Ils font la CyberSécurité | Issam Ouakrim (Adonys Security) : “La cybersécurité est l’affaire de tout le monde dans une entreprise.”

Dans le cadre de notre dossier “Ils font la cybersécurité”, Issam Ouakrim (IT Risk Expert chez Adonys Security) a accepté de faire un point sur l’année écoulée et sur les grands enjeux du secteur de la cybersécurité de ce début d’année.

LeBigData.fr : La cybersécurité en France : de quoi parle-t-on ?

Issam Ouakrim (Adonys Security) :  La cybersécurité en France est devenue un enjeu majeur pour les personnes, les entreprises et surtout le gouvernement, notamment avec la guerre en Ukraine qui a réussi à avoir un grand impact dans le monde cyber. Les entreprises comme le gouvernement arrivent à prendre conscience sur l’importance d’instaurer des mesures techniques, organisationnelles et administratives pour s’efforcer à protéger les infrastructures critiques et se protéger contre les menaces que ça soit interne ou externe.

Quels sont les principaux défis à relever pour la Cybersécurité en France ? 

Il existe plusieurs défis important à relever, mais de mon point de vue on trouve notamment :

– Les pirates sont de plus en plus innovants et utilisent des méthodes plus sophistiquées pour réussir à contourner les mécanismes de défense et gagner un accès illégitime. Même si dernièrement la faille exploitée par les pirates qui reste le plus exploitée est bien souvent ce qui se trouve entre la chaine et l’écran.

– La sécurité des données personnelles. Comme on dit toujours, la donnée est devenue l’or noir des entreprises. Avec l’augmentation de la collecte et le traitement des données personnelles, il est très important de mettre en place toutes les mesures nécessaires pour protéger les données personnelles et surtout être conforme au RGPD.

– La migration des données dans le cloud. Les solutions cloud sont de plus en plus utilisés notamment puisque ça permet de réduire les coûts, mais ça reste une préoccupation majeure en raison de la perte de contrôle, perte de la gouvernance et le risque de non-conformité. Il est très important de se poser les bonnes questions concernant les risques auxquelles l’entreprise est soumise avant de se lancer dans une démarche de cloud.

– La sécurité des données de santé. On a tous entendu parler du patient décédé en Allemagne à cause d’un ransomware, nos hôpitaux en France qui font face à de nombreuses cyberattaques et qui ont dans certains cas causés une fuite massive de données des patients, etc. Le gouvernement a injecté récemment plusieurs millions d’euros dans l’Anssi pour renforcer son accompagnement des hôpitaux, mais concrètement ce n’est pas une mesure suffisante.

– Le dernier point qui revient toujours est la sensibilité des employés et de la direction. Un employé peut volontairement ou involontairement être la cause d’un incident de sécurité et causer la fuite de données sensibles vers internet. Il est important de sensibiliser les salariés aux risques de la cybersécurité et de les former pour adopter les bonnes pratiques. La cybersécurité est l’affaire de tout le monde dans une entreprise. Concernant la direction, dans la majorité des cas le budget des entreprises n’est pas suffisant pour gérer ces défis adoptés. 

Quels sont les nouveaux enjeux de la Cybersécurité pour 2023 ?

Alors, je dirai clairement :

– L’augmentation de l’utilisation des appareils connectés. Il faut être conscient des risques liés à l’utilisation de ces appareils et prendre les mesures nécessaires pour les protéger et éviter toute intrusion dans notre système d’information.

– L’adoption des solutions cloud. Ce n’est un secret pour personne, toutes les entreprises cherchent à présent à adopter cette stratégie. Dans mes anciennes expériences, ça m’est arrivé de tomber sur des cas ou un directeur souhaite migrer des données sensibles vers un cloud sans se soucier des risques encourus pour l’entreprise ni du fait que ces données puissent être facilement accessible par les administrateurs du cloud.

– Les voitures autonomes : C’est un sujet qui me tient à cœur, j’ai eu l’opportunité de découvrir ce monde incroyable avec Transdev et de m’occuper de la partie sécurité des voitures autonomes, les infrastructures et le réseau de communication, etc. La technologie des véhicules se dirige vers plus de complexité et plus de connectivité, et ces tendances combinées exigeront que l’on se concentre davantage sur la sécurité automobile et d’éviter des attaques informatiques qui peuvent causer des accidents. J’ai pu voir qu’une personne malveillante avec ou sans compétences techniques, peut faire de la malveillance informatique : Les feux rouges qui passent au vert, brouiller les signaux et bloquer le trafic, envoyer une fausse localisation pour causer un accident, se faire passer pour une ambulance pour avoir la priorité sur la route… C’est vraiment magique comme monde ! Des voitures autonomes roulent déjà en France mais pas encore partout, mais peut-être que c’est l’année du lancement ?

Quels sont vos conseils à destination des entreprises pour mieux se protéger ?

Il y en a plusieurs. Pour citer les principaux :

– Mettre à jour régulièrement les applications et les systèmes d’exploitation pour corriger les vulnérabilités remontées.

– Réaliser fréquemment des tests d’intrusion et des scans de vulnérabilité pour identifier les failles de sécurité et les corriger.

– Chiffrer les données sensibles en transmission et en stockage avec des algorithmes de chiffrement robustes et non obsolètes.

– Utiliser un mot de passe fort et le changer fréquemment. À préciser qu’il faut éviter d’utiliser le même mot de passe pour nos différents comptes. Pour les accès privilégiés, il faut mettre en place une authentification multifacteur (basé sur ce qu’on est, ce qu’on a et ce qu’on connait).

– Former les salariés à la cybersécurité pour qu’ils puissent reconnaître les tentatives de phishing et de social engineering.

– Utiliser des solutions techniques et organisationnelles de gestion des accès pour mieux contrôler les accès privilégiés et les autorisations des utilisateurs.

– Allouer le budget et l’influence nécessaire aux RSSIs pour mieux gérer les différents défis et problématiques de la cybersécurité. Et la liste est encore longue…

Dans le contexte géopolitique actuel, faut-il craindre des cyberattaques militaires à l’encontre de la France ?

On a entendu parler de l’Ukraine et l’histoire des systèmes de paiement qui ont inexplicablement cessé de fonctionner, les centrales nucléaires touchées par un malware, le Pakistan dans le noir total pendant plusieurs jours, etc. Voilà à quoi ressemble la cyberguerre, et en raison de la position géopolitique de la France et du contexte actuel, il est bien évidemment normal de craindre cela surtout que les cyberattaques menées par les acteurs étatiques ont bien explosé dernièrement. Après, il faut bien reconnaitre que la France prend ce sujet très au sérieux notamment avec la loi de programmation militaire. 

Quels conseils pour les personnes souhaitant commencer une carrière dans la cybersécurité ?

Avant tout il faut être passionné, c’est très important pour ne pas vite se retrouver en difficulté et démotivé. C’est un domaine qui évolue en continu et qui nécessite de faire de la veille informatique et s’informer sur les nouvelles technologies et tendances sans arrêt.

  • S’informer sur les différents métiers qu’on trouve dans la cybersécurité pour identifier le métier avec lequel on a le plus d’affinité. 
  • Commencer par s’autoformer sur les techniques de défense et d’attaque, suivre une formation les principaux domaines de la sécurité informatique, mettre un lab virtuel sur sa propre machine pour lancer nos tests et appliquer les connaissances théoriques acquises. 
  • S’il est possible de faire un diplôme ou une certification dans la cybersécurité alors je le recommande fortement. C’est très bien vu par les recruteurs et ça ouvre plusieurs portes par la suite. 

 

Propos recueillis par Mathilde Flory. 

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *