Passage TV

Théo Plantier – Cybersécurité : protéger notre maillage économique

Théo Plantier : L’arme cyber est quelque chose de très utilisé, puisque ça permet de faire autant de dommage qu’une bombe. Il ne faut pas attendre l’attaque. Il faut se demander quelles sont les machines et les sources de données qu’il faut absolument protéger, et mettre en place des premières mesures.

« Le meilleur moyen de prévoir le futur, c’est de le créer. » Cette citation résume assez bien le projet des Argonautes, celui de soutenir les entrepreneurs qui veulent donner du sens à la marche du monde. Bienvenue sur le Micro des Argonautes, une série d’escales avec des hommes et des femmes qui nous partagent leurs expériences.

Théo Plantier : Bonjour, je suis Théo Plantier, et dans cette escale j’ai envie de vous expliquer comme nous entrepreneurs on peut se défendre dans la compétition économique cyber.
J’ai co-créé OverSOC au milieu de l’année 2020, donc ça fait un an et demi à peu près. OverSOC est une entreprise qui fait de la cybersécurité, et mon objectif et l’objectif de l’équipe c’est d’aider les organisations publiques et privées à se défendre. On est sur un axe assez précis qui est la cartographie du champs de bataille numérique. Donc l’idée c’est de se dire : est ce que dans cet environnement compliqué qu’est la cybersécurité d’une entreprise on peut créer des cartes temps-réel qui permettent aux gens qui doivent prendre des décisions pour défendre l’organisation, de comprendre tout de suite ce qu’il faut faire pour repousser les attaquants.

Chapitre 1 : Protéger notre souveraineté économique.

Théo Plantier : Historiquement, pourquoi on en est là ? On se rend compte que finalement la cybersécurité, comme la guerre traditionnelle, la guerre économique, la guerre juridique, est utilisée pour s’attaquer entre pays, entre organisations. Pourquoi cette méthode est de plus en plus fréquente ? Parce que les entreprises, les organisations sont de plus en plus ouvertes sur internet et sur l’extérieur et on se rend compte que ce sont des cibles de choix. On se rend compte, avec la croissance de l’Internet des objets, donc l’IoT, l’OT, tous les objets qui avant n’étaient pas connectés à internet et aujourd’hui le sont, que ça élargit considérablement les surfaces d’attaque pour les attaquants potentiels et ça ouvre des brèches supplémentaires.
Donc on a ces types de brèches-là, et nous ce que l’on essaie de faire en tant qu’entrepreneurs c’est de créer une société mais sans être crédules par rapport à ce que des pays étrangers pourraient avoir envie de faire avec une technologie que l’on crée. Donc on prend les grandes nations de la cybersécurité : la France, la Russie, les États-Unis, la Chine, Israël, … tous ces pays-là ont bien compris que les entreprises qui développent des technologies de cybersécurité peuvent être tournées en armes, ou en outils pour se nuire l’un-l’autre. Donc quand on essaie de créer une entreprise c’est déjà compliqué, il y a beaucoup de choses à faire pour réussir, mais il faut se dire : à qui appartient cette entreprise ? Qui a la main sur cette technologie qui est créée, et pour faire quoi demain ? Il y a une balance à avoir entre les sources de financement, donc qui a le contrôle sur cette entreprise, et le développement. Et dans ces choix de sources de financement il faut être assez attentif, parce que sinon on peut se retrouver avec une entreprise qui change de main. On verra ça un peu plus loin.
Aujourd’hui quand on est soutenus par des investisseurs français comme Bpifrance, ou même des investisseurs locaux dans le nord de la France, on a souvent ces questionnements au début : qui sont les autres investisseurs et d’où viennent-ils ? C’est une question que pose systématiquement Bpifrance dans ses prêts, parce que finalement c’est le contribuable qui finance la création d’entreprises, et c’est important que l’État Français ne finance pas une entreprise qui appartient déjà à la Chine ou à la Russie par exemple.

