Sécurité, cybersécurité
Ely de Travieso (Phonesec) « Je voudrai donner une image positive de la sécurité informatique»
Focus sur la Sécurité informatique avec Ely de Travieso, directeur de Phonesec, spécialiste dans la gestion des risques numériques
Spécialiste dans le management des risques numériques, Ely de Travieso est co-fondateur et directeur de la société Phonesec. Créée en 2002, l’entreprise regroupe une quinzaine de spécialistes sur Paris et Marseille, Phonesec accompagne ses clients tels SFR, Orange, Gemalto, la Caisse d’Epargne, Cdiscount ou la SNCF dans le traitement des menaces liées à l’économie numérique : lutte contre la fraude, sécurité de l’information, conseil, formation…
A l’époque de la naissance de Phonesec, il y a 12 ans, la sécurité informatique n’était la préoccupation que de très grands groupes. Un constat encore d’actualité si l’on s’appuie sur le dernier baromètre Ipsos – Navista sur la sécurité auprès des PME françaises (Lire l’article) : plus de la moitié des 300 chefs d’entreprises interrogés ne prend aucune disposition pour se protéger mais 90% d’entre eux sont conscients du risque. Pourtant il existe des réglementations émises par la CNIL qui peuvent conduire à des amendes conséquentes si elles ne sont pas respectées et depuis 2 ou 3 ans, un marché de la sécurité TPE / PME est en train de naître. Des assurances en sécurité informatique sont même proposées par les groupes Allianz, Axa ou Hiscox notamment, pour être dédommagé en cas de vols ou d’attaques.
« La sécurité est trop généraliste », selon Ely de Travieso, et Il y a déjà plusieurs aspects à distinguer ; la sécurité interne c’est-à-dire ce que l’on met en place en interne comme barrière de sécurité physique en fonction de la taille de ses infrastructures et Il y a la sécurité externe de ses supports numériques : site internet, applications web…
Ely de Travieso : « Sur la sécurité informatique, il y a deux discours. D’un côté, des gens très alarmistes et de l’autre, ceux qui pensent que la sécurité, ça se met au bon niveau ! Je fais partie de la seconde catégorie. En sécurité informatique, il n’y a pas de niveau standard. Le niveau d’une banque n’a rien à voir avec celui d’une TPE. Les deux pourtant doivent pouvoir se « déresponsabiliser » vis-à-vis de leurs clients, de leurs partenaires et même de leurs employés ! C’est le premier objectif, se déresponsabiliser ! En cas de problème, le chef d’entreprise doit démontrer qu’il a fait des choses en matière de sécurité. Il a une responsabilité légale par rapport à la gestion de son système d’information. Le gros problème c’est la sensibilisation des patrons sur cette responsabilité juridique qu’ils ignorent. Il faut leur faire comprendre que leur système d’information, c’est leur cœur et qu’il faut le protéger un minimum !
Mediatic Info : Mais pour une banque, il y a une logique à se prémunir et adopter un principe de sécurité, alors que pour une TPE, c’est plus difficile à convaincre
Ely de Travieso : « C’est pour cela que la sécurité doit se mettre au juste niveau. Pour définir le juste niveau, nous réalisons en amont une analyse de risque qui détermine l’exposition de l’entreprise au risque numérique quel qu’il soit, interne, externe…et en fonction de cette analyse nous définissons les mesures de sécurité. On s’aperçoit souvent que pour une TPE, la fraude interne ce n’est pas sa priorité. En règle générale, ils ne sont que 3 ou 4 dans la structure et se connaissent tous, ils n’ont donc pas nécessairement à se méfier des uns et des autres. Donc, la TPE sera intéressé par avoir un plan de sauvegarde pour tout récupérer en cas de « crash », et devra néanmoins assurer la sécurité de ses supports numériques comme son site Internet par exemple. Pour cela, la TPE est prête à payer mais un certain montant ! Et son prix psychologique, c’est 30 euros par mois !
En revanche une banque est beaucoup plus exposée et elle ne va pas hésiter à se sécuriser ! Les groupes, banques, assurances, e-commerçants, tous déjà doivent répondre à des réglementations bien précises. Les opérateurs d’importance vitale ont des obligations. Ils ont une vraie maturité sur la sécurité. Bon nombre ont un service interne de sécurité informatique qui assure la gouvernance en mettant en place des règles et en faisant de la sensibilisation. Il peut être aussi très technique et fera alors de l’exploitation sécurisée.»
Mediatic Info : Doit-on comprendre que les TPE/PME ignorent les aspects de sécurité plutôt pour des questions de coûts ?
Ely de Travieso « Elles ignorent la sécurité parce que le marché ne s’est pas encore structuré pour leur parler. Le jour où le marché proposera des offres TPE/PME, alors ils vont commencer à entendre. »
Mediatic Info : Mais investir ne veut pas dire être protégé à 100% d’où une réticence du chef d’entreprise.
Ely de Travieso « Exactement. Mais pour les petites entreprises, il y a surtout d’autres priorités. Quand on dit à un chef d’entreprise de TPE/PME, sécuriser son SI cela lui coûtera 20 000 €. Pour lui c’est investir 20 000 pour quoi ? Dans quelque chose qui va le protéger d’un risque potentiel mais qui n’est pas encore arrivé ou qui n’arrivera peut-être jamais ! Le choix est vite fait. Il y a des TPE qui se sont faites pirater leur site Internet avec photos d’intégristes, etc. … Ils nous disent que cela ne les intéressaient pas d’être sécurisés. Leur réponse est « Personne ne va sur notre site et de toutes façons nous devions le refaire dans 1 an». Les entreprises n’ont pas conscience de la menace. L’informatique, c’est comme un stylo pour eux, alors si demain ils doivent changer de stylo, alors ils le changent mais ce n’est pas pour autant qu’ils se disent que sans stylo, ils ne pourront pas travailler ! Ils pensent tous qu’en 48h00, ils redémarreront. Ce qui n’est pas faux en soi mais ils auront tout perdu mais cela ne semble pas déterminant pour eux ! »
Mediatic Info : Et la menace est bien évidemment externe mais surtout interne ?
D’un point de vue statistique, il y a beaucoup plus d’attaques internes qu’externes. A mes yeux, c’est normal parce qu’il est plus facile de mesurer les attaques internes que les attaques externes. Regardez Gemalto ! Ils n’ont compris que 5 ans après qu’ils avaient été attaqués. Pendant 5 ans, personne n’a rien su et vu ! Et il a fallu que quelqu’un divulgue ces informations pour qu’on l’apprenne, sinon rien… Je préfère donc penser et dire que les attaques externes, les entreprises ne les voient pas et donc elles ne les mesurent pas ! Et pourtant, une entreprise peut faire l’objet de plusieurs d’attaques. Il y a celles des « script kiddies » (gamin à script), ce sont des néophytes, dépourvus de compétences en matière de gestion de la sécurité informatique, qui passent l’essentiel de leur temps à essayer d’infiltrer des systèmes, en utilisant des scripts ou programmes mis au point par d’autres. Le deuxième niveau, c’est celui des Hackers professionnels ; eux vont toujours trouver le moyen de rentrer d’autant plus qu’il y a souvent des intérêts financiers à la clé. Il faut bien voir que plus l’entreprise est grande, plus il y a d’employés, plus il y a de supports numériques et plus la surface d’attaque est grande et accessible. Il n’est pas évident pour une entreprise de tout mesurer. Dans certains audits, nous faisons un test simple : semer 4 à 5 clés USB le matin devant une entreprise en différents endroits. Vous pouvez être sûr que vous trouverez quelqu’un qui va en ramasser une et qui va la brancher pour voir ce qu’elle contient. Et voilà, vous êtes entré dans le système ! Il n‘y a pas un audit où ce test ne soit pas positif. Pourtant dans la gouvernance sécurité d’une entreprise, il y a un document qui s’appelle la PSSI, la politique de sécurité d’un système d’information. Cette PSSI dit quand vous trouvez une clé USB, vous ne la branchez pas ! Les clés USB de l’entreprise ne doivent pas être utilisées en dehors de l’entreprise…Pour l’entreprise la solution passe par la désactivation des ports USB ou par la sensibilisation de ses employés à ces dangers. C’est souvent le plus difficile. En fait il n’y aucun système infaillible, le niveau de sécurité total n’existe pas, nous l’avons dernièrement vu aux Etats Unis avec l’affaire Edward Snowden. »
Mediatic Info : Qu’est-ce qu’il faudrait faire pour que les aspects liés à la sécurité informatique soient compris ? Doit-on passer par de nouvelles technologies comme par exemple la biométrie dont en parle beaucoup en ce moment !
Ely de Travieso « Derrière la biométrie il y a la problématique du contrôle d’accès aux données. Prenons l’affaire Snowden du nom de cet informaticien américain, ancien employé de la Central Intelligence Agency (CIA) et de la National Security Agency (NSA). Il a révélé les détails de plusieurs programmes de surveillance de masse américains et britanniques. Pour cela, il a du « pomper » plein de données, il a le droit d’accès à ces données mais quid de la surveillance de l’accès à ses données ? Autre exemple, les banques suisses qui ont fait sortir le fichier de leurs clients français, Il y a eu des personnes qui ont cherché les noms sur une liste et qui les ont donnés à une tierce personne. On voit bien que le contrôle d’accès est toujours le talon d’Achille de la sécurité. Si on blinde le contrôle d’accès, on renforce indirectement la sécurité des informations stockées dans la zone sécurisée. Des experts mettent au point des solutions qui passent par la suppression des mots de passe. Si on n’a pas de mot de passe à taper, cela signifie que l’on n’a pas de listes à stocker! En le supprimant pour l’empreinte digitale ou oculaire, la notion de « je te vole ton mot de passe disparait ». D’autres technologies arrivent comme celle d’un identifiant intégré dans le smartphone. Vous le placez à côté de votre ordinateur, vous êtes identifiez ! Se posera alors le problème du vol de smartphone ! Il n’y aucun système qui soit infaillible.»
Mediatic Info : Contrairement aux autres vous n’avez pas l’esprit sécuritaire. Vous êtes de ceux qui considèrent que la sécurité informatique doit être associée à la Qualité.
Ely de Travieso « Le mot sécurité ne me plaît pas et il ne plaît pas ! Il ne plaît pas au développeur qui se dit que l’on va lui dire comment il doit travailler, ce qui est vrai ! Il ne plaît pas au chef de projet, parce son leitmotiv c’est faire du chiffre d’affaires, augmenter le nombre d’utilisateurs et pas forcément faire le tout de façon sécurisé. Pour moi, il vaut mieux accès sur la qualité que sur la sécurité. Sécurité égale optimisation de la qualité ; c’est-à-dire que le développeur, l’équipe projet permettent d’obtenir une certaine qualité et la sécurité doit permettre d’améliorer cette qualité en faisant en sorte de ne pas avoir de bugs surprises, pas de vols, de dégradations ou de malveillances, tout ce qui est lié à la qualité de son business. C’est une autre démarche vers laquelle tendent de plus en plus les grands groupes, alors que les alarmistes que j’évoquais au début continuent de penser qu’il faut se surprotéger contre tous les risques. L’esprit sécuritaire est dépassé. Il vaut mieux considérer la sécurité comme une rambarde pour mieux s’y accrocher mais pas comme la panacée ! L’image de la sécurité informatique doit être positive et non pas une image qui fait peur !
En plus de ses activités professionnelles, Ely de Travieso est également très actif dans le monde associatif, tant dans les communautés Sécurité IT que dans le monde entrepreneurial. Il est ainsi :
Président d’association Clusir Paca
Chargé des Partenariat – Owasp France
Président de la Commission Economie Numérique à la CGPME & Chargé de mission NTIC
Big Data
Paris/La Ciotat : Atempo.Wooxo va recruter 40 personnes pour consolider sa position de leader européen
Le groupe Atempo.Wooxo, leader européen des solutions de protection du patrimoine numérique professionnel avec une présence internationale, ouvre une quarantaine de postes en France et à l’étranger pour renforcer ses capacités R&D, soutenir son fort développement à l’international et conforter sa position de leader européen.
Acteur engagé dans la lutte contre la cybercriminalité, Atempo.Wooxo est un fervent promoteur de la souveraineté numérique européenne, et un éditeur reconnu sur le plan international dans le management des très grands volumes de données. Le groupe est en pleine expansion et réalise une croissance à deux chiffres dans un contexte économique difficile dû à la pandémie de la Covid-19, aggravé par une cybercriminalité galopante.
Pour conforter sa position de leader de la protection des données, et d’acteur incontournable du Data Management des grands volumes de données, le groupe investit dans l’innovation et le développement commercial. Il recherche des femmes et hommes de conviction, qui se reconnaissent dans les missions du Groupe, pour soutenir son fort développement.
Atempo.Wooxo recherche des profils expérimentés issus du monde de l’IT, passionnés par les nouvelles technologies mais également de jeunes talents désireux de développer leur expérience et leurs compétences. Les nouveaux collaborateurs se verront confier des missions ambitieuses et bénéficieront d’une large autonomie dans un domaine situé au carrefour de l’innovation big data, de l’intelligence artificielle et de la cybersécurité.
Une quarantaine de nouveaux collaborateurs seront donc recrutés cette année pour renforcer l’avance technologique des solutions du portefeuille du groupe et garantir à ses clients, publics comme privés, les évolutions fonctionnelles qu’ils attendent. Les postes sont à pourvoir en France (Paris, Orléans, Lyon, Marseille, Toulouse et Vannes) et également à l’international dans ses bureaux en Allemagne, en Angleterre et aux Etats-Unis.
Les profils recherchés sont multiples : Product Marketing Managers, Product Owners, Architectes logiciels, Administrateurs systèmes et réseaux, développeurs C++, Angular, Python, des experts CMake DevOps, Ingénieurs QA, Techniciens Support niveau II, Conseillers numériques, Ingénieurs avant-vente, Consultants, Channel Managers, Territory Account Managers et Contrôleurs de gestion.
Ecosystème
Marseille : Mailinblack, Lauréat de l’initiative nationale ‘’Le Grand Défi Cybersécurité’’
MailInBlack, leader français de la protection des entreprises et des collaborateurs contre les spams et les virus informatiques, fait partie des 11 sélectionnés par le gouvernement pour le ‘’Grand Défi Cybersécurité’’. Leurs projets seront en partie financés par l’État, un investissement qui entend faciliter l’effort de R&D de ces entreprises dans plusieurs domaines de la cybersécurité. Le Président de la République Emmanuel Macron a en effet dévoilé jeudi 18 février le plan stratégique de cybersécurité nationale qui vise à créer un « écosystème » national indépendant des GAFAM (acronyme des géants du Web : Google, Apple, Facebook, Amazon et Microsoft), en portant les effectifs de la filière à 40 000 emplois et 25 milliards d’euros de CA à l’horizon 2025.
Pour l’entreprise marseillaise et son directeur général Thomas Kerjean, c’est une reconnaissance nationale, une consécration. « Nous sommes très fiers de compter parmi les 11 premiers lauréats du Grand Défi Cybersécurité. C’est une reconnaissance pour notre travail ces 18 derniers mois et un appui majeur pour nos innovations à venir,’’ salue Thomas Kerjean. ‘’Après 15 ans de carrière au sein des GAFAM, je suis heureux de voir la France se saisir d’une question d’intérêt national, cruciale pour notre souveraineté et notre leadership technologique dans le monde. Encore plus heureux que Mailinblack y participe activement » conclut le directeur général de Mailinblack.
MailInBlack, a vu son activité exploser depuis la crise sanitaire. Il y a une semaine l’entreprise a lancé une solution « anti phishing », basée sur l’intelligence artificielle, et les neurosciences pour former individuellement les utilisateurs à la cyber-sécurité. Or en 2020, 61% des cyber attaques étaient des phishing et 90% des attaques de phishing qui consiste à se faire pirater par le biais d’un mail frauduleux sont dues à une erreur humaine. Plus de 150 clients dont OpenClassrooms, l’OM, le Groupe Hopps, Jaguar Networks, Wooxo ont déjà adopté la solution ‘’Phishing Coach’’.
Suite aux deux attaques perpétrées contre les hôpitaux de Dax et Villefranche-sur-Saône, la cybersécurité est aujourd’hui un enjeu stratégique et ce qui a poussé le gouvernement à investir un milliard d’euros.
Après avoir levée 14M€ en avril 2019 pour accompagner son développement international et intensifier sa R&D en Intelligence Artificielle, Mailinblack bénéficiera d’une subvention de l’Etat pour poursuivre ses innovations. Les subventions du Grand Défi vont appuyer la Recherche & Développement de l’entreprise ainsi que les innovations à risque en Deep Learning / Threat intelligence et neurosciences / sciences cognitives.
La vision 2023 de Mailinblack, leader en cybersécurité avec plus de 12 000 clients, est de consolider un leader européen en démocratisant l’accès aux fondamentaux de la cybersécurité – en priorité les hôpitaux, les collectivités, les TPE et les PME.
Ecosystème
Marseille : Mailinblack lance Phishing Coach pour sensibiliser les salariés aux emails frauduleux et cyber-attaques
Parce que 90 %* des incidents de sécurité informatique impliquent une erreur humaine, Mailinblack, leader en France de la protection des entreprises et des collaborateurs contre les spams et les virus informatiques et membre de la Communauté des entreprises à haut potentiel de la région Sud** – a dévoilé Phishing Coach lors d’une conférence de presse organisée le 11 février dernier par risingSUD, l’agence de développement économique de la région Sud.
Mailinblack a pour objectif de continuer d’asseoir son positionnement de leader de la protection de messagerie en France avec une approche de la sécurité email à 360° en faisant de l’humain un facteur indispensable pour une cybersécurité infaillible.
Phishing Coach, un dispositif de cybersécurité centré sur l’humain
En lançant Phishing Coach, Mailinblack entend mettre à disposition des salariés d’une entreprise un outil de sensibilisation et de formation aux emails frauduleux et aux cyber-attaques qui permet de lutter contre la vulnérabilité des entreprises. Avec cette solution, l’entreprise peut simuler des attaques de Phishing afin d’éduquer chacun de ses collaborateurs de façon informelle, flexible et ciblée. Une approche pédagogique basée sur l’IA et les neurosciences plébiscitée par les DSI et les directions générales des entreprises.
« La grande majorité des attaques passent par les emails des salariés. Ces derniers sont souvent vulnérables, non formés et non concernés par la cyber-sécurité, alors qu’ils ont le potentiel pour être la première barrière dans la protection de l’entreprise. Pour cela, il faut miser sur leur éducation et leur sensibilisation », précise Thomas Kerjean, directeur général de Mailinblack.
Lancé en version beta en septembre dernier, ce produit innovant dédié aux entreprises et aux administrations publiques a déjà séduit 150 clients en pré-lancement dont Jaguar Network, Olympique de Marseille, Métropole Aix Marseille, OpenClassrooms et Alsid.
“On avait choisi un mail qui disait : « nous avons déployé une nouvelle solution, merci de cliquer sur ce lien et de saisir vos identifiants. On a eu 35 personnes sur 270 employés qui ont cliqué sans se méfier. » explique Jonathan Lefebvre, directeur technique d’OpenClassrooms.
« Les points forts de Phishing Coach sont de toucher directement l’utilisateur, de le sensibiliser, et ainsi de le former à des menaces qui s’accélèrent et qui sont de plus en plus précises. Chez Jaguar Network, nous avons formé plus de 15 % des utilisateurs », déclare Kevin Polizzi, PDG de Jaguar Network.
Forte de plus de quinze années d’expertise en sécurité, R&D et intelligence artificielle, Mailinblack, basé à Marseille et comptant 60 salariés, protège les systèmes informatiques de plus de 12 000 entreprises, collectivités et établissements de santé à travers la France.
*Source : IBM
** Créée en 2020, la Communauté des entreprises à haut potentiel compte 72 entreprises implantées en région Sud depuis plusieurs années. Véritable réseau d’échanges et de création de valeur, la Communauté regroupe les entreprises qui ambitionnent de devenir les championnes du territoire pourvoyeuses d’emplois, en changeant d’échelle de PME à ETI et au-delà.
