00:00:07 Sécurité des données et cloud computing.
00:00:38 Les défis de la sécurité des données dans l’optimization de la Supply Chain.
00:02:11 Augmentation des cyberattaques et de la dépendance aux systèmes informatiques.
00:03:08 Réduction de la surface d’attaque et externalisation vers des fournisseurs de cloud computing.
00:06:17 Minimiser la surface d’attaque dans la conception des logiciels et éviter les bases de données relationnelles.
00:08:01 Utiliser la simplicité et des composants minimaux pour la sécurité.
00:09:26 L’ouverture, la transparence et l’exposition comme clés de la sécurité des données.
00:11:03 L’importance des white hat hackers pour améliorer la sécurité.
00:13:18 Rémunérer équitablement les white hat hackers pour leurs efforts.
00:14:35 Faire la distinction entre les white hat hackers et les hackers malveillants.
00:16:00 La sécurité des systèmes de l’entreprise et la priorité donnée aux freelances.
00:16:47 La confiance dans la sécurité des données et l’impact du Bitcoin sur la sensibilisation à la sécurité.
00:17:50 Les différences dans les pratiques de sécurité entre les entreprises B2C et B2B, les grandes entreprises et les gouvernements.
00:20:01 Les défis de la sécurité des réseaux militaires et des exemples de vulnérabilités matérielles.
00:24:01 La possibilité d’un futur avec une réduction significative du hacking et l’adoption d’une culture d’ouverture dans la sécurité de la Supply Chain.
Résumé
Dans cette interview, Kieran Chandler et Joannes Vermorel discutent de la sécurité des données dans l’optimization de la Supply Chain. Vermorel reconnaît l’augmentation des cyberattaques due à une digitalisation accrue et à une dépendance plus forte aux logiciels. Il insiste sur l’importance de l’ouverture et de l’exposition dans la sécurité de la Supply Chain, prônant une philosophie de “defense-in-depth” avec plusieurs couches de protection. Il souligne la valeur des white hat hackers pour identifier et corriger les vulnérabilités et suggère que les entreprises peuvent améliorer leur sécurité en minimisant la surface d’attaque et en s’appuyant sur des fournisseurs de cloud computing fiables. Vermorel croit que l’adoption de la transparence et de l’exposition dans les pratiques de Supply Chain aboutira à une transition plus rapide vers des systèmes plus sécurisés.
Résumé Étendu
Dans cette interview, Kieran Chandler, l’animateur, discute de la sécurité des données avec Joannes Vermorel, le fondateur de Lokad, une entreprise de logiciels spécialisée dans l’optimization de la Supply Chain. La conversation porte sur l’importance croissante de la sécurité des données à mesure que le cloud computing gagne en popularité et que les techniques de hacking deviennent de plus en plus sophistiquées.
Joannes reconnaît que la sécurité des données n’est pas un problème nouveau, mais existe depuis un certain temps. Il se souvient que lorsqu’il a lancé Lokad il y a 10 ans, l’idée initiale était de garder les données enfermées, loin de tous les réseaux, mais cette approche s’est avérée préjudiciable à l’optimization de la Supply Chain. Les entreprises disposant de supply chains complexes et distribuées doivent donner accès aux données à toutes les parties impliquées afin d’optimiser leurs opérations. Cela accroît inévitablement l’exposition des données et des systèmes, entraînant des défis en matière de sécurité des données.
L’animateur se demande si les incidents de hacking deviennent réellement plus fréquents ou s’il est simplement question d’une augmentation des reportages médiatiques. Joannes estime que les cyberattaques sont effectivement en hausse, principalement parce qu’il y a plus de systèmes informatiques et une dépendance accrue aux logiciels. À mesure que les entreprises se digitalisent et que les consommateurs utilisent davantage de services en ligne, la surface d’attaque pour les hackers augmente, entraînant davantage de fuites de données.
Interrogé sur les techniques de protection des données, Joannes déclare que la sécurité est la deuxième préoccupation la plus importante chez Lokad, la qualité des chiffres qu’ils fournissent pour l’optimization de la Supply Chain étant leur préoccupation principale. Une approche de base pour garantir la sécurité des données consiste à restreindre la surface d’attaque pour les hackers. Cela implique de concevoir des solutions logicielles avec un potentiel minimal d’erreurs.
Joannes explique qu’une des raisons pour lesquelles Lokad s’est tourné vers le cloud computing était de déléguer le matériel et la gestion des systèmes d’exploitation à de grandes entreprises telles que Microsoft. Bien que Microsoft ne soit pas parfait, ces entreprises disposent de plus de ressources et de personnel pour sécuriser physiquement le matériel informatique. Il est donc logique de faire confiance à une entreprise comptant des centaines de personnes travaillant sur la sécurité plutôt qu’à une équipe plus réduite de 20 personnes.
L’animateur s’enquiert ensuite de la manière de choisir des entreprises informatiques fiables pour externaliser certains travaux. Joannes suggère de faire confiance aux grands fournisseurs de cloud computing tels qu’Amazon, Microsoft et Google, qui, survivants d’internet, sont généralement fiables. Ces entreprises font face à des cyberattaques constantes, et leur expérience ainsi que leurs ressources les rendent mieux équipées pour gérer la sécurité des données.
Pour assurer la sécurité de leurs systèmes, Lokad minimise la surface d’attaque en utilisant des composants plus simples et en évitant les couches de stockage de données trop intelligentes d’un point de vue programmatique, comme les bases de données relationnelles. À la place, ils optent pour une couche de stockage de données plus basique, utilisant le blob storage sur Azure, qui est moins vulnérable à certains types d’attaques. Lokad est également sélectif dans l’utilisation des composants open source, en les examinant soigneusement et en limitant la masse technologique présente dans leurs solutions.
Vermorel estime qu’un élément clé de la culture d’entreprise pour améliorer la sécurité des données est l’ouverture, ce qui contraste avec la mentalité de forteresse souvent employée dans les pratiques liées à la Supply Chain. Il soutient que les systèmes informatiques ne sont pas sécurisés uniquement en raison de leur conception, mais aussi en raison de la transparence et de l’exposition. La transparence consiste à ce que les gens comprennent comment fonctionnent les systèmes et leur architecture, tandis que l’exposition implique de soumettre les systèmes à des white-hat hackers, c’est-à-dire des hackers éthiques cherchant à améliorer la sécurité.
Les white-hat hackers aident les organisations à identifier et corriger les vulnérabilités de leurs systèmes. Vermorel partage que Lokad a connu cela à plusieurs reprises, avec des white-hat hackers découvrant des problèmes au sein de comptes individuels, qui ont ensuite été signalés et corrigés. Pour encourager les white-hat hackers à continuer d’identifier des failles potentielles de sécurité, les organisations devraient les rémunérer équitablement pour leurs efforts.
Vermorel expose son point de vue sur les niveaux de maturité en matière de sécurité qui varient selon les types d’organisations. À une extrémité du spectre se trouvent des entreprises comme Facebook et Google, qui disposent de mesures de sécurité robustes grâce à leur forte exposition et au grand nombre de tentatives de hacking. Ces entreprises orientées B2C sont constamment attaquées, ce qui les oblige à être bien préparées et proactives dans leurs mesures de sécurité.
Plus bas sur le spectre se trouvent des entreprises de logiciels B2B comme Lokad, qui, bien que moins exposées que les géants du B2C, s’efforcent néanmoins d’atteindre des niveaux élevés de sécurité en maintenant la transparence et en permettant un accès facile à leurs systèmes. Vermorel suggère que la sécurité de ces entreprises B2B tend à être plus faible, car elles ne sont pas autant exposées et, par conséquent, ne font pas face à la même intensité de tentatives de hacking.