Chapitre 2 : Le risque cyber aujourd’hui

Théo Plantier : Les principales menaces en cyber aujourd’hui il y en a  plusieurs. Il peut y avoir 2 grands types. On a des attaques qui sont dirigées vers une organisation ou une entreprise spécifique : on a des groupes d’attaquants qui se mobilisent pour viser une organisation spécifiquement. Et de l’autre côté on a des attaques plutôt opportunistes. Alors qu’est-ce que c’est qu’une attaque ciblée ? C’est une entreprise qui en attaque une autre, un État qui en attaque un autre. On se dit « on veut affaiblir un pays », on va littéralement taper sur des hôpitaux, sur des centrales nucléaires, sur des équipements télécoms. On se rend compte d’ailleurs dans le conflit avec l’Ukraine – c’est vraiment d’actualité – que l’arme cyber est quelque chose de très utilisé parce que ça permet de faire autant de dommages qu’une bombe, parce que finalement ça permet d’arrêter complètement l’activité d’une tour télécoms par exemple qui permet  de relayer la télévision dans le monde entier. Donc le bâtiment en lui même n’est pas détruit, mais il n’est plus du tout capable de remplir sa fonction première.
L’autre type d’attaque ce sont plutôt les attaques opportunistes, où l’on a des groupes d’attaquants qui visent des dizaines de milliers d’entreprises automatiquement. Donc ils tapent avec des campagnes d’attaques très bien organisées. Ils tapent à toutes les portes et ensuite ils s’infiltrent dans la porte qui est la moins bien fermée. Donc là l’objectif souvent ce n’est pas de la déstabilisation politique ou d’une entreprise particulière, c’est plutôt l’appât du gain. Disons qu’on va lancer un ransomware [rançongiciel] sur cette entreprise parce qu’on a bloqué un serveur X ou Y ou qu’on a récupéré une partie de la donnée dont l’entreprise a besoin et qu’on la bloque. Il y a vraiment deux types : les attaques ciblées et les attaques opportunistes.
Un attaquant peut choisir de viser une grosse entreprise, soit pour des raisons financières soit pour la déstabiliser, parce que justement plus l’entreprise est grosse plus l’impact peut être important parce que ça va impacter des dizaines de milliers de collaborateurs ou des dizaines de milliers de clients et donc c’est tout de suite beaucoup plus gros. Mais on se rend compte qu’il ne suffit pas seulement de protéger la grande entité en elle-même. Il faut aussi s’occuper des prestataires, qui sont souvent des entreprises un peu plus petites parce qu’elles peuvent représenter des portes d’entrée vers ce grand groupe.
Alors quel conseil on pourrait essayer de donner ? Il ne faut pas attendre l’attaque. Il faut se demander quelles sont les machines et les sources de données qu’il faut absolument protéger et mettre en place les premières mesures. Parce que justement, puisqu’on a des gens qui peuvent taper à des milliers de portes en quelques minutes ils vont finir par taper à votre porte à vous. Comment on peut éviter ces attaques opportunistes ? Quand on a une attaque plutôt ciblée sur une entité précise, ça coûte tout de suite un peu plus d’argent. C’est plus difficile à automatiser et donc on a des équipes qui passent du temps sur une cible spécifique. Si il y a un niveau de sécurité zéro, c’est beaucoup plus facile de nuire. S’il y a un petit niveau de sécurité, c’est déjà beaucoup plus difficile pour un groupe d’attaquants de faire mal à cette organisation sans vraiment y mettre des moyens. Pour une entreprise c’est important de vérifier régulièrement si elle est bien protégée, parce que la question c’est « quel est l’impact ? ». L’impact c’est l’arrêt ou même la destruction d’une partie de l’appareil de production de cette entreprise. Ce qu’il faut éviter c’est ça, absolument. Si on remonte d’un cran, les technologies évoluent fréquemment. On a beaucoup de composants, beaucoup d’applications différentes, beaucoup de services. Et parfois, ces mises à jour créent des failles, ou parfois on a justement des systèmes qui n’ont pas été mis à jour depuis longtemps et qui représentent des failles qu’on peut avoir découvert récemment et qui peuvent par la suite être exploitées. Donc c’est un peu une course perpétuelle au contrôle de la surface d’attaque et à la mise à jour.

