistants à ces attaques.
18:56Pauline, qu'est-ce qu'on peut donner comme conseil aux entreprises ?
18:59Je pense que c'est, en effet,
19:00choisir les outils en fonction de sa taille
19:02et de ses objectifs,
19:03parce que des outils de cybersécurité,
19:05il y en a énormément sur le marché,
19:07et tous ne vont pas forcément répondre
19:09aux mêmes priorités, aux mêmes besoins.
19:11Je pense qu'il y a de plus en plus d'organisations,
19:13par exemple, qui vont se développer
19:15pour aider des PME, des TPE.
19:17Je pense que c'est important d'être spécifiquement sur ce marché-là.
19:19Et sur les grandes organisations,
19:21il faut se dire que c'est toujours un travail continu.
19:23La surface d'attaque augmente constamment,
19:26et il faut pouvoir se dire
19:28qu'on a tout ça à faire,
19:29mais il y a aussi cette nouvelle partie.
19:31Typiquement, par exemple, sur la partie API,
19:33on voit une grande différence de maturité
19:35entre nos prospects, entre les organisations,
19:37entre deux organisations du CAC 40.
19:39Il ne faut pas se dire, parce qu'il y a le même chiffre d'affaires,
19:41c'est une grande diversité en fonction des secteurs.
19:43Il y a quand même des secteurs,
19:45typiquement banque et assurance,
19:47parce qu'il y a une régulation.
19:48Elles ont été obligées très tôt
19:50d'investir beaucoup plus d'argent
19:52dans ce type de solution,
19:53pour respecter ces réglementations,
19:55là où d'autres secteurs, aujourd'hui, sont plus à la traîne.
19:57Arnaud,
19:59j'aimerais bien qu'on comprenne aussi
20:01ce qu'il y a comme type d'attaque
20:03à l'origine de ces fuites de données.
20:05Par exemple, les processus.
20:07Nous, quand on intervient, par exemple,
20:09sur les incidents de sécurité, gestion inactive,
20:11on va avoir beaucoup d'incidents
20:13qui sont liés à des mauvaises pratiques,
20:15des mauvaises configurations,
20:17qui peuvent être éphémères, d'ailleurs, dans le temps.
20:19Il va falloir qu'Internet, c'est un peu le Far West.
20:21Donc, si vous laissez des bases de données
20:23sans protection pendant quelques heures,
20:25elles peuvent se faire pirater
20:27s'il n'y a pas d'authentification.
20:29Ensuite, il y a tous ces problèmes
20:31d'authentification, d'accès,
20:33c'est un manque de vigilance.
20:35C'est des manques de vigilance, souvent,
20:37parce que les administrateurs reconnaissent
20:39eux-mêmes qu'ils n'auraient pas dû faire ça.
20:41Ils auraient dû prendre plus de temps à sécuriser.
20:43Sauf que c'est trop tard.
20:45Surtout que la fuite de données,
20:47une fois que ça arrive, elle est perdue.
20:49Finalement, il n'y a que le mot de passe qu'on peut changer.
20:51Le reste des données, elle est fixe.
20:53Ensuite, vous avez toute une classe...
20:55Donc là, sur le type d'attaque, en fait, il suffit de se servir.
20:57C'est à un moment, des données qui sont en clair.
20:59C'est assez opportuniste aussi.
21:01C'est quand même parfois que les attaquants,
21:03on peut imaginer qu'ils sont en limite de temps,
21:05de capacité à tout adresser.
21:07Parce qu'à Surface, c'est vraiment extrêmement important
21:09d'avoir des outils en ligne pour faire ça.
21:11Et je pense que quand on cherche
21:13des fuites de données sur Internet,
21:15on doit en trouver.
21:17Et puis après, il y a toutes les classes d'attaques
21:19qui sont liées.
21:21On a parlé un peu de ransomware.
21:23Ça a été quand même un tremplin
21:25pour la fuite de données.
21:27Parce qu'il y a quelques années,
21:29il y a ce qu'on appelle la double extorsion.
21:31C'est le fait, un, de rançonner les données
21:33et en même temps, d'extraire en masse,
21:35là, c'est le chalutier,
21:37en masse des données à partir
21:39de mots-clés et de les mettre à disposition.
21:41Et ça, ça...
21:43Généralement, ça utilise aussi des vulnérabilités
21:45potentiellement sur des applications.
21:47Et là, ça demande d'autres types d'audits.
21:49C'est pas que des bonnes pratiques.
21:51C'est aussi auditer le développement des applications,
21:53la manière dont est architecturée aussi
21:55les applications pour, encore une fois, les rendre plus résistants.
21:57Mais là, ça veut dire, en termes d'attaques,
21:59c'est beaucoup plus sophistiqué ?
22:01Sophistiqué, où il suffit de prendre sur étagère
22:03des outils qui implémentent, quelque part,
22:05ces exploitations de vulnérabilité,
22:07comme on les appelle.
22:09Ça peut être...
22:11Généralement, quand les communiqués disent
22:13« On a eu une attaque hyper sophistiquée »,
22:15souvent, on aimerait bien avoir les détails.
22:17Parce que souvent, c'est quand même des attaques
22:19qui sont documentées, référencées.
22:21Et c'est qu'à un moment donné,
22:23peut-être qu'il y a eu un défaut.
22:25Ça peut être aussi en termes de surveillance,
22:27quand on intervient sur un ransomware.
22:29La dernière alerte qu'on voit de l'antivirus,
22:31c'est « Attention, il y a un virus ».
22:33C'est-à-dire qu'à un moment donné,
22:35personne n'a forcément à superviser ces alertes.
22:37Donc ça peut être aussi ce type d'attaques.
22:39Et c'est très vaste.
22:41La surface, c'est vraiment très vaste.
22:43On a parlé un peu de phishing.
22:45Il y a des éléments de configuration,
22:47des éléments techniques, des éléments d'architecture.
22:49Et là, il faut adresser un peu tout ça.
22:51Et c'est un peu l'enjeu pour l'entreprise.
22:53Et si autant celles matures
22:55peuvent mettre en place des actions
22:57pour corriger ça,
22:59celles qui découvrent un peu le sujet,
23:01soit par la réglementation,
23:03soit parce qu'il y a un incident de sécurité,
23:05se prennent un chantier énorme à prendre en compte.
23:07Pauline, vous avez 30 secondes,
23:09si vous voulez ajouter quelque chose
23:11sur ce que vous voyez de ces cybercriminels,
23:13comment ils procèdent ?
23:15Concrètement, on voit différentes étapes.
23:17On voit par exemple le côté des bases de données
23:19qui vont rester ouvertes pendant quelques heures.
23:21On veut pouvoir prévenir nos clients le plus rapidement
23:23pour pouvoir les fermer.
23:25Il y a vraiment cette étape de monitoring continu.
23:27Je pense que l'audit est très importante.
23:29Il faut aller proactivement tester des choses.
23:31Et en même temps, on est là de manière
23:33un peu passive versus le pen test
23:35de se dire qu'au quotidien 24-7,
23:37nos crawlers sont là,
23:39ils vont chercher de la donnée pour pouvoir identifier...
23:41Ça veut dire que les cybercriminels font la même chose ?
23:43Ils se crawlent, ils sont à la recherche
23:45de ces données qui sont disponibles
23:47à un moment, à un instant T.
23:49On va être sur toutes les adresses IP,
23:51sur des protocoles de serveurs,
23:53mais ça peut être aussi sur des plateformes comme Github
23:55qui vont être utilisées par énormément de développeurs
23:57et qui ne vont pas se rendre compte
23:59qu'ils utilisent ces outils qui sont ouverts
24:01à n'importe qui.
24:03Merci beaucoup Pauline Leçon.
24:05Je rappelle que vous êtes directrice des opérations cyber
24:07de Cybele Angel
24:09et Arnaud Pilon, responsable des activités
24:11de réponse aux incidents chez Synactive.
24:13Merci encore pour vos éclairages.
24:19Le rendez-vous mobile business
24:21c'est avec Jérôme Bouteiller,
24:23le fondateur d'EcranMobile.fr.
24:25Bonjour Jérôme. Bonjour Delphine.
24:27Aujourd'hui vous penchez sur le RCS,
24:29un nouveau format de messaging
24:31qui est le successeur du SMS
24:33et qui arrive enfin sur iPhone.
24:35Oui effectivement, un lancement qui s'est fait attendre
24:37parce que le SMS a été lancé dans les années 90,
24:39le MMS dans les années 2000.
24:41Il y a eu un faux départ au début des années 2010
24:43avec la norme JOIN
24:45qui avait été lancée par certains opérateurs
24:47mais il a fallu attendre 2016 je crois
24:49avec la définition de la norme RCS
24:51Rich Communication Services
24:53par la puissante GSM Association
24:55qui réunit les opérateurs du monde entier
24:57pour avoir un vrai successeur.
24:59Donc là on peut parler d'un lancement universel ?
25:01Alors les opérateurs se sont mis d'accord
25:03à la fin des années 2000 mais il fallait encore convaincre
25:05les géants du monde du smartphone. Alors heureusement pour eux
25:07il y a Google qui a très vite affiché
25:09son soutien au RCS avec le lancement
25:11de ce format non seulement
25:13dans sa gamme de smartphone Pixel mais surtout
25:15dans le logiciel de messagerie Message
25:17des smartphones Android. Il a fallu ensuite
25:19séduire d'autres constructeurs de smartphones Android
25:21on peut citer Samsung qui avait ses propres
25:23logiciels de messaging sur ses smartphones Android.
25:25Et puis évidemment la dernière prise en date
25:27importante c'est Apple qui après avoir
25:29longtemps tergiversé a décidé de déployer
25:31le RCS sur les iPhones et ça y est
25:33il arrive effectivement sur
25:35les iPhones avec iOS 18.2
25:37Alors si vous avez
25:39SFR, Free ou Bluetelecom
25:41ça y est ça fonctionne depuis quelques jours
25:43et si vous êtes chez Orange ça devrait être
25:45fonctionnel dans les toutes prochaines semaines.
25:47Et ça fait combien de personnes qui peuvent
25:49aujourd'hui envoyer ou recevoir
25:51des RCS ? Alors d'après des chiffres qui sont
25:53publiés cette semaine par la F2M
25:55l'association qui réunit les solutions
25:57multi-opérateurs on aurait 28 millions
25:59de smartphones sur le marché français
26:01ça correspond au 1er octobre
26:03à peu près à 48% du parc
26:05mais avec l'arrivée de l'iPhone on va
26:07très probablement franchir le seuil des 50%
26:09du parc avant la fin de cette année.
26:11Au niveau mondial le chiffre qui circule depuis
26:13le début de l'année c'est 1 milliard d'utilisateurs
26:15actifs sur le RCS
26:17c'est un chiffre fourni par Google mais également
26:19mécaniquement avec l'arrivée de l'iPhone on devrait
26:21atteindre les 2 milliards
26:23sans doute début 2025 et puis peut-être même encore
26:25doubler ce chiffre pour toucher l'intégralité
26:27du parc de smartphones d'ici la fin
26:29de cette décennie pour mettre les chiffres
26:31en perspective. La messagerie mobile
26:33aujourd'hui la plus populaire c'est WhatsApp et elle a
26:35environ 2 milliards et demi d'utilisateurs
26:37actifs chaque mois.
26:39Qu'est-ce qu'on peut faire
26:41pour ceux qui n'ont pas encore testé ? Qu'est-ce qu'on peut faire
26:43de plus avec un RCS qu'avec un SMS ?
26:45RCS il y a Reach, Communication
26:47Services et on va enrichir l'interface
26:49rien à voir avec l'austérité
26:51du SMS et son écran noir et blanc.
26:53Là on va avoir de la couleur, des images
26:55des vidéos, des carousels
26:57des QR codes, des cartes
26:59tous les éléments multimédia
27:01qu'on a le droit aujourd'hui de s'échanger dans une apparition
27:03de messagerie moderne.
27:05On va également enrichir les conversations
27:07conversation à deux, conversation
27:09de groupe, conversation
27:11chiffrée. On va pouvoir aussi s'envoyer des messages audio
27:13des messages vidéo et puis il y a également
27:15l'arrivée du business messaging
27:17l'arrivée des communications de marques
27:19avec une certification
27:21des émetteurs, plus de sécurité
27:23et puis également pour les marques beaucoup d'analytics
27:25sur les performances de leurs messages
27:27commerciaux. Donc c'est très attendu
27:29ce RCS par les entreprises j'imagine ?
27:31Alors effectivement d'après
27:33la F2M une fois de plus il y a
27:35aujourd'hui plus de 170 annonceurs
27:37qui testent le RCS, un chiffre en hausse
27:39de plus de 30% au cours des derniers mois
27:41on rappelle c'est un canal
27:43qui n'est pas gratuit pour les marques, ça coûte
27:45quelques centimes d'envoyer un RCS
27:47on peut aussi avoir des sessions
27:49de 24h avec des communications illimitées
27:51pour les consommateurs mais c'est un
27:53canal qui est assez performant, les taux d'ouverture
27:55dépassent les 70%, c'est 5 fois
27:57plus que l'e-mailing. On a aussi des taux
27:59de clics qui sont souvent à deux chiffres
28:01et donc pour beaucoup de marques aujourd'hui c'est un canal considéré
28:03comme rentable et donc elles vont poursuivre leurs investissements.
28:05Et du côté de ce RCS
28:07business messaging
28:09quelles sont les innovations ?
28:11Alors il y a deux grosses innovations qui sont
28:13attendues dans les prochains mois, la première c'est ce que
28:15les opérateurs appellent le P2E
28:17c'est en gros des messages qui sont à l'initiative
28:19des consommateurs, pas uniquement les
28:21marques qui écrivent aux consommateurs, c'est ce consommateur
28:23qui démarre la conversation et ça va
28:25ouvrir tout un champ des possibles dans le domaine de la
28:27relation client. Il y a aussi
28:29l'arrivée du paiement qui devrait se faire
28:31au travers de Webviews ou au travers
28:33de l'application Wallet du smartphone
28:35et là on peut anticiper des use case en matière
28:37de commerce électronique
28:39probablement au début pour des tickets de train
28:41ou métro mais pourquoi pas demain aussi pour des
28:43produits physiques. Et donc avec le RCS les marques
28:45vont pouvoir faire de la publicité,
28:47elles le font déjà, du commerce électronique
28:49et de la relation client, ça va couvrir
28:51l'ensemble en fait de leurs problématiques marketing.
28:53Merci beaucoup Jérôme Bouteiller
28:55fondateur d'EcranMobile.fr
28:57merci pour vos éclairages et puis merci
28:59à vous de nous suivre sur la chaîne Bismarck Fortschel
29:01vous pouvez aussi nous retrouver en podcast bien évidemment
29:03c'était Smartech et on se retrouve
29:05très bientôt pour de nouvelles discussions
29:07sur la tech.