00:00:07 Introduction au sujet du risque cyber dans les supply chains durant l’épidémie de coronavirus.
00:00:36 Le parcours de Richard Wilding en tant que professeur de stratégie supply chain et son travail dans le domaine de la gestion des risques supply chain.
00:03:24 Vue d’ensemble des défis de la détection et de la prévention des risques cyber dans le développement logiciel.
00:06:06 La difficulté à déterminer qui est responsable de la prévention des cyberattaques dans les supply chains.
00:07:44 L’importance de l’éducation des utilisateurs pour résoudre les problèmes de sécurité et la nécessité d’une approche spécifique de la sécurité dès la conception.
00:08:00 Discussion sur la sécurité fondée sur le comportement humain.
00:09:04 Position contre-intuitive adoptée par des entreprises telles que Google en matière de sécurité.
00:09:57 La prise de conscience par les personnes de leurs responsabilités en matière de sécurité.
00:13:06 Les personnes apportant leurs propres appareils lorsque la sécurité est trop stricte.
00:15:04 Le RGPD et l’importance de ne conserver que les données nécessaires.
00:16:00 Discussion sur la situation actuelle avec des personnes travaillant de chez elles en raison du coronavirus et sur les risques qui ont été introduits.
00:17:01 Discussion sur la sécurité des appareils personnels et la nécessité pour les entreprises de sensibiliser leurs employés à travailler de chez eux en toute sécurité.
00:18:58 Le conseil de Joannes pour protéger une entreprise contre les décisions erronées de son personnel.
00:19:31 L’importance d’utiliser des “white hats” (hackers éthiques) pour améliorer la sécurité informatique.
23:44 Réflexions finales sur la bataille constante de la cybersécurité et la nécessité pour les bons de garder une longueur d’avance.
Résumé
L’interview entre Kieran Chandler, Joannes Vermorel et Richard Wilding porte sur le risque cyber dans les supply chains. Vermorel et Wilding soulignent la vulnérabilité croissante des supply chains en raison de leur connectivité accrue et insistent sur la nécessité d’une approche plus globale de la sécurité. Ils discutent des trade-offs entre commodité et sécurité, de la nature contre-intuitive de certaines mesures de sécurité, et de l’impact du télétravail sur la cybersécurité. La conversation souligne l’importance d’une approche multifacette de la cybersécurité, incluant la sensibilisation, les white-hat hackers et l’amélioration des solutions logicielles et matérielles. Vermorel et Wilding insistent sur le caractère permanent de la lutte contre les cybermenaces et sur la nécessité pour les individus et les entreprises de rester vigilants et adaptatifs.
Résumé Étendu
Kieran Chandler, l’animateur de l’interview, présente les deux invités, Joannes Vermorel, fondateur de Lokad, une entreprise de logiciels d’optimisation de stocks, et Richard Wilding, Président (Professeur titulaire) de la stratégie supply chain au Centre de Logistique et Supply Chain Management, à la Cranfield School of Management au Royaume-Uni, innovateur en supply chain. Le sujet de la discussion est le risque cyber dans les supply chains.
Richard Wilding présente un aperçu de son parcours, ayant accidentellement basculé dans le monde académique après avoir débuté sa carrière dans l’industrie. Avec son expérience de gestion des disruptions dans les supply chains depuis le début des années 1990, il est devenu professeur de stratégie supply chain. Son objectif est de transformer le savoir en action, en mettant au défi et en inspirant les leaders supply chain à innover et à créer de la valeur économique, sociale ou environnementale. L’objectif de l’Université de Cranfield est de permettre aux leaders supply chain d’innover et de créer de la valeur dans les entreprises où ils interviennent.
Joannes Vermorel aborde le sujet du risque cyber et son impact sur les supply chains. Il le décrit comme contre-intuitif et insaisissable, les méthodologies de test traditionnelles et les pratiques de développement ne réussissant pas à traiter les problèmes de sécurité. Il note également que l’évolution des enterprise software au cours des dernières décennies a accru la surface d’attaque, rendant le logiciel plus exposé aux cyberattaques. La migration vers des environnements cloud computing peut améliorer la sécurité, mais elle offre également plus de points d’entrée pour d’éventuels attaquants.
Richard Wilding discute de la difficulté de sécuriser les supply chains en raison du désir d’ouverture et de connectivité entre fournisseurs et clients. Cette ouverture crée de multiples points d’entrée pour les cyberattaques, qui peuvent avoir des effets dévastateurs sur les entreprises. Parmi les disruptions potentielles, on peut citer les attaques par déni de service sur les sites web, les interruptions des systèmes de gestion de warehouse et les interférences avec les véhicules autonomes. Wilding souligne que la gravité des cyberattaques peut augmenter lorsqu’elles ciblent les supply chains, plutôt que des sites web ou des applications individuelles.
L’interview met en lumière l’importance croissante du risque cyber dans les supply chains et les défis auxquels les entreprises doivent faire face pour traiter les problèmes de sécurité. Les deux invités insistent sur la nécessité d’innover dans ce domaine, ainsi que sur l’importance de repenser les méthodes traditionnelles pour sécuriser les supply chains. Toutefois, la discussion reste inachevée, et il est prévu que la conversation se poursuive à l’avenir.
La conversation souligne la vulnérabilité accrue des supply chains en raison de leur connectivité croissante, en se concentrant sur les cyberattaques.
Richard souligne que les cyberattaques contre les supply chains sont devenues plus fréquentes ces dernières années, et que la sécurité est l’affaire de tous. Il soutient qu’il est essentiel d’informer toutes les parties prenantes des risques potentiels. Joannes, quant à lui, estime que se fier uniquement à l’éducation des utilisateurs est insuffisant. Il plaide plutôt pour la “correctness by design”, c’est-à-dire l’intégration des mesures de sécurité dans les systèmes afin de réduire la possibilité d’erreurs humaines.
Pour illustrer son propos, Joannes cite l’exemple de l’attaque par “USB key on the parking lot”, où une clé USB infectée par un malware est laissée dans un lieu public, exploitant la curiosité humaine pour compromettre les systèmes. Il la met en contraste avec les approches de sécurité d’entreprises comme Google, qui supposent que les gens feront des erreurs et conçoivent leurs systèmes en conséquence.
Richard convient que la “correctness by design” est cruciale, mais il insiste également sur le fait que l’erreur humaine demeure un facteur significatif dans de nombreuses failles de cybersécurité. Il cite des exemples tels que la violation de données de Target, qui a résulté d’une attaque sur un fournisseur via des emails de phishing. Cette violation a coûté des millions à l’entreprise et illustre l’importance à la fois de la sensibilisation et de la conception des systèmes pour sécuriser les supply chains.
Joannes et Richard conviennent tous deux qu’une combinaison d’éducation des utilisateurs, de sensibilisation et de conception des systèmes est nécessaire pour améliorer la sécurité des supply chains. Trouver l’équilibre entre l’ouverture pour l’innovation et la sécurisation des systèmes est un défi que les entreprises doivent relever pour garantir la sécurité de leurs informations et de leurs actifs.
La conversation aborde l’équilibre entre accessibilité et sécurité, la nature contre-intuitive de certaines mesures de sécurité, ainsi que l’impact du télétravail dû à la pandémie de coronavirus.
La discussion souligne que les mesures de sécurité peuvent parfois se retourner contre elles, entraînant des conséquences inattendues. Par exemple, lorsque les entreprises mettent en place des mesures de sécurité strictes sur les ordinateurs portables, les employés peuvent apporter leurs propres appareils, créant ainsi involontairement des risques de sécurité. De même, des rotations fréquentes de mots de passe peuvent inciter les employés à les écrire, les rendant plus vulnérables. Vermorel note qu’il est essentiel de prendre en compte les réactions humaines face aux mesures de sécurité pour éviter des résultats contre-productifs.
Wilding ajoute que les entreprises ne devraient conserver que les données nécessaires et suivre des réglementations comme le RGPD afin d’éviter de s’exposer à des risques inutiles. Il souligne l’importance de sensibiliser les employés à la sécurité des mots de passe et suggère que si le télétravail pourrait améliorer la sécurité sous certains aspects, il introduit néanmoins de nouveaux risques, tels que les routeurs et appareils personnels.
Vermorel exprime des doutes quant à l’efficacité de l’éducation comme solution principale pour prévenir les failles de sécurité, en citant des menaces émergentes telles que des câbles USB contrefaits transmettant des malwares. La conversation souligne la nécessité d’une approche plus globale de la sécurité des supply chains, en tenant compte du comportement humain et en équilibrant accessibilité et protection.
La conversation met en lumière les défis auxquels sont confrontées les entreprises et les particuliers pour faire face à des cybermenaces de plus en plus sophistiquées.
Vermorel partage l’exemple d’un câble apparemment innocent pouvant contenir un microordinateur ayant le potentiel de compromettre des systèmes. Il se montre sceptique quant à l’efficacité de la formation des personnes pour prévenir les cyberattaques, car les menaces sont diverses et en constante évolution. Il suggère plutôt que l’emploi de white-hat hackers pour identifier les vulnérabilités dans les systèmes d’une entreprise peut constituer une approche plus efficace pour améliorer la sécurité informatique.
Wilding est d’accord sur l’importance d’employer des white-hat hackers, mentionnant sa propre expérience dans l’embauche de hackers pour tester les mesures de sécurité au sein des conseils d’administration des entreprises. Il souligne également la nécessité d’évaluations régulières en raison de la nature en constante évolution des cybermenaces. Wilding reconnaît l’existence de logiciels plus sophistiqués capables de détecter et d’alerter les utilisateurs en cas d’activité suspecte, mais note que les vulnérabilités matérielles, telles que les clés USB compromises, représentent toujours des risques importants.
Les invités discutent des compromis entre commodité et sécurité, Wilding soulignant l’importance d’établir des directives et des pare-feu pour limiter le potentiel d’attaques à grande échelle. Il partage également son optimisme quant à l’avenir de la cybersécurité, en reconnaissant qu’il s’agit d’une “bataille constante” avec des améliorations continues. Wilding cite la protection antivirale intégrée aux ordinateurs portables Windows modernes comme exemple de ces améliorations, tout en soulignant la nécessité d’une vigilance et d’une sensibilisation constantes.
Vermorel et Wilding insistent sur l’importance d’une approche multifacette de la cybersécurité, incluant la sensibilisation, les white-hat hackers et l’amélioration des solutions logicielles et matérielles. Ils reconnaissent le caractère permanent de la lutte contre les cybermenaces et soulignent la nécessité pour les individus et les entreprises de rester vigilants et adaptatifs.
Transcription complète
Kieran Chandler: Aujourd’hui sur LokadTV, nous sommes ravis d’être rejoints par le Professeur Richard Wilding, qui va discuter avec nous du risque cyber dans les supply chains. Alors, Richard, merci beaucoup de nous rejoindre en direct depuis le Royaume-Uni aujourd’hui. Pour commencer, pourriez-vous nous parler un peu de vous et nous en dire plus sur le travail que vous effectuez à Cranfield ?
Richard Wilding: D’accord, mon parcours a en réalité commencé dans l’industrie, et je suis accidentellement tombé dans le milieu académique il y a quelques années. Je n’ai jamais réussi à m’en échapper. Mais, en gros, j’ai eu une carrière axée sur l’étude des disruptions dans les supply chains, remontant au début des années 90. Bien sûr, les types d’événements que nous vivions alors étaient très différents. Dans les années 2000, nous avons connu des événements tels que le 11 septembre, des panaches de cendres, des crises de carburant et la fièvre aphteuse, qui ont tous impacté le risque et la résilience des supply chains. Je suis en fait devenu probablement l’un des premiers professeurs en gestion des risques supply chain au monde, mais ce titre a depuis évolué, et je suis actuellement Professeur de Stratégie Supply Chain à Cranfield. Mon objectif est de transformer le savoir en action, donc ce que j’aime faire, c’est prendre ce savoir et le convertir en action dans l’industrie. J’ai été président immédiat de l’Institut agréé de Logistique et de Transport au Royaume-Uni, qui couvre tout, du mouvement des marchandises et des personnes à toutes leurs supply chains associées. Mon objectif est de défier et d’inspirer les leaders supply chain à innover. J’espère que nos auditeurs d’aujourd’hui pourront repartir avec quelques idées et réfléchir à la manière dont ils peuvent innover pour créer de la valeur économique, sociale ou environnementale. C’est vraiment cela, l’essence de Cranfield, transmettre le savoir aux leaders supply chain, leur permettant d’innover et de créer de la valeur dans les supply chains et les entreprises dans lesquelles ils travaillent.
Kieran Chandler: C’est une introduction brillante. Je pense définitivement que l’idée d’innover est quelque chose sur lequel nous serions tous d’accord ici sur LokadTV. Joannes, notre sujet aujourd’hui porte sur le risque cyber et son impact sur nos supply chains. Quel est votre point de vue initial ?
Joannes Vermorel: Le risque cyber est l’une de ces choses qui est extrêmement contre-intuitive dans la pratique. Il est très difficile, par exemple, de détecter les problèmes de sécurité dans un logiciel. La plupart des méthodologies de test usuelles ne fonctionnent pas, et la plupart des pratiques de développement typiques échouent à traiter ces préoccupations. C’est un sujet insaisissable. Ce qui a suscité un intérêt croissant chez moi ces dix dernières années, c’est que la durée de vie des enterprise software en général
Kieran Chandler: Au cours des dernières décennies, nous avons tendance à observer une augmentation de ce que l’on appelle techniquement la surface d’attaque du logiciel. Vous avez des logiciels plus exposés aux attaques, surtout lorsque vous migrez vers un environnement cloud computing. Les environnements cloud computing sont plus sécurisés, mais ils offrent beaucoup plus de points d’entrée pour vos logiciels. De plus, chaque fois que vous avez une application web, vous rencontrez des catégories entières de risques qui sont très difficiles à atténuer ou à prévenir dès la conception en ce qui concerne d’éventuels problèmes de sécurité.
Joannes Vermorel: Kieran, tu as mentionné des méthodologies de test qui ne fonctionnent pas très bien. Richard, si nous regardons les choses du point de vue d’une supply chain, qu’est-ce qui rend une supply chain si difficile à sécuriser ?
Richard Wilding: D’un point de vue supply chain, nous voulons que les choses restent relativement ouvertes. Nous souhaitons nous connecter avec nos fournisseurs et nos clients, mais cela crée en réalité de multiples points d’entrée. Souvent, des attaques se produisent sur la supply chain. Si je veux fermer une entreprise, une attaque par déni de service sur un site web est dévastatrice, mais si l’on commence à penser à la dévastation pouvant être causée par la perturbation d’un système de gestion d’entrepôt ou de véhicules autonomes, cela pourrait être bien plus dévastateur pour une entreprise en termes de capacité à continuer et à se relever ensuite. Nous constatons que certaines attaques réelles se produisent, par exemple, via un portail fournisseur. Les gens accèdent à des données ou sont capables de fournir des informations à un grand client, mais cela crée un point d’entrée. Si quelqu’un peut faire quelque chose d’aussi simple qu’une attaque de phishing, cela peut engendrer des problèmes.
Il y a de multiples vulnérabilités, et c’est quelque chose dont je parle depuis probablement 18 mois maintenant car nous avons constaté une forte augmentation des cyberattaques sur les supply chains. Une chose vraiment intéressante est de savoir de qui dépend la responsabilité d’empêcher que cela se produise. Le problème, c’est que si vous allez voir l’équipe supply chain, ils diront que c’est le rôle de l’équipe informatique. Si vous allez voir les équipes informatiques, elles diront que c’est la responsabilité de la supply chain. C’est l’affaire de tout le monde, nous devons donc nous assurer qu’il y ait une prise de conscience générale pour stopper ce genre de choses. Informer l’entreprise et la sensibiliser à ces défis est essentiel.
Kieran Chandler: Richard a mentionné que les supply chains deviennent définitivement plus connectées. Si vous observez n’importe quelle multinationale, elles déploient leurs systèmes un peu partout dans le monde de nos jours. Diriez-vous que cette connectivité accrue représente une véritable faiblesse ?
Joannes Vermorel: Oui, c’est exactement ce que je voulais dire lorsque j’ai parlé d’une surface d’attaque accrue. Plus les choses sont exposées à des tiers, plus elles sont vulnérables. Sur Internet, vous ne vous connectez pas à une personne, donc si vous avez un portail web, vous disposez d’un morceau de logiciel qui interagit sur le port 80 via HTTP. Il peut se trouver de l’autre côté ; c’est toujours une machine. La machine peut être opérée par un humain, et elle peut être opérée par un humain qui se trouve être l’employé que vous pensez qu’il est.
Kieran Chandler: Donc, en effet, merci, mais où pensez-vous qu’une digression pourrait survenir et à quel moment une divergence se manifesterait-elle en termes de sécurité, peut-être en ce qui concerne l’interprétation ?
Joannes Vermorel: Je pense qu’en général, l’éducation des utilisateurs ne suffit pas à résoudre ces problèmes de sécurité. C’est pourquoi cela doit être abordé comme un écueil de sécurité, et c’est là que vous devez vraiment adopter une approche spécifique de correctness by design. Vous ne pouvez pas vous attendre à ce que les gens ne cliquent pas sur des pièces jointes ou autre. Si vous comptez sur le fait que les gens respecteront la règle dans une situation où ils ne sont qu’à un clic du désastre, ils le feront. Par exemple, l’une des attaques simples est appelée l’attaque de la clé USB dans le parking. Vous laissez simplement tomber une clé USB contenant un malware dans le parking, et vous y inscrivez “Bitcoin stash”. Vous pouvez être sûr qu’il y aura quelqu’un qui essaiera cette clé en la connectant à l’ordinateur. Si vous comptez uniquement sur le fait que les gens soient éduqués, souvenez-vous qu’ils restent humains. Même s’ils sont plutôt intelligents, ils peuvent manquer de sommeil, et parfois faire preuve d’un jugement défaillant. Cela arrive tout simplement. Donc, si vous misez sur le fait que les gens sont intelligents, vigilants et éduqués, cela ne fonctionne pas vraiment. Et c’est assez amusant car, quand vous voyez comment la sécurité est gérée dans des entreprises comme Google, ils adoptent une position opposée. Une position qui est davantage appliquée dans d’autres domaines comme l’industrie nucléaire, où l’on part du principe, au contraire, que les gens vont être maladroits. Quand vous pensez qu’ils vont faire quelque chose de vraiment stupide, vous vous demandez : pourraient-ils faire quelque chose d’encore pire ? Mais il existe une multitude d’autres idées similaires, qui sont pratiquement intégrées dès la conception.
Kieran Chandler: D’accord, Joannes a mentionné cette idée de correctness by design, Richard. Quelles méthodes pouvons-nous introduire pour nous assurer que nos systèmes sont véritablement sécurisés ?
Richard Wilding: Je pense que c’est une chose intéressante, et nous devons adopter le correctness by design. Il n’y a aucun doute là-dessus. Mais si l’on considère la fameuse règle 80-20 qui cause beaucoup de ces problèmes, malheureusement, ce sont les gens. Il est intéressant de noter que Google Australia a été piraté par des hacktivistes simplement pour montrer qu’ils pouvaient le faire. Et la manière dont ils y ont accédé s’est faite via le système de contrôle du bâtiment du superbe nouveau bâtiment de Google en Australie. Il a été piraté. Si vous considérez certaines des perturbations majeures dans des entreprises, comme Target aux États-Unis, qui est toujours secouée par toutes sortes de recours collectifs et autres, c’était assez marquant. Quarante millions d’identifiants de cartes bancaires et soixante-dix millions de dossiers clients ont simplement été récoltés, et cela s’est produit via le système de contrôle de l’air de chauffage et de ventilation. Un fournisseur a été ciblé par des e-mails de phishing. Ils ont ensuite pu accéder à cette partie de l’entreprise, récolter des données, découvrir le réseau des points de vente, et rester là à recueillir les informations.
Kieran Chandler: C’est vraiment important car le carburant, jusqu’à présent, leur a coûté, croyez-le ou non, 162 millions. C’est une perturbation particulière qui s’est produite. Mais je pense que l’essentiel ici est de pouvoir réellement sensibiliser les gens à ces problématiques, à leurs responsabilités. Sans oublier l’aspect conception des systèmes. Le problème, c’est qu’il faut un certain niveau d’ouverture.
Richard Wilding: Exactement, donc si je pense à mon ordinateur portable, l’université peut le verrouiller de sorte que je ne puisse rien en faire, et ce n’est pas très amusant. Il y a quelques années, c’était du genre : “C’est d’entreprise. Personne ne peut accéder à LinkedIn, à YouTube, ni à tel ou tel site.” Mais le problème est que, en revenant à l’innovation, l’innovation consiste à prendre des idées qui vous sont nouvelles et à créer de la valeur. Si tout à coup vous verrouillez vos systèmes parce que cela pourrait permettre à des personnes d’accéder à des choses auxquelles elles ne devraient pas, ou parce que cela affaiblit notre infrastructure, cela peut en réalité avoir un autre effet. Ainsi, avec le grand “blackout sur les réseaux sociaux dans notre entreprise”, ce qui se traduit en fait par un blackout de l’innovation, pourrait-on dire. Car aujourd’hui, beaucoup d’innovations et de bonnes idées sont partagées efficacement via ces canaux. Il faut donc être très prudent à ce sujet, et je pense qu’il s’agit de trouver un équilibre entre accessibilité et sécurité, tout en s’assurant, par design, de détecter rapidement les problèmes si quelque chose tourne mal.
Kieran Chandler: D’accord, voulais-tu intervenir, Joannes ?
Joannes Vermