00:00:07 Sécurité des données et cloud computing.
00:00:38 Les défis de la sécurité des données dans l’optimisation de la supply chain.
00:02:11 Augmentation des cyberattaques et dépendance aux systèmes informatiques.
00:03:08 Restreindre la surface d’attaque et externaliser auprès de fournisseurs de cloud.
00:06:17 Minimiser la surface d’attaque dans la conception logicielle et éviter les bases de données relationnelles.
00:08:01 Utiliser la simplicité et des composants minimaux pour la sécurité.
00:09:26 Ouverture, transparence et exposition comme clés de la sécurité des données.
00:11:03 L’importance des hackers éthiques pour améliorer la sécurité.
00:13:18 Rémunérer équitablement les hackers éthiques pour leurs efforts.
00:14:35 Différencier les hackers éthiques des hackers malveillants.
00:16:00 La sécurité des systèmes d’entreprise et la priorité accordée aux travailleurs indépendants.
00:16:47 La confiance en la sécurité des données et l’impact du Bitcoin sur la sensibilisation à la sécurité.
00:17:50 Différences dans les pratiques de sécurité entre les entreprises B2C et B2B, les grandes entreprises et les gouvernements.
00:20:01 Les défis de la sécurité des réseaux militaires et exemples de vulnérabilités matérielles.
00:24:01 La possibilité d’un avenir avec une réduction significative du piratage et l’adoption d’une culture d’ouverture dans la sécurité de la supply chain.
Résumé
Dans l’interview, Kieran Chandler et Joannes Vermorel discutent de la sécurité des données dans l’optimisation de la supply chain. Vermorel reconnaît la montée des cyberattaques due à la numérisation croissante et à la dépendance aux logiciels. Il souligne l’importance de l’ouverture et de l’exposition dans la sécurité de la supply chain, préconisant une philosophie de “défense en profondeur” avec plusieurs niveaux de protection. Il cite la valeur des hackers éthiques pour identifier et corriger les vulnérabilités et suggère que les entreprises peuvent améliorer leur sécurité en minimisant les surfaces d’attaque et en s’appuyant sur des fournisseurs de cloud computing de confiance. Vermorel estime que l’adoption de pratiques transparentes et exposées dans les supply chains permettra une transition plus rapide vers des systèmes plus sécurisés.
Résumé étendu
Dans cette interview, Kieran Chandler, l’animateur, discute de la sécurité des données avec Joannes Vermorel, le fondateur de Lokad, une entreprise de logiciels spécialisée dans l’optimisation de la supply chain. La conversation tourne autour de l’importance croissante de la sécurité des données à mesure que le cloud computing devient plus populaire et que les techniques de piratage deviennent plus sophistiquées.
Joannes reconnaît que la sécurité des données n’est pas un problème nouveau, mais qu’elle existe depuis un certain temps. Il se souvient qu’il y a 10 ans, lorsque Lokad a été créé, l’idée initiale était de garder les données à l’abri de tous les réseaux, mais cette approche s’est révélée préjudiciable à l’optimisation de la supply chain. Les entreprises avec des supply chains complexes et distribuées doivent fournir un accès aux données pour toutes les parties impliquées afin d’optimiser leurs opérations. Cela augmente intrinsèquement l’exposition des données et des systèmes, ce qui pose des défis en matière de sécurité des données.
L’animateur se demande si les incidents de piratage sont réellement de plus en plus fréquents ou s’ils sont simplement signalés plus souvent dans les médias. Joannes pense que les cyberattaques sont effectivement en hausse, principalement parce qu’il y a plus de systèmes informatiques et une dépendance accrue aux logiciels. À mesure que les entreprises se digitalisent davantage et que les consommateurs utilisent plus de services en ligne, la surface d’attaque pour les pirates informatiques augmente, ce qui entraîne davantage de violations de données.