Un niveau de maturité en sécurité encore plus faible se retrouve dans les grandes entreprises non technologiques et les gouvernements, qui s’appuient souvent sur une mentalité de forteresse obsolète et la sécurité par l’obscurité. Ces organisations peuvent tenter de verrouiller des informations sensibles, mais Vermorel soutient que cette approche est incompatible avec la taille et la complexité des organisations modernes.
De manière surprenante, Vermorel affirme que les organisations militaires ont les pires pratiques de sécurité, car elles utilisent souvent des réseaux privés isolés depuis des décennies. Bien que l’on puisse supposer que ces réseaux privés seraient plus sécurisés, leur manque d’exposition aux menaces extérieures les a rendus mal préparés aux défis de sécurité modernes. Vermorel note que les grandes organisations militaires réparties sur plusieurs sites et pays peinent à maintenir un réseau isolé tout en gérant des milliers d’employés et de sous-traitants.
Vermorel souligne que même les systèmes les plus sécurisés peuvent être compromis, comme en témoignent les fraudes passées et les vulnérabilités découvertes dans le matériel Intel. Il explique que des vulnérabilités matérielles, telles que Spectre et Meltdown, peuvent également rendre les logiciels et les applications peu sûrs.
Vermorel souligne l’importance de l’exposition aux hackers qui peuvent identifier et corriger les vulnérabilités avant qu’elles ne soient exploitées. Il note que les systèmes militaires, qui utilisent souvent du matériel Intel, sont particulièrement vulnérables à de telles attaques. Cependant, il croit qu’il est possible d’éliminer progressivement le hacking, car il n’existe aucune loi fondamentale qui dicte que tous les systèmes informatiques doivent être peu sûrs.
Vermorel suggère que les supply chains peuvent devenir plus sécurisées en adoptant une culture d’ouverture et d’exposition. Cela implique de rendre les systèmes plus transparents et accessibles, tout en maintenant des mesures de sécurité. Il préconise une philosophie de “defense-in-depth”, où plusieurs couches de sécurité sont mises en place pour protéger les informations sensibles. Globalement, Vermorel affirme que les entreprises et organisations disposant de supply chains seront plus sécurisées si elles adoptent cette approche, ce qui aboutira à une transition plus rapide vers des systèmes plus sûrs.
Transcription complète
Kieran Chandler: Aujourd’hui sur Lokad TV, nous allons discuter de la manière dont le cloud computing gagne en popularité et de la manière dont les techniques de hacking deviennent toujours plus sophistiquées. Peut-on avoir une réelle confiance dans la sécurité de vos données ? Alors Joannes, c’est un sujet qui a été quelque peu sensationnalisé dans les médias ces derniers temps, mais la sécurité des données est-elle vraiment un problème nouveau ?
Joannes Vermorel: Non, cela existe depuis bien longtemps. C’est fascinant. Lorsque j’ai lancé Lokad il y a 10 ans, l’idée était de garder les données enfermées, loin de tous les réseaux et des hackers, et tout le reste. Mais dès qu’il s’agit de supply chains, si vous enfermez simplement vos données dans un coffre, oui, c’est très sécurisé, mais vos supply chains en souffrent de manière dramatique. Le problème est que les personnes, les partenaires et même votre propre organisation n’ont pas accès aux données pour optimiser réellement votre supply chain. Donc, si vous souhaitez atteindre un certain degré d’optimization de la Supply Chain et disposer d’une supply chain un peu complexe et répartie sur différents sites ou éventuellement dans différents pays, vous devez disposer d’un moyen de fournir aux différentes parties impliquées dans votre supply chain les données appropriées. Cela signifie, par conception, que vous exposez davantage vos données, vous exposez davantage vos systèmes, et c’est ainsi que se pose le problème de la sécurité des données.
Kieran Chandler: Il semble qu’au quotidien dans les médias, nous voyons une nouvelle organisation ou une nouvelle célébrité se faire hacker. Est-ce quelque chose qui se produit réellement plus fréquemment, ou est-ce simplement que nous en entendons parler plus souvent ?
Joannes Vermorel: Je pense que les cyberattaques sont globalement en hausse. Il y a des raisons très simples à cela. Ce n’est pas que nous ayons plus de méchants, c’est simplement que nous avons plus de systèmes informatiques et une dépendance accrue à nos propres logiciels en général. Les entreprises se digitalisent davantage, et même les clients ordinaires utilisent plus de services en ligne. Par conséquent, tout cela augmente la surface d’attaque pour les méchants, ce qui se traduit par plus de fuites. Cela ne signifie pas que la sécurité se détériore ou qu’il y a plus de mauvaises personnes en général.
Kieran Chandler: S’il y a de plus en plus d’attaques chaque jour, examinons quelques-unes des techniques que nous pouvons réellement utiliser pour nous protéger. Que pouvons-nous faire ici ?
Joannes Vermorel: Chez Lokad, la sécurité est la deuxième préoccupation la plus importante. La préoccupation principale est la qualité des chiffres que nous fournissons pour une grande optimization de la Supply Chain. Mais la deuxième préoccupation est d’assurer la sécurité des données de nos clients. L’une des techniques les plus élémentaires pour cela consiste à restreindre la surface d’attaque pour les hackers et, en général, pour éviter les problèmes. Comment faites-vous cela en concevant une solution logicielle ? D’abord, vous essayez de restreindre autant que possible le nombre de choses qui pourraient mal tourner à cause de vous. Par exemple, l’une des raisons pour lesquelles nous avons opté pour le cloud computing était de pouvoir déléguer le matériel et une grande partie de la gestion des systèmes d’exploitation à Microsoft. Ce n’est pas que Microsoft soit parfait, mais en termes d’équipes d’ingénierie, ils disposent de bien plus de ressources pour sécuriser physiquement le matériel informatique que Lokad. Il est donc logique de ne pas faire confiance à votre équipe quand vous n’êtes que 20 personnes, alors que Microsoft tente de fournir le même effort de sécurité avec plusieurs centaines de personnes.
Kieran Chandler: Parlons un peu de cette délégation. Il existe de nombreuses entreprises informatiques, alors comment savoir à laquelle faire confiance et lesquelles externaliser votre travail, et lesquelles devriez-vous probablement éviter ?
Joannes Vermorel: En règle générale, faites confiance aux grandes entreprises qui exposent une quantité énorme de ressources informatiques en ligne. Je parle des grands fournisseurs de cloud computing comme Amazon, Microsoft et Google. Ce sont des survivants d’internet, attaqués tous les jours par des centaines de hackers. Si leurs systèmes fonctionnent toujours après une décennie d’opération, cela signifie qu’ils ont survécu à toutes les épreuves qu’ils ont subies au quotidien. Cela ne veut pas dire qu’ils n’ont jamais été piratés ; cela signifie simplement qu’ils ont corrigé et patché consciencieusement tous les problèmes rencontrés. Plus votre fournisseur est exposé et plus il existe depuis longtemps, plus vous pouvez lui accorder votre confiance. S’il est resté exposé, qu’il a été attaqué sans relâche et qu’il a survécu, il est probablement très bon en sécurité.
Kieran Chandler: D’accord, l’externalisation vers d’autres entreprises est une façon d’assurer la sécurité de nos systèmes. Quelles autres techniques pouvons-nous utiliser pour garantir la sécurité de nos systèmes ?
Joannes Vermorel: Le même principe de minimisation de la surface d’attaque s’applique également à la partie interne de votre logiciel. Par exemple, chez Lokad, nous n’utilisons pas en interne de systèmes de bases de données relationnelles ou de bases de données SQL. Ce n’est pas que nous ne les aimions pas ; ils sont puissants et peuvent faire de nombreuses choses. Cependant, les avoir dans votre couche de stockage crée un énorme problème de sécurité. Cela peut quand même être sécurisé, mais cela demande beaucoup d’efforts. Avec SQL, vous pouvez écrire du code, ce qui signifie que vous pouvez écrire du code malveillant. Pour nous protéger contre cela, chez Lokad, nous utilisons une couche de stockage de données très simple et naïve, comme le blob storage sur Azure. L’idée clé est que nous utilisons une couche de stockage de données qui est d’un ordre de grandeur plus simple que les bases de données relationnelles et qui n’a aucune expressivité programmatique. Cela signifie que des classes entières d’attaques ne peuvent pas se produire au niveau de notre couche de stockage de données parce qu’elle est trop simple pour offrir des angles d’attaque. Nous appliquons la même idée à de nombreux autres composants, en optant pour des options plus simples et moins expressives afin de minimiser la quantité de choses qui peuvent mal tourner.
Kieran Chandler: Être simpliste et un peu stupide est en réalité très bénéfique. Cela relève de la sécurité par conception. Qu’en est-il de la sécurité en termes de culture ? Quelles valeurs culturelles les entreprises devraient-elles promouvoir pour augmenter leur sécurité des données ?
Joannes Vermorel: L’ouverture est probablement la clé.
Kieran Chandler: Alors, comment décririez-vous l’approche de forteresse dont j’ai parlé à propos de supply chains et de la manière dont les choses étaient faites il y a dix ans ?
Joannes Vermorel: Si vous avez une mentalité de forteresse, vous voulez enfermer vos données dans un coffre-fort enfoui et très difficile d’accès. Cela rend tout opaque et obscur, et il est difficile d’accéder aux données. Mais cela vous rend-il vraiment sécurisé ? Le problème est qu’en ce qui concerne l’informatique, ce type de comportement et cette culture d’entreprise vont à l’encontre de la sécurité.
Kieran Chandler: Pourquoi les systèmes informatiques ne sont-ils pas sécurisés ?
Joannes Vermorel: Les systèmes informatiques ne sont pas entièrement sécurisés, non seulement parce qu’ils ont été conçus pour être sécurisés, mais aussi à cause des pratiques de conception. Si vous n’avez pas la rigueur par conception dans le logiciel, il est très difficile de sécuriser quoi que ce soit. Une fois cela en place, avec un haut degré de contrôle sur votre logiciel, ce qu’il faut pour améliorer la sécurité, c’est la transparence et l’exposition.
La transparence signifie que les gens peuvent voir ce qui se passe à l’intérieur de vos systèmes informatiques, et la sécurité n’est pas une propriété émergente du fait que personne ne sait ce qui entre dans vos systèmes. Les gens devraient savoir comment ils fonctionnent, leur architecture, et pouvoir vérifier s’ils sont correctement conçus et sécurisés. L’exposition signifie être mis au défi par des hackers, et plus important encore, par des white hats, les bons.
Kieran Chandler: Il semble contre-intuitif d’exposer vos systèmes et de laisser tout le monde voir ce qui se passe. Comment le fait de laisser des personnes hacker vos systèmes vous rend-il plus sécurisé ? Que font réellement ces white hats ?
Joannes Vermorel: Les white hats sont les bons hackers. Ils essaient d’accéder aux systèmes pour vivre. Chez Lokad, nous avons connu cela à quelques reprises. Des personnes sur internet s’inscrivent pour un compte gratuit chez Lokad et essaient de fouiller pour voir si elles peuvent trouver des problèmes de sécurité. Certains d’entre eux ont réussi à trouver des failles, mais uniquement dans un seul compte, l’isolement étant alors bien assuré.
Lorsqu’ils trouvent un problème, ils reviennent et le signalent. Ils peuvent demander une récompense, mais c’est à vous de fixer le prix. Cela les motive à trouver davantage de failles dans vos systèmes, les rendant encore plus sécurisés. Vous voulez que des personnes essaient de pénétrer dans votre système, en particulier des white hats, donc, lorsqu’ils trouvent un problème, ils vous le rapportent consciencieusement. Vous devez jouer le jeu et les compenser équitablement pour l’effort consacré au hacking de votre système. C’est ainsi que vous gagnez en sécurité.
Si vos systèmes sont supposément sécurisés mais que personne n’a jamais tenté de les hacker, alors c’est très risqué, car vous n’en avez pas la preuve. En informatique, il n’existe rien de tel qu’une forteresse évidente. Dans une véritable forteresse, vous avez des murs de pierre, et il faut de la force brute pour les franchir. Mais en termes de logiciels, la sécurité peut parfois s’effondrer à cause de la moindre erreur, comme un minuscule problème de configuration sur l’un de vos serveurs secondaires. Vous devez donc avoir des personnes qui essaient de fouiller partout afin d’assurer votre sécurité.
Kieran Chandler: Sécuriser tout le système de bout en bout, c’est un concept un peu bizarre, n’est-ce pas, d’avoir ces personnes qui hackent votre système et qui sont en réalité les bonnes ? Où tracez-vous alors la limite entre ce qui relève d’une attaque de white hat et ce qui est quelque chose d’un peu plus malveillant ?
Joannes Vermorel: C’est complètement différent. Les white hats sont comme des freelances, mais ils ont leur réputation. Ce sont des gens bien, très professionnels dans la manière dont ils signalent les problèmes. En général, ils vous en informent d’abord, puis disent : “Eh bien, ce que vous me paierez dépend de vous.” Certaines entreprises ont même des programmes officiels de primes. Fondamentalement, ils agissent comme des freelances qui contribuent à améliorer la sécurité de votre système.
Les black hats, en revanche, sont l’opposé. Ils ne vont pas faire cela. Une fois qu’ils trouvent une faille dans votre système, ils vont l’exploiter jusqu’à la fin des temps ou jusqu’à ce que vous ayez corrigé la faille. Ensuite, ils essaieront de revendre vos données ou de vous faire du chantage. C’est très différent. Les white hats, ce n’est pas du chantage. Ils disent : “Si vous ne me payez pas, très bien. Je ne serai pas payé, mais ne vous attendez pas à ce que je continue à travailler sur votre système par la suite.” Ils l’ont fait gratuitement au départ pour vous prouver que c’est réel et qu’ils font un travail sérieux, et non pour formuler des réclamations vaines. Mais ensuite, ce que vous paierez dépend de vous. Plus vous payez, plus vous capterez leur intérêt pour chercher de nouvelles failles dans votre système. Et cela a du sens parce qu’ils sont des freelances qui pourraient travailler à améliorer la sécurité de votre entreprise ou d’autres, et ils doivent donc prioriser.
Kieran Chandler: Et comme vous l’avez mentionné précédemment, il est très facile qu’un petit trou de sécurité se trouve quelque part, et c’est ce que les hackers savent faire – trouver ces failles. Mais pouvez-vous vraiment être confiant quant à la sécurité de vos données ? Je veux dire, même les gouvernements se font hacker de nos jours, et ils semblent disposer de ressources infinies pour s’y consacrer. Pouvez-vous vraiment vous détendre ?
Joannes Vermorel: La réponse est vraiment non. C’est intéressant car je pense que tous ces problèmes de sécurité sont devenus plus visibles grâce à des choses comme Bitcoin. Pourquoi ? Parce que, soudainement, il devient évident qu’il est incroyablement difficile de sécuriser quoi que ce soit. Avec Bitcoin, si la machine qui détient vos Bitcoins est hackée, les Bitcoins sont volés. Les gens ont commencé à se rendre compte, lorsqu’ils plaçaient leurs Bitcoins sur des serveurs en ligne, que presque tout disparaissait au bout d’un certain temps. Ainsi, ils ont compris à quel point il était difficile de sécuriser véritablement quoi que ce soit.
Si nous prenons l’exemple des gouvernements, en termes de maturité et de sécurité, vous avez à une extrémité du spectre des entreprises extrêmement performantes comme Facebook et Google. Oui, Facebook peut être hacké de temps en temps, mais des milliers de personnes tentent de hacker Facebook chaque jour. Ils survivent, et ils sont très performants car ils subissent une exposition massive, des attaques massives et d’innombrables attaques continues sur leurs systèmes. Il en va de même pour Google, Amazon et Apple – toutes ces entreprises orientées B2C et ultra exposées.
Ensuite, un cran en dessous en termes de pratique, se trouvent toutes les entreprises de logiciels B2B comme Lokad. Chez Lokad, nous essayons d’être très exposés sur internet dans le sens où nos systèmes ne sont pas sécurisés parce qu’ils sont opaques. Tout est documenté en ligne, et vous pouvez même vous inscrire gratuitement et accéder à un compte en ligne. Donc, fondamentalement, nous nous donnons un haut degré d’exposition, tout comme Facebook, exprès. Mais soyons honnêtes, quand vous
Kieran Chandler: Joannes, pouvez-vous parler des différences en matière de sécurité entre les petites et les grandes organisations, et même les gouvernements ?
Joannes Vermorel: Oui, certainement. Ainsi, le nombre de hackers auxquels sont confrontées les petites organisations est généralement plus faible, et par conséquent, leur sécurité tend à être moins robuste. Puis, un cran en dessous, il y a tout ce qui concerne les méga-corporations et les gouvernements. Je dirais que les méga-corporations qui ne sont pas technophiles, comme les Googles de ce monde, tendent à avoir une sécurité très faible. Pourquoi ? Parce qu’elles restent très attachées à cette mentalité de forteresse, à la sécurité par obscurité, c’est-à-dire que les choses sont sécurisées non pas parce qu’elles sont transparentes et exposées, mais parce qu’en fin de compte, elles essaient de les verrouiller. Mais devinez quoi ? Si vous êtes une très grande organisation, cela ne fonctionne tout simplement pas. Vous ne pouvez pas avoir des choses verrouillées tout en comptant des dizaines de milliers de jeunes employés dans l’organisation. Ce n’est tout simplement pas compatible. Donc, en fin de compte, la sécurité tend à être assez médiocre. Et à l’extrême du spectre, il y a l’armée, qui est probablement la pire en termes de sécurité informatique et de pratiques. Je sais que certains penseraient que c’est exactement le contraire et diraient que l’armée devrait être absolument sécurisée, voire plus. Mais, au contraire, ils ont des décennies d’expérience dans la gestion de leurs propres réseaux privés, de leurs propres systèmes privés, en somme, et par conséquent, ils manquent dramatiquement de l’exposition qu’ils devraient avoir. Et si vous suivez l’actualité, vous verrez que différentes armées à travers le monde rencontrent fréquemment une multitude de problèmes informatiques relativement archaïques, conséquence directe d’un manque d’exposition.
Kieran Chandler: Qu’est-ce qui, dans ces réseaux privés, les rend plus vulnérables ? Parce que si vous avez un système militaire qui est privé depuis des décennies, ils devraient pouvoir résoudre leurs problèmes de sécurité et que cela soit fiable, non ?
Joannes Vermorel: Le problème, c’est que si vous dites que mon réseau est sûr parce qu’il est déconnecté d’internet, eh bien, devinez quoi ? Encore une fois, si vous êtes dans l’armée, vous êtes une grande organisation qui s’étend sur de nombreux sites avec des dizaines de milliers de personnes. Si vous êtes une armée active combattant à l’étranger, vos systèmes vont se déployer dans plusieurs pays. Et comment pouvez-vous garder ce réseau complètement déconnecté de tout le reste ? Vous ne pouvez pas faire confiance à vos employés ou aux personnes qui font partie de votre organisation à cette échelle, pas quand vous avez des milliers de personnes. La multitude d’acquisitions que vous réalisez est inutile, car nous avons découvert de nombreuses fraudes. Bernie Madoff, jusqu’à sa condamnation, n’avait rien dans son palmarès. Il avait un palmarès impeccable jusqu’à ce que nous découvrions qu’il était le plus grand fraudeur de l’histoire. Voilà ce qui se passe généralement. Nous faisons confiance aux gens jusqu’à ce qu’ils soient démasqués. Ils ont un palmarès impeccable, et cela s’applique aux fonds d’investissement, mais c’est la même chose pour l’armée, etc. Ce sont de simples faiblesses humaines. Donc, en fin de compte, si votre réseau est… complètement déconnecté, comment obtenir l’exposition auprès de tous ces hackers qui essaient de fouiller, par exemple, les vulnérabilités existant dans le matériel Intel ? Ainsi, les processeurs CPU présentent deux classes de vulnérabilités qui ont été découvertes il y a environ un an : Spectre et Meltdown. Cela signifie que le matériel lui-même est vulnérable et que certaines applications logicielles deviennent vulnérables parce que le matériel sur lequel elles tournent est compromis. Je ne crois pas une seconde qu’aucune armée de nos jours ne possède de matériel Intel dans ses systèmes. Je veux dire, Intel détient quelque chose comme plus de cinquante pour cent du marché des CPU pour ordinateurs de bureau. Donc, je suis à peu près sûr que chaque armée dans le monde compte littéralement des centaines, voire des milliers, de postes de travail fonctionnant sur du matériel Intel présentant des vulnérabilités critiques. Alors, comment gérez-vous cela si vous n’avez pas de personnes pour tenter de patcher le problème ? Eh bien, il y a de fortes chances que vous restiez vulnérable jusqu’à ce que quelqu’un parvienne à se connecter à votre réseau supposément privé et protégé, et alors tout sera compromis, car tout est plutôt faible et n’a pas reçu suffisamment de contrôle.
Kieran Chandler: Ça commence à devenir inquiétant maintenant. Je risque de ne pas pouvoir dormir ce soir. Essayons de terminer sur une note plus positive. Les Googles et les Facebooks de ce monde investissent énormément dans la recherche et le développement en matière de sécurité des données. Peut-on envisager un jour où le hacking appartiendrait au passé et n’existerait plus du tout ?
Joannes Vermorel: Je le crois. Il n’existe aucune loi physique stipulant que chaque système informatique est non sécurisé. Il n’y a aucune loi fondamentale qui dise que le hacking ne peut qu’augmenter avec le temps. Ce n’est donc pas de l’entropie. Mais en fin de compte, cela prendra du temps. Et en ce qui concerne les supply chains, cette évolution peut se faire beaucoup plus rapidement si vous adoptez une culture d’ouverture et d’exposition pour votre supply chain et vos supply chain systems. Ce qui signifie rendre vos systèmes plus transparents, plus exposés, tout en restant sécurisés. Je ne dis pas que vous devez être exposé au point que n’importe qui puisse accéder à n’importe quoi de n’importe où, ce n’est pas ce que j’entends par exposition. Par exposition, j’entends que ce n’est pas sécurisé simplement parce qu’il n’y a qu’une seule personne dans le département informatique censée y avoir accès. Ce n’est pas ce type de sécurité. Mais fondamentalement, plus les entreprises auront des supply chains avec des systèmes plus connectés et plus sécurisés grâce à une philosophie de défense en profondeur, plus elles seront efficaces et sécurisées.
Kieran Chandler: Nous allons devoir en rester là. Espérons que personne ne nous hackera après cela, ou peut-être souhaitez-vous qu’ils nous hackent. White hats uniquement, s’il vous plaît. C’est tout pour cette semaine. Merci beaucoup de nous avoir suivis, et nous nous reverrons la prochaine fois. Au revoir pour l’instant.