Chapitre 3 : La R&D au cœur du combat

Théo Plantier : Pour revenir sur ce qu’on se disait en début d’escale, un des enjeux pour une entreprise très R&D comme nous c’est la partie financements. Comment on fait pour être une boîte mondiale demain – qui ait des clients aux États-Unis, en Europe, en Asie – tout en gardant la R&D et le contrôle sur notre technologie en France. On peut s’appuyer sur du financement public français, et justement les entrepreneurs sont de mieux en mieux supportés – en tout cas nous c’est notre perception – par l’État français. On peut s’appuyer sur des partenaires qui sont déjà des entreprises un peu plus grandes, qui sont intéressées par le services, et qui elles-mêmes parfois vont dire « on va vous aider à vous développer parce qu’on veut que le service perdure ». Il faut se dire que dans les grands groupes, on se rend compte qu’une des premières choses qui passent par la table d’une personne qui achète un produit c’est « est-ce que cette entreprise avec laquelle je commence à travailler sera encore en vie dans 6 mois, 12 mois, 18 mois ? ». Donc comment est-ce qu’on maîtrise sa R&D ? Déjà 1. en restant en vie, et 2. en s’assurant que les utilisateurs sont satisfaits et en allant chercher ces sources de financements qui existent.
Pour une entreprise comme nous, on doit à la fois développer un produit, et à la fois le vendre pour financer le développement de ce produit. Et l’accès au marché c’est quelque chose qui peut être très chronophage et qui peut parfois réduire notre capacité à développer un produit rapidement. Donc quand on tombe sur des partenaires qui sont dans notre région, ou qui économiquement sont intéressés par ce qu’on fait, c’est vraiment intéressant parce qu’ils nous font gagner beaucoup de temps. De travailler avec des partenaires et des utilisateurs qui sont capables de nous faire des retours très directs : « voilà ce qui fonctionne et voilà ce qui ne fonctionne pas », « voilà où on voudrait que vous emmeniez votre produit parce que ça répond à nos cas d’usage ». Ça c’est quelque chose qui a énormément de valeur. Donc le fait d’exploiter le tissus d’entreprises, et notamment dans le Nord où on a des grandes entreprises peut nous permettre d’accélérer et d’aller plus vite, de comprendre plus vite ce besoin de marché qui nous permet de nous développer.

Chapitre 4 : Quelques conseils

Théo Plantier : Souvent on nous appelle après une attaque. Après que les dommages aient été faits et que les coûts financiers pour l’entreprise ou l’organisation soient énormes. Donc ce qu’on perçoit chez nos clients c’est le fait qu’il ne faut pas attendre l’attaque. Il faut vraiment se dire « ça va arriver », il y a une certitude sur le fait que toutes les entreprises, même nous en tant que PME comme on a des outils de contrôle on est attaqués régulièrement. C’est le cas de toutes les entreprises et il y en a qui ne s’en rendent pas forcément compte. Il ne faut pas attendre que le couperet tombe et que l’attaque soit faite, parce que là les dommages peuvent être considérables, ou on peut même ne pas se rendre compte que le dommage est fait. Par exemple on a des attaques ou l’attaquant reste pendant des mois sans faire de bruit dans le système d’informations de l’entreprise et une fois qu’il a collecté assez de données, assez d’informations ou qu’il est capable de prendre le contrôle de tout le système – parce qu’il s’est déplacé de façon furtive – là toute la boîte peut être arrêtée du jour au lendemain parce que cette attaque a été mise en place sur le long termes et ça peut avoir des impacts assez importants. Donc ça c’est le premier conseil, c’est notre premier ressenti à nous chez OverSOC : il ne faut pas hésiter à travailler avec des gens dont c’est le métier, qui vont venir faire ce que ferait un attaquant pour tester votre sécurité, et vous montrer qu’en une minute, en dix minutes, en une heure, … ils sont rentrés dans votre système. Et pour vous dire si c’est un type d’attaque qui est fréquente aujourd’hui, oui ou non, et est-ce qu’on en est protégés. Il y a un parallèle intéressant avec le Covid et les virus qui circulent. Il faut se dire  : quels sont les maladies ou les virus qui circulent en ce moment et dont il faut absolument se protéger ? Est-ce que la fréquence est élevée ? Est-ce que ça impacte d’autres entités ? Et si c’est le cas, ça veut dire que ça va nous impacter rapidement. Donc ça ce serait le deuxième conseil.
Je me sens dans une position vraiment intéressante, parce qu’on a la possibilité de faire avancer avec nos moyens et à notre manière le monde cyber, en tout cas c’est ce qu’on essaie de faire, on veut vraiment ajouter une brique qui n’existe pas. Et c’est passionnant parce que c’est important. Pourquoi on fait ce que l’on fait ? Parce que le sujet cyber ne sera que plus important dans le temps, pour les entreprises, pour des États, pour les organisations, et qu’il y a encore un boulevard de choses à faire et énormément de briques supplémentaires à apporter à la stratégie de défense cyber pour des PME, des grands groupes, des organisations. Aujourd’hui on se rend déjà compte qu’on est pas assez nombreux pour faire ce qu’on fait. C’est très inspirant. On a des grands frères dans l’économie française qui sont déjà un peu devant, et on se dit « nous aussi il faut qu’on fasse comme eux, il faut qu’on soit une boîte française qui marche parce qu’on a envie que ça fonctionne pour nous, pour notre pays, et pour l’économie… ». Donc ça c’est très inspirant et ça nous donne beaucoup d’énergie.

(09/03/2022 – Source : MEDEF Lille Métropole)