Lorsqu’on lui demande quelles sont les techniques pour protéger les données, Joannes déclare que la sécurité est la deuxième préoccupation la plus importante chez Lokad, la qualité des chiffres qu’ils fournissent pour l’optimisation de la supply chain étant leur préoccupation principale. Une approche de base pour garantir la sécurité des données consiste à limiter la surface d’attaque pour les pirates. Cela implique de concevoir des solutions logicielles avec un potentiel minimal de problèmes.
Joannes explique que l’une des raisons pour lesquelles Lokad s’est tourné vers le cloud computing était de déléguer le matériel et la gestion des systèmes d’exploitation à des entreprises plus importantes comme Microsoft. Bien que ce ne soit pas parfait, ces entreprises disposent de plus de ressources et de personnel pour sécuriser physiquement le matériel informatique. Il est logique de faire confiance à une entreprise qui compte des centaines de personnes travaillant sur la sécurité plutôt qu’à une équipe plus petite de 20 personnes.
L’animateur demande ensuite comment choisir des entreprises informatiques fiables pour externaliser le travail. Joannes suggère que les grands fournisseurs de cloud computing comme Amazon, Microsoft et Google, qui sont des survivants de l’internet, sont généralement fiables. Ces entreprises font face à des cyberattaques constantes, de sorte que leur expérience et leurs ressources les rendent mieux équipées pour gérer la sécurité des données.
Pour assurer la sécurité de leurs systèmes, Lokad réduit au minimum leur surface d’attaque en utilisant des composants plus simples et en évitant les couches de stockage de données programmablement intelligentes, comme les bases de données relationnelles. À la place, ils optent pour une couche de stockage de données plus basique, en utilisant le stockage de blobs sur Azure, qui est moins susceptible de certaines types d’attaques. Lokad est également sélectif dans son utilisation des composants open source, en vérifiant chacun d’entre eux et en limitant la quantité de masse technologique dans leurs solutions.
Vermorel estime qu’un élément clé de la culture d’entreprise pour améliorer la sécurité des données est l’ouverture, ce qui contraste avec la mentalité de forteresse souvent utilisée dans les pratiques de la supply chain. Il soutient que les systèmes informatiques ne sont pas sécurisés uniquement en raison de leur conception, mais aussi en raison de la transparence et de l’exposition. La transparence implique que les personnes comprennent comment les systèmes fonctionnent et leur architecture, tandis que l’exposition consiste à soumettre les systèmes à des hackers éthiques, appelés hackers white-hat, qui cherchent à améliorer la sécurité.
Les hackers white-hat aident les organisations à identifier et à corriger les vulnérabilités de leurs systèmes. Vermorel partage que Lokad a vécu cela plusieurs fois, les hackers white-hat ayant trouvé des problèmes au sein de comptes individuels, qui ont ensuite été signalés et corrigés. Pour encourager les hackers white-hat à continuer d’identifier les problèmes potentiels de sécurité, les organisations devraient les rémunérer équitablement pour leurs efforts.
Vermorel partage son point de vue sur les différents niveaux de maturité en matière de sécurité parmi les différents types d’organisations. À un extrême du spectre se trouvent des entreprises comme Facebook et Google, qui disposent de mesures de sécurité robustes en raison de leur exposition massive et du grand nombre de tentatives de piratage. Ces entreprises axées sur le B2C sont constamment attaquées, ce qui les oblige à être bien préparées et proactives dans leurs mesures de sécurité.
Plus bas dans le spectre se trouvent les entreprises de logiciels B2B comme Lokad, qui, bien qu’elles ne soient pas exposées autant que les géants du B2C, s’efforcent néanmoins d’atteindre des niveaux élevés de sécurité en maintenant la transparence et en permettant un accès facile à leurs systèmes. Vermorel suggère que la sécurité de ces entreprises B2B tend à être plus faible, car elles n’ont pas autant d’exposition et ne font donc pas face à la même intensité de tentatives de piratage.
