Avec le soutien de partenaires institutionnels (Clusif, FFCyber, CNPP Cybersecurity, CyberCercle, Cybermalveillance.gouv.fr, CyberTaskForce, SP-AC, Direction centrale de la Police judiciaire (sous direction de la lutte contre la cybercriminalité)…) et d’exposants (Avant de cliquer, Cyber4U, GateWatcher, KeoPass, Upfront technologies…), le salon va inaugurer l’espace Cyberprévention. Au menu : développement de la culture de la prévention et intégration de la cyberprotection aux systèmes de sûreté-sécurité.
La cyberdélinquance se porte mieux que jamais ! En témoigne l’édition 2021 du Baromètre de la cybersécurité des entreprises réalisé par Opinionway pour le Club des experts de la sécurité de l’information et du numérique (Cesin). En effet, 19 % des entreprises ont été victimes en 2020 d’une attaque de type rançongiciel (ransomware) provoquant un chiffrement ou un vol de données. « Après avoir payé une rançon, les victimes peuvent ensuite faire l’objet d’un chantage à la divulgation des données, soulève Alain Bouillé, président du Cesin. Par ailleurs, avec les outils de piratage disponibles sur le Dark Web, la cybercriminalité se démocratise. »
Pis : « Le ‘‘retour sur investissement’’ d’une campagne d’attaques sur une vingtaine de cibles par des criminels affiliés à une plateforme de Ransomware as a Service (RaaS) s’élève de 232 % à 880 % », indique Gérôme Billois, expert en cybersécurité et gestion des risques numériques au cabinet Wavestone. Pour un ‘‘investissement’’ total moyen de 127 660 dollars, le gain brut des pirates oscille entre 1,4 et 4,3 millions de dollars par rançon. Face à ces menaces, le salon hybride Expoprotection Sécurité (du 28 au septembre en présentiel à Paris Porte de Versailles et en distanciel) innove en inaugurant l’espace Cyberprévention.
Diffuser une culture de la cyberprévention
« Il ne s’agit pas de créer un nouvel événement en cybersécurité dédié aux spécialistes techniques que sont les directeurs des systèmes d’information (DSI) ou les responsables de la sécurité des systèmes d’information (RSSI). Ici, notre approche s’intéresse aux directeurs et responsables sûreté–sécurité », explique Jean-François Sol-Dourdin, directeur de la division Gestion des risques chez Reed Expositions France (Expoprotection, Expoprotection Sécurité, Infoprotection.fr, L’Atelier des Préventeurs). Premier objectif de ce nouvel espace, diffuser une culture de cyberprévention à toute l’organisation – et donc à l’ensemble de ses collaborateurs. « Cette évolution est indispensable car les cyber–risques s’intensifient. Désormais, la mission des responsables sûreté-sécurité intègre clairement cet objectif dans la stratégie et les processus de sécurité », reprend Jean-François Sol-Dourdin.
Second objectif, Intégrer la cyberprotection des systèmes de sûreté-sécurité en tant qu’élément indissociable de leur conception et de leur mise en œuvre au sein des organisations. « On parle ici de ‘‘Cybersecurity by Design’’. Cette approche relève de la prévention. C’est l’ensemble de la filière sûreté-sécurité qui doit dorénavant intégrer cette dimension », poursuit Jean-François Sol-Dourdin. À savoir les concepteurs-fabricants de solutions, les bureaux d’études, les distributeurs, les intégrateurs et les installateurs. Sans oublier les responsables sûreté–sécurité des organisations, responsables de leur mise en œuvre et de leur exploitation.
Une conférence sur les technologies de rupture
L’espace Cyberprévention proposera une première sélection de partenaires experts (Clusif, Fédération française de la Cybersécurité, CNPP Cybersecurity, CyberCercle, Cybermalveillance.gouv.fr, CyberTaskForce, SP-AC…). Ainsi que d’exposants animés par le souci de prescrire des solutions et services qui dépassent la sphère DSI–RSSI. Les visiteurs pourront aussi bénéficier d’une démarche collective de sensibilisation et de formation à la cyberprévention adaptés à leurs profils.
Sur le volet des conférences, le programme débutera avec l’atelier Les technologies de ruptures au service de la sécurité globale (29/09/21 à 14h00), qui rassemblera, entre autres, Sébastien Garnault, fondateur de la CyberTaskForce, Jean-Michel Mis, député de la Loire et rapporteur de la Mission du Premier ministre sur l’utilisation des nouvelles technologies numériques dans le domaine de la sécurité, Guillaume Vitse, DG de CNPP Cybersécurité. « Les technologies de rupture sont celles qui débarquent sur le marché et rebattent toutes les cartes. Citons, par exemple, le couplage de l’intelligence artificielle et de la reconnaissance faciale, indique Sébastien Garnault. Dans les aéroports, ce couplage permet de scanner le visage de toutes personnes qui s’y trouvent afin de repérer des terroristes en quelques secondes. Certes, c’est très efficace mais où en sont nos libertés ? »
Cybermalveillance.gouv.fr : un dispositif national
Sous la houlette de Laurent Verdier, chargé de mission chez Cybermalveillance.gouv.fr opéré par le GIP Acyma, la conférence Sensibilisation et assistance aux victimes de cybermalveillance (30/09/21 de 10h45 à 11h30) va faire le point sur ce dispositif national de sensibilisation, de prévention et surtout d’assistance aux victimes de cybermalveillance (particuliers, entreprises, associations, collectivités et administrations). « Cette plateforme originale et évolutive rassemble plus de 50 membres publics et privés comprenant les pouvoirs publics, les utilisateurs d’internet, les syndicats et associations de prestataires informatiques, les offreurs de services et de solutions. Ces quatre collèges constituent le GIP Acyma », détaille Laurent Verdier. Bientôt, Cybermalveillance.gouv.fr compte ouvrir un Observatoire national du risque numérique en coopération avec le futur Campus Cyber qui devrait être lancé cet automne à Paris-La Défense.
Convergence de la sécurité-sûreté et de la cybersécurité
Très attendue, la conférence Panorama de la cybercriminalité : les bonnes pratiques pour appréhender la menace (30/09/21 de 13h40 à 14h25) sera tenue par Luména Duluc, déléguée générale du Club de la sécurité de l’information français (Clusif). Dans la foulée, la conférence Sûreté – cybersécurité : une convergence indispensable à la sécurité globale des organisations sera animée par Bénédicte Pilliet, présidente du Cybercercle aux côté de Jérôme Saiz, président (Opfor Intelligence), Annick Rimlinger (Aéma Groupe) et /Gaël Marchand (Louis Vuitton). « La sécurité-sûreté et la cybersécurité ont connu des développements parallèles. Or, avec le développement du numérique, les objets connectés (IoT), l’informatique industrielle, le Edge Computing, etc., on arrive à une modification totale des scénarios de risque en matière de sécurité, estime Bénédicte Pilliet. En effet, avec la vidéosurveillance, le contrôle d’accès, la détection d’intrusion, la détection périmétrique… le numérique est omniprésent. Il y a donc une convergence des enjeux à la fois pour les directeurs de la sûreté-sécurité (DSS), les directeurs des systèmes d’information (DSI) et les directions opérationnelles – dont les directions de production. »
Des offres orientées cyberprévention
Sur le volet des exposants, citons Gatewatcher, une plateforme basée sur l’intelligence artificielle qui détecte les intrusions. Ou Upfront Technologies qui propose un accompagnement cyber pour les entreprises (tests, rapport, recommandations…). Pour sa part, KeoPass qui veut mettre un terme au casse-tête des mots de passe et aux dangers qui y sont liés. De la taille d’une clé de voiture, son dispositif portable, conçu en ‘‘Security by Design’’, embarque un capteur d’empreintes digitales. « Cette clé biométrique permet à l’utilisateur de générer des mots de passe complexes à partir de ses empreintes digitales, précise Hervé Le Dévéhat, le créateur de la société qu’il a fondée en 2019 qui emploie sept personnes sur le projet. Par défaut, la clé génère un mot de passe par doigt. Ensuite, sur le Web, la clé permet de créer un mot de passe unique pour chaque URL. »
De quoi éliminer les coffres-forts à mots de passe et surtout réduire considérablement les risques de phishing. En effet, l’utilisateur professionnel n’ira donc que sur les sites sur lesquels il s’est déjà enregistré. « S’il reçoit un mail frauduleux comportant une URL contrefaite qui par exemple imite celle de sa banque, la clé ne délivrera pas le mot de passe correspondant au site légitime », poursuit Hervé Le Dévéhat. Sur option, la société est en mesure d’intégrer jusqu’à deux puces électroniques pour badge de contrôle d’accès de type MiFARE, DESfire, NFC, Legic… Avantage : « On rajoute le contrôle biométrique sans modifier l’infrastructure existante. Le déploiement est immédiat », fait valoir Hervé Le Dévéhat.
Réduire l’exposition des organisations aux campagnes d’attaque
De son côté, la Fédération française de la cyber (FFCyber), qui a construit un maillage de 180 points de contact sur le territoire (CCI, centres de recherche, grandes entreprises…), a élaboré le métier d’assistant cyber ainsi que la formation qui l’accompagne. « Non technique, ce métier sensibilise les équipes aux enjeux de la cyberprévention et aux règles d’hygiène informatique, souligne David Ofer, président de la FFCyber. Nous avons signé une convention avec le ministère du Travail pour créer 20 000 emplois d’assistant cyber dans les cinq prochaines années. C’est un métier de communication qui fait le lien entre les directives cyber de l’organisation et les salariés personnel, dans le respect des critères de conformité et des normes ISO 27001, RGPD). Le but consiste à réduire l’exposition des organisations aux campagnes d’attaque. » Sur Expoprotection Sécurité, la FFCyber proposera des diagnostics cyber gratuits de 40 à 45 mn réalisés par des sociétés adhérentes.
Sensibiliser les salariés aux mails de phishing
Aussi sophistiquées soient-elles, les solutions technologiques ne suffisent pas pour protéger efficacement les organisations. Et ce, d’autant que plus 80 % des attaques passent par des mails de phishing. Voilà pourquoi, il est si important de sensibiliser et de former les utilisateurs. C’est d’ailleurs ce que propose la startup Avant de cliquer. Créée en 2017 par trois associés, cette entreprise qui réunit aujourd’hui près de 30 personnes propose une solution en mode SaaS qui va radicalement changer le comportement des employés d’une organisation. « Nous nous intégrons dans leurs habitudes quotidiennes en leur envoyant des mails qui présentent les mêmes caractéristiques techniques et les mêmes ressorts psychologiques que ceux utilisés par les pirates », explique Carl Hernandez, cofondateur de l’entreprise en charge des ventes. Lorsque le destinataire ouvre le message, il se retrouve automatiquement sur le site de la startup qui lui explique en deux ou trois minutes pourquoi il n’aurait pas dû cliquer sur ce mail. Grâce à cette méthode, les risques de cyberattaque sont divisés par deux en trois mois et par dix en douze mois, assure la startup qui forme actuellement plus 200 000 utilisateurs partout dans le monde, sachant que le site est traduit en seize langues !
Lutter contre les rançongiciels dans les ETI
Sensibiliser les salariés à la cybersécurité n’a jamais été aussi urgent à l’heure où fleurissent les rançongiciels, ces programmes informatiques qui chiffrent les données pour extorquer aux victimes des rançons. Ces attaques ne concernent pas seulement les grands groupes. De plus en plus d’ETI (entreprise de taille intermédiaire de moins de 5 000 salariés) en font aussi les frais. Tout comme les établissements de soins. Or ces organisations publiques et privées n’ont pas les moyens de cyberdéfense dont disposent les grands groupes pour prévenir de tels risques. « En outre, en cas d’attaque par rançongiciel, elles ne savent pas comment s’y prendre pour mener les opérations de remédiation et de reconstruction de leurs systèmes d’information », souligne Sébastien Dupont, président et co-fondateur de Cyber4U. Cet expert en cyber-risques connaît d’autant mieux la question qu’il est intervenu en mai dernier auprès d’un énergéticien victime du rançongiciel Darkside. « Nous l’avons accompagné dans sa gestion de crise », rapporte Sébastien Dupont qui présente aujourd’hui une offre de cybersécurité à 360°. Il s’agit du Pack Cyber Special ETI qui renferme une dizaine de services d’assistance et de livrables (des documents). Il est conçu pour accompagner l’entreprise dans la mise en place de sa politique de sécurité avec des mesures techniques et organisationnelles pragmatiques. Il contient aussi un module de sensibilisation ainsi qu’un plan de gestion de crise. Par ailleurs, l’acquéreur de ce pack dispose d’unités d’œuvre pour faire appel au centre d’opération de sécurité et au centre de gouvernance en sécurité de Cyber4U. Avec cette solution, le temps nécessaire pour définir et mettre en place les briques essentielles d’une politique de sécurité passe de 24 mois à trois mois.
Eliane Kan et Erick Haehnsen
Pour rencontrer les exposants et partenaires du village Cyberprévention, rendez-vous sur Expoprotection Sécurité.
Le salon expert de la sûreté-sécurité et de la cyberprévention se tiendra du 28 au 30 sept à Paris – Porte de Versailles et en ligne sur expoprotection-securite-online.com.
Commentez