Après la revue de presse sécurité Revolve Job Zero, nous vous proposons un nouveau format régulier sur la sécurité Cloud. Dans cette série d’interviews, nous allons à la rencontre de spécialistes sécurité qui travaillent sur le Cloud pour faire un état des lieux des tendances et des pratiques : boite à outils sécurité dans le Cloud, évolutions de fond, impacts de la crise sanitaire, transformation du métier de la sécurité… Notre invité aujourd’hui est Cyril Bras, directeur de la cybersécurité chez Whaller.

Pouvez-vous vous présenter ?

Je suis directeur de la cybersécurité chez Whaller depuis mars 2022. J’assure les missions liées à la cybersécurité pour l’entreprise, et pour la plateforme que nous mettons à disposition de nos clients. Je suis également officier de réserve citoyenne auprès de la Gendarmerie Nationale et enseignant vacataire à l’université de Grenoble.

Quelles sont vos missions de cybersécurité et à quel type de menaces répondez-vous ?

Nous mettons à disposition de nos clients une plateforme d’échange et de travail collaboratif en ligne, de ce fait une de mes missions consiste à détecter les menaces, et ceux qui essaient de nuire à notre plateforme. La mission principale est le pilotage de la Cybersécurité chez Whaller, et notamment de conduire la qualification SecNumCloud de la plateforme.

Concernant la cybersécurité, nous nous efforçons de détecter les tentatives d’intrusion et les recherches de vulnérabilité sur l’applicatif web. Ce sont tous types d’attaquants qui déroulent des recherches de vulnérabilité sur des composants web classiques. Il y a quelques attaques qui correspondent à des groupes qui scannent Internet, comme le groupe d’attaquants Mirai, mais qui ont peu de chances d’aboutir chez nous car ce n’est pas le type de composants que nous hébergeons. Il n’y pas de menace spécifique, uniquement du générique.

Qu’est-ce que l’initiative Cloud au centre a changé pour Whaller ?

Cela ouvre le champ des possibles pour de futurs clients. Nous mettons en avant le fait d’être une plateforme hébergée en France, développée en France, et qui prochainement sera qualifiée SecNumCloud. Nous sommes donc dans la cible de la doctrine des nouveaux services numériques de l’Etat.

Dans quelle mesure la sécurité et la souveraineté sont des critères de choix d’une solution comme Whaller ?

L’un de va pas sans l’autre. La souveraineté est un concept politique, qui concerne le lieu de stockage des données, et la sécurité est le gage de confiance de l’usage des moyens mis en œuvre. Nous répondons aux clients qui ont ces deux enjeux, que leurs données ne soient pas soumises à des lois extra-territoriales, et qu’elles soient stockées de façon sécurisée.

Est-ce que le nombre croissant de cyberattaques a mené à une prise de conscience sur le marché ?

Oui, et ce n’est pas spécifique à Whaller. On en parle dans la presse, c’est devenu commun pour tout un chacun, et ça se ressent au niveau des entreprises qui prennent conscience qu’une cyberattaque peut frapper n’importe qui. Au-delà de la prise de conscience, je ne suis cependant pas convaincu que la plupart des TPE/PME aient pris des mesures concrètes pour mieux se protéger. Elles restent persuadées que leur petite taille les empêche d’être ciblées par une cyber attaque.

Est-ce un problème de compétences ?

Parmi les entreprises qui ont pris conscience du risque, il y en a peu qui ont internalisé la gestion cyber. Les autres ne voient pas où est le problème donc n’y pensent pas.

Vous avez été RSSI de la ville de Grenoble, selon vous est-ce que les collectivités locales ont les moyens et les compétences pour répondre à ces enjeux ?

Le sujet de la cybersécurité a été très longtemps malmené : vu comme un centre de coûts, perçu comme un sujet exclusivement technique, et dont on ne voyait pas l’intérêt. En conséquence, les élus ne se saisissaient pas du sujet, ou rarement. Certaines collectivités ont la chance d’avoir un RSSI, mais il n’est pas toujours en capacité de rapporter l’information aux élus ou aux directeurs généraux.Il y a un problème de communication, et un problème de prise de conscience. Les collectivités qui ont la chance d’avoir la ressource en interne ne l’écoutent pas. Et les autres n’ont pas les moyens de l’avoir.

Et il y a clairement un problème de moyens. Une collectivité territoriale ne peut pas s’aligner sur les tarifs du marché pour un RSSI. Le CNFPT qui définit les fiches métier, voit le RSSI comme un technicien, pas comme un stratège, ni un manager. Qui, s’il est vraiment ambitieux, pourra devenir DSI en fin de carrière. En 2023, on n’en est plus là. La carrière en cybersécurité n’est pas une carrière IT.

C’est un bilan pessimiste ?

La prise de conscience se fait dans la douleur. Tant qu’une collectivité n’a pas été piratée, ou une collectivité voisine, il n’y aura pas de changement. Les collectivités sont d’ailleurs indépendantes, et donc l’État ne peut pas leur donner pour consigne de recruter et mutualiser des RSSI. Néanmoins les collectivités sont concernées par la directive NIS2, qui étend largement le périmètre des obligations en termes de cybersécurité pour les collectivités. C’est peut-être la réglementation qui les fera bouger.

Qu’attendre du cadre réglementaire français ou européen face aux législations extraterritoriales ?

Il faut regarder ce que font les pays hors EU. La Chine a interdit l’hébergement de données stratégiques en dehors du territoire national, et je crois que l’Inde a pris la même mesure. J’ai le sentiment que nous sommes extrêmement naïfs sur ce sujet en Europe.

Avoir un cadre réglementaire, cela paraît évident. Je pense que la qualification SecNumCloud de l’ANSSI va dans le bon sens, cependant elle ne doit pas s’étendre à des hébergeurs non européens soumis à des lois extra-territoriales. La capacité à gérer le règlement est justement une des forces de l’Europe. A ce titre, je trouve que le RGPD est une réussite, nous avons réussi à faire un loi européenne qui s’applique en dehors du territoire européen. Sur ce point, on répond à armes égales avec les Etats-Unis. Je pense donc qu’un cadre réglementaire est un des éléments de réponse, notamment sur les données stratégiques ou les données personnelles.

Est-ce que la politique économique est à la hauteur de ces enjeux ?

 Clairement, non. Face aux tarifs très bas des GAFAM, si on accompagne pas les entreprises européennes ou françaises à faire face, elles vont disparaître tôt ou tard. Si on se place du point de vue du consommateur, qui a pour priorité de trouver un prix bas plutôt que de se protéger des lois extra-territoriales, ces grosses entreprises vont étouffer le marché et faire de l’Europe le vassal d’une puissance étrangère, que ce soit la Chine ou les Etats-Unis.

Pour terminer, des conseils de cybersécurité ?

Je pense qu’il est important de parler du facteur humain de la cybersécurité, qui est trop souvent mis de côté. La cybersécurité, ce ne sont pas que des contraintes techniques, c’est aussi sensibiliser ses utilisateurs aux bonnes pratiques et aux règles d’hygiène numérique. Il est possible de faire de chaque utilisateur une sonde humaine capable de détecter une attaque sur la couche sémantique.

La cybersécurité couvre au moins trois couches : la couche physique (câbles, ordinateurs, matériel), la couche logique (OS, navigateur, logiciels) et la couche sémantique, ce que l’humain comprend. Quand on reçoit un mail de phishing, c’est la couche sémantique qui entre en jeu. On peut mettre en place tous les systèmes possibles, un phishing passera au travers. Mais si l’utilisateur est formé , il sera capable de déjouer le piège. Sur l’ensemble du personnel d’une entreprise, si tout le monde est sensibilisé, il y aura certes toujours un utilisateur pour cliquer sur un mauvais lien, mais aussi un autre pour vous alerter.

On a tendance à faire de l’humain un point faible, alors qu’on peut en faire un point fort. Si au sein de la structure les collaborateurs sont formés à détecter une situation anormale, chacun devient un maillon de la chaîne, aussi fort que le reste. L’acculturation doit se faire également en dehors du monde de l’entreprise, et notamment auprès des enfants dans les écoles. Nous devons être ambitieux sur ce sujet : les attaques se multiplient, il faut les rendre plus compliquées, faire en sorte qu’elles échouent, et la sensibilisation est un des moyens. Dans une société où le numérique devient omniprésent, on doit faire plus d’efforts sur la sécurité.