Un niveau encore plus bas de maturité en matière de sécurité peut être trouvé dans les grandes entreprises non technologiques et les gouvernements, qui s’appuient souvent sur une “mentalité de forteresse” obsolète et sur la sécurité par l’obscurité. Ces organisations peuvent essayer de verrouiller les informations sensibles, mais Vermorel soutient que cette approche est incompatible avec la taille et la complexité des organisations modernes.
Étonnamment, Vermorel affirme que les organisations militaires ont les pires pratiques en matière de sécurité, car elles utilisent souvent des réseaux privés isolés depuis des décennies. Alors que l’on pourrait penser que ces réseaux privés seraient plus sécurisés, leur manque d’exposition aux menaces extérieures les a laissés mal préparés aux défis de sécurité modernes. Vermorel note que les grandes organisations militaires réparties sur plusieurs sites et pays ont du mal à maintenir un réseau isolé tout en gérant des milliers d’employés et de sous-traitants.
Vermorel souligne que même les systèmes les plus sécurisés peuvent être compromis, comme le démontrent les fraudes passées et les vulnérabilités trouvées dans le matériel Intel. Il explique que les vulnérabilités matérielles, telles que Spectre et Meltdown, peuvent également rendre les logiciels et les applications non sécurisés.
Vermorel insiste sur l’importance de l’exposition aux hackers qui peuvent identifier et corriger les vulnérabilités avant qu’elles ne puissent être exploitées. Il note que les systèmes militaires, qui utilisent souvent du matériel Intel, sont particulièrement vulnérables à de telles attaques. Cependant, il estime qu’il est possible d’éliminer finalement le piratage, car il n’y a pas de loi fondamentale qui stipule que tous les systèmes informatiques doivent être non sécurisés.
Vermorel suggère que les chaînes d’approvisionnement peuvent devenir plus sécurisées en adoptant une culture de l’ouverture et de l’exposition. Cela implique de rendre les systèmes plus transparents et accessibles, tout en maintenant des mesures de sécurité. Il plaide en faveur d’une philosophie de “défense en profondeur”, où plusieurs couches de sécurité sont mises en place pour protéger les informations sensibles. Dans l’ensemble, Vermorel soutient que les entreprises et les organisations dotées de chaînes d’approvisionnement seront plus sécurisées si elles adoptent cette approche, ce qui permettra une transition plus rapide vers des systèmes plus sécurisés.
Transcription complète
Kieran Chandler: Aujourd’hui sur Lokad TV, nous allons discuter de la popularité croissante du cloud computing et de l’évolution toujours plus sophistiquée des techniques de piratage. Pouvez-vous réellement avoir confiance en la sécurité de vos données ? Alors Joannes, il s’agit d’un sujet qui a été quelque peu sensationnalisé dans les médias ces derniers temps, mais la sécurité des données est-elle vraiment un problème nouveau ?
Joannes Vermorel: Non, cela fait un moment que cela existe. C’est intrigant. Quand j’ai créé Lokad il y a 10 ans, l’idée était de garder les données à l’abri de tous les réseaux et des pirates informatiques. Mais dès lors qu’il s’agit de chaînes d’approvisionnement, si vous enfermez simplement vos données dans un coffre-fort, oui, c’est très sécurisé, mais vos chaînes d’approvisionnement en souffrent considérablement. Le problème est que les personnes, les partenaires et même votre propre organisation n’ont pas accès aux données pour optimiser réellement votre chaîne d’approvisionnement. Donc, si vous voulez atteindre un certain degré d’optimisation de la chaîne d’approvisionnement et avoir une chaîne d’approvisionnement un peu complexe et répartie dans différents endroits ou éventuellement différents pays, alors vous devez avoir un moyen de fournir à toutes les parties impliquées dans votre chaîne d’approvisionnement les bonnes données. Cela signifie, par conception, que vous exposez davantage vos données, que vous exposez davantage vos systèmes, et donc se pose le problème de la sécurité des données.
Kieran Chandler: Il semble que chaque jour dans les médias, nous voyons une nouvelle organisation ou une nouvelle célébrité se faire pirater. Est-ce quelque chose qui se produit réellement plus fréquemment, ou est-ce simplement que nous en entendons parler plus souvent ?
Joannes Vermorel: Je pense que les cyberattaques sont globalement en hausse. Il y a quelques raisons très basiques à cela. Ce n’est pas que nous avons plus de méchants autour de nous ; c’est juste que nous avons plus de systèmes informatiques et une plus grande dépendance à notre propre logiciel en général. Les entreprises se numérisent de plus en plus, et même les clients réguliers utilisent de plus en plus de services en ligne. Par conséquent, tout cela augmente simplement la surface d’attaque pour les méchants, et vous vous retrouvez donc avec plus de fuites. Cela ne signifie pas que la sécurité se détériore ou qu’il y a plus de mauvaises personnes en général.
Kieran Chandler: S’il y a plus d’attaques qui se produisent chaque jour, examinons certaines des techniques que nous pouvons réellement utiliser pour nous protéger. Que pouvons-nous faire ici ?
Joannes Vermorel: Chez Lokad, la sécurité est la deuxième préoccupation la plus importante. La préoccupation la plus importante est la qualité des chiffres que nous fournissons pour une excellente optimisation de la chaîne d’approvisionnement. Mais la deuxième préoccupation est d’assurer la sécurité des données de nos clients. L’une des techniques les plus basiques pour y parvenir est de restreindre la surface d’attaque pour les pirates et les problèmes en général. Comment faites-vous cela lorsque vous concevez une solution logicielle ? Tout d’abord, vous essayez de restreindre autant que possible les choses qui peuvent mal tourner à cause de vous. Par exemple, l’une des raisons pour lesquelles nous nous sommes tournés vers le cloud computing était de pouvoir déléguer le matériel et une grande partie de la gestion des systèmes d’exploitation à Microsoft. Ce n’est pas que Microsoft soit parfait, mais en termes d’équipes d’ingénierie, ils ont beaucoup plus de ressources pour sécuriser physiquement le matériel informatique que Lokad. Il est donc logique de ne pas faire confiance à votre équipe lorsque vous avez 20 personnes, alors que Microsoft essaie de faire le même effort de sécurité avec plusieurs centaines de personnes sur le cas.
Kieran Chandler: Parlons un peu de cette délégation. Il y a beaucoup d’entreprises informatiques là-bas, alors comment savez-vous lesquelles de ces entreprises vous devriez faire confiance et lesquelles sont celles que vous devriez externaliser votre travail et lesquelles sont celles que vous devriez probablement éviter ?
Joannes Vermorel: En règle générale, faites confiance aux grandes entreprises qui exposent des tonnes de ressources informatiques en ligne. Je parle des grands fournisseurs de cloud computing comme Amazon, Microsoft et Google. Ce sont des survivants d’Internet, attaqués chaque jour par des centaines de pirates informatiques. Si leurs systèmes sont toujours en ligne après une décennie d’activité, cela signifie qu’ils ont survécu à toutes les punitions qu’ils ont subies quotidiennement. Cela ne signifie pas qu’ils n’ont jamais été piratés ; cela signifie simplement qu’ils ont réparé et corrigé tous les problèmes qu’ils ont rencontrés. Plus votre fournisseur est exposé et plus il est présent depuis longtemps, plus vous pouvez lui faire confiance. S’ils sont restés exposés, ont été attaqués sans relâche et ont survécu, ils sont probablement très compétents en matière de sécurité.
Kieran Chandler: D’accord, externaliser à d’autres entreprises est un moyen de garantir la sécurité de nos systèmes. Quelles autres techniques pouvons-nous utiliser pour assurer la sécurité de nos systèmes ?
Joannes Vermorel: Le même principe de minimisation de la surface d’attaque s’applique également à la partie interne de votre logiciel. Par exemple, chez Lokad, nous n’utilisons pas de systèmes de base de données relationnelles ou de bases de données SQL en interne. Ce n’est pas que nous ne les aimons pas ; ils sont puissants et peuvent faire beaucoup de choses. Cependant, les avoir dans votre couche de stockage crée un énorme problème de sécurité. Il peut encore être sécurisé, mais cela nécessite beaucoup d’efforts. Avec SQL, vous pouvez écrire du code, ce qui signifie que vous pouvez écrire du code malveillant. Pour nous protéger contre cela, chez Lokad, nous utilisons une couche de stockage de données très simple et naïve, comme le stockage de blobs sur Azure. L’idée clé est que nous utilisons une couche de stockage de données qui est des ordres de grandeur plus simple que les bases de données relationnelles et qui n’a aucune expressivité programmatique. Cela signifie que des classes entières d’attaques ne peuvent pas se produire au niveau de notre couche de stockage de données car elle est trop simple pour offrir des angles d’attaque. Nous appliquons la même idée à de nombreux autres composants, en optant pour des options plus simples et moins expressives pour minimiser le nombre de choses qui peuvent mal tourner.
Kieran Chandler: Donc être simpliste et un peu stupide est en fait très bénéfique. Cela couvre la sécurité par conception. Qu’en est-il de la sécurité en termes de culture ? Quels types de valeurs culturelles les entreprises devraient-elles promouvoir pour renforcer leur sécurité des données ?
Joannes Vermorel: L’ouverture est probablement la clé.
Kieran Chandler: Alors, comment décririez-vous l’approche forteresse dont j’ai parlé concernant les chaînes d’approvisionnement et la façon dont les choses étaient faites il y a dix ans ?
Joannes Vermorel: Si vous avez une mentalité de forteresse, vous voulez verrouiller vos données dans un coffre-fort enterré et très difficile d’accès. Cela rend tout opaque et obscur, et il est difficile d’accéder aux données. Mais est-ce que cela vous rend vraiment sécurisé ? Le problème est que, en ce qui concerne l’informatique, ce type de comportement et de culture d’entreprise est très contraire à la sécurité.
Kieran Chandler: Pourquoi les systèmes informatiques ne sont-ils pas sécurisés ?
Joannes Vermorel: Les systèmes informatiques ne sont pas entièrement sécurisés, non seulement parce qu’ils ont été conçus pour être sécurisés, mais aussi en raison des pratiques de conception. Si vous n’avez pas la correction par conception dans les logiciels, il est très difficile de sécuriser quoi que ce soit. Une fois que vous avez cela, ainsi qu’un degré élevé de rigueur dans votre logiciel, ce dont vous avez besoin pour améliorer la sécurité, c’est la transparence et l’exposition.
La transparence signifie que les gens peuvent voir ce qui se passe à l’intérieur de vos systèmes informatiques, et la sécurité n’est pas une propriété émergente du fait que personne ne sait ce qui entre dans vos systèmes informatiques. Les gens devraient savoir comment ils fonctionnent, leur architecture, et ils peuvent voir s’ils sont correctement conçus et sécurisés. L’exposition signifie être exposé aux pirates informatiques, et plus important encore, aux chapeaux blancs, les gentils.
Kieran Chandler: Il semble contre-intuitif d’exposer vos systèmes et de laisser tout le monde voir ce qui se passe. Comment le fait de faire pirater vos systèmes vous rend-il plus sûr ? Que font réellement ces chapeaux blancs ?
Joannes Vermorel: Les chapeaux blancs sont les bons pirates informatiques. Ils essaient de pénétrer dans les systèmes pour gagner leur vie. Chez Lokad, nous avons vécu cela à quelques reprises. Les gens sur Internet s’inscrivent à un compte gratuit chez Lokad et essaient de fouiller, voir s’ils peuvent trouver des problèmes de sécurité. Certains d’entre eux ont réussi à trouver des problèmes, mais seulement dans un seul compte, donc la confinement était étroit.
Lorsqu’ils trouvent un problème, ils reviennent et le signalent. Ils peuvent demander une prime, mais c’est à vous de décider du prix. Cela les motive à trouver plus de problèmes dans vos systèmes, les rendant encore plus sécurisés. Vous voulez que les gens essaient de pirater votre système, surtout les chapeaux blancs, donc quand ils trouvent un problème, ils vous le signalent avec diligence. Vous devez jouer le jeu et les compenser équitablement pour les efforts qu’ils ont mis dans le piratage de votre système. C’est ainsi que vous devenez plus sécurisé.
Si vos systèmes sont censés être sécurisés mais que personne n’a jamais essayé de les pirater, alors c’est très risqué, car vous ne savez pas. En informatique, il n’y a rien de tel qu’une forteresse évidente. Dans une véritable forteresse, vous avez des murs de pierre, et il faut une force brute pour les traverser. Mais en termes de logiciel, la sécurité peut parfois s’effondrer à cause de la plus petite erreur, comme un problème de configuration minuscule dans l’un de vos serveurs secondaires. Donc, vous devez avoir des personnes qui essaient de fouiller partout pour assurer votre sécurité.
Kieran Chandler: Sécurité totale, c’est un concept un peu bizarre, n’est-ce pas, que vous avez ces personnes qui piratent votre système qui sont en réalité les gentils ? Où tracez-vous la ligne entre ce qui est une attaque de type chapeau blanc et ce qui est quelque chose de plus malveillant ?
Joannes Vermorel: C’est complètement différent. Les chapeaux blancs sont comme des travailleurs indépendants, mais ils ont leur réputation. Ce sont des gens bien, très professionnels dans la façon dont ils divulguent les problèmes. En général, ils signaleront d’abord le problème, puis diront : “Eh bien, ce que vous me payez dépend de vous.” Certaines entreprises ont même des programmes de primes officiels. Fondamentalement, ce sont comme des travailleurs indépendants qui aident votre système à s’améliorer en termes de sécurité.
Les chapeaux noirs, en revanche, sont tout le contraire. Ils ne feront pas ça. Une fois qu’ils trouvent une faille dans votre système, ils exploiteront cette faille jusqu’à la fin des temps ou jusqu’à ce que vous ayez corrigé la faille. Ensuite, ils essaieront de revendre vos données ou de vous faire chanter. C’est très différent. Les chapeaux blancs, ce n’est pas du chantage. Ils disent : “Si vous ne me payez pas, très bien. Je ne suis pas payé, mais ne vous attendez pas à ce que je continue à travailler sur votre système par la suite.” Ils ont fait le premier gratuitement pour que vous puissiez voir que c’est une vraie chose et qu’ils font un travail sérieux, et non pas de simples affirmations vides. Mais ensuite, ce que vous payez dépend de vous. Plus vous payez, plus vous capturerez leur intérêt à essayer de trouver d’autres problèmes sur votre système. Et cela a du sens car ce sont des travailleurs indépendants qui pourraient travailler à améliorer la sécurité de votre entreprise ou d’autres entreprises, donc ils doivent établir des priorités.
Kieran Chandler: Et vous avez mentionné plus tôt qu’il est très facile qu’il y ait une petite faille qui pourrait exister quelque part, et c’est ce que les pirates informatiques savent faire - trouver ces failles. Mais pouvez-vous vraiment avoir confiance en la sécurité de vos données ? Je veux dire, même les gouvernements sont piratés de nos jours, et ils semblent avoir des ressources infinies à consacrer à ces choses. Alors pouvez-vous vraiment vous détendre ?
Joannes Vermorel: La réponse est vraiment non. C’est intéressant car je pense que tous ces problèmes de sécurité sont devenus plus visibles grâce à des choses comme Bitcoin. Pourquoi ? Parce que soudain, il devient évident que c’est incroyablement difficile de sécuriser quoi que ce soit. Avec Bitcoin, si votre machine qui détient vos Bitcoins est piratée, les Bitcoins sont volés. Les gens ont commencé à réaliser quand ils mettaient des Bitcoins sur des serveurs en ligne que pratiquement tout avait disparu après un certain temps. Donc, les gens ont réalisé à quel point il était difficile de sécuriser quoi que ce soit.
Si nous prenons l’exemple des gouvernements, en termes de maturité, en matière de sécurité, vous avez d’un côté du spectre, les entreprises exceptionnellement bonnes comme Facebook et Google. Oui, Facebook peut être piraté de temps en temps, mais des milliers de personnes essaient de pirater Facebook chaque jour. Donc, ils sont des survivants, et ils sont très bons car ils sont massivement exposés, massivement attaqués et constamment attaqués sur leurs systèmes. C’est la même chose pour Google, Amazon et Apple - toutes ces entreprises qui sont axées sur le B2C et très exposées.
Ensuite, un cran en dessous dans la pratique, on trouve toutes les entreprises de logiciels B2B comme Lokad. Chez Lokad, nous essayons d’être très exposés sur Internet dans le sens où nos systèmes ne sont pas sécurisés car ils sont opaques. Tout est documenté en ligne, et vous pouvez même vous inscrire gratuitement et accéder à un compte en ligne. Donc, fondamentalement, nous nous exposons beaucoup, tout comme Facebook, volontairement. Mais soyons honnêtes, lorsque vous
Kieran Chandler: Joannes, pouvez-vous parler des différences de sécurité entre les petites et les grandes organisations, voire les gouvernements ?
Joannes Vermorel: Oui, bien sûr. Donc, le nombre de hackers auxquels les petites organisations sont confrontées est généralement plus faible, et par conséquent, leur sécurité tend à être plus faible également. Ensuite, un grand pas en arrière, vous avez tout ce qui ressemble à des méga-corporations et des gouvernements. Je dirais que les méga-corporations qui ne sont pas axées sur la technologie, comme les Googles de ce monde, ont tendance à avoir une sécurité très faible. Pourquoi ? Parce qu’ils sont encore très attachés à cette mentalité de forteresse, la sécurité par l’obscurité, ce qui signifie que les choses sont sécurisées non pas parce qu’elles sont transparentes et exposées, mais parce qu’elles essaient essentiellement de les enfermer. Mais devinez quoi ? Si vous êtes une très grande organisation, cela ne fonctionne tout simplement pas. Vous ne pouvez pas avoir des choses enfermées et avoir des dizaines de milliers de jeunes employés dans l’organisation. Ce n’est tout simplement pas compatible. Donc, en fin de compte, la sécurité a tendance à être assez mauvaise. Et à l’extrême du spectre, vous avez l’armée, qui est probablement la pire en termes de sécurité informatique et de pratique. Je sais que les gens penseraient que c’est exactement le contraire et diraient que l’armée devrait être absolument sécurisée, en plus. Mais, au contraire, ils ont des décennies d’expérience dans la gestion de leurs propres réseaux privés, leurs propres systèmes privés, tout. Et par conséquent, ils manquent considérablement de l’exposition qu’ils devraient avoir. Et si vous suivez les actualités, vous verrez que certaines armées du monde entier ont fréquemment des problèmes informatiques relativement arriérés qui sont une conséquence directe du manque d’exposition.
Kieran Chandler: Qu’est-ce qui rend ces réseaux privés plus vulnérables ? Parce que si vous avez un système militaire qui est privé depuis des décennies, ils devraient sûrement être en mesure de régler leur sécurité et que cela soit quelque chose de sûr ?
Joannes Vermorel: Le problème, c’est que si vous dites que mon réseau est sûr parce qu’il est déconnecté d’Internet, devinez quoi ? Encore une fois, si vous êtes l’armée, vous êtes une grande organisation qui s’étend sur de nombreux sites avec des dizaines de milliers de personnes. Si vous êtes réellement une armée active qui se bat à l’étranger, vos systèmes vont se répandre dans plusieurs pays. Et comment pouvez-vous garder ce réseau complètement déconnecté de tout le reste ? Vous ne pouvez pas faire confiance à vos employés ou aux personnes qui sont membres de notre organisation à cette échelle, pas lorsque vous avez des milliers de personnes. La quantité d’acquisition que vous avez est inutile car nous avons découvert de nombreuses fraudes. Bernie Madoff, jusqu’à sa condamnation, n’avait rien dans son passé. Il avait un passé impeccable jusqu’à ce que nous découvrions qu’il était la plus grande fraude de l’histoire. C’est donc ce qui se passe généralement. Nous faisons confiance aux gens jusqu’à ce qu’ils soient découverts. Ils ont un passé impeccable, et cela s’applique aux fonds d’investissement, mais c’est la même chose pour l’armée et autres. Ce sont juste des choses humaines. Donc, en fin de compte, si votre réseau est…complètement déconnecté, comment pouvez-vous être exposé à tous ces pirates qui essaient de trouver et de sonder, par exemple, les vulnérabilités qui existent dans le matériel Intel ? Donc, les processeurs CPU ont deux classes de vulnérabilités qui ont été découvertes il y a environ un an : Spectre et Meltdown. Cela signifie que le matériel lui-même est vulnérable et que vous avez des classes d’applications logicielles qui deviennent vulnérables parce que le matériel sur lequel elles s’exécutent est compromis. Je ne crois pas une seconde qu’une armée de nos jours n’ait pas de matériel Intel dans ses systèmes. Je veux dire, Intel a quelque chose comme plus de cinquante pour cent de part de marché dans les CPU pour les ordinateurs de bureau. Donc, je suis assez sûr que chaque armée du monde a littéralement des centaines, voire des milliers, de postes de travail fonctionnant sur du matériel Intel qui présente des vulnérabilités critiques. Donc, comment gérez-vous cela si vous n’avez pas de personnes qui essaient de corriger le problème ? Eh bien, il y a de fortes chances que vous restiez vulnérable jusqu’à ce que quelqu’un parvienne à se connecter à votre réseau soi-disant privé et protégé, et alors tout sera compromis car tout est un peu faible et n’a pas reçu suffisamment d’attention.
Kieran Chandler: Ça commence à devenir un peu inquiétant maintenant. Je ne pourrai peut-être pas dormir cette nuit. Essayons donc de finir sur une note plus positive. Les Googles et les Facebooks de ce monde investissent énormément dans la recherche et le développement en matière de sécurité des données. Alors, pouvons-nous envisager un jour où le piratage sera une chose du passé et n’existera plus du tout ?
Joannes Vermorel: Je le crois. Il n’y a rien de tel qu’une loi physique qui dit que chaque système informatique est dangereux. Il n’y a pas de loi fondamentale qui dit que la quantité de piratage ne fera qu’augmenter avec le temps. Donc, ce n’est pas l’entropie. Mais en fin de compte, cela prendra du temps. Et en ce qui concerne les chaînes d’approvisionnement, cette évolution peut se produire beaucoup plus rapidement si vous adoptez une culture d’ouverture et d’exposition pour votre chaîne d’approvisionnement et vos systèmes de chaîne d’approvisionnement. Cela signifie que, en rendant vos systèmes plus transparents, plus exposés, mais toujours sécurisés. Je ne dis pas que vous voulez être exposé au sens où n’importe qui peut accéder à n’importe quoi de n’importe où, ce n’est pas ce que je veux dire par exposition. Par exposition, je veux dire que ce n’est pas sécurisé simplement parce qu’il n’y a qu’une seule personne dans le service informatique qui est censée pouvoir y accéder. Ce n’est pas ce type de sécurité. Mais fondamentalement, plus les entreprises ont des chaînes d’approvisionnement avec des systèmes plus en ligne, plus sécurisés avec une philosophie de défense en profondeur, plus elles auront quelque chose de beaucoup plus sécurisé.
Kieran Chandler: Nous devons en rester là. J’espère que personne ne va nous pirater après ça, ou peut-être que vous voulez qu’ils nous piratent. Seulement les chapeaux blancs, s’il vous plaît. C’est tout pour cette semaine. Merci beaucoup de nous avoir suivi et nous vous reverrons la prochaine fois. Au revoir pour le moment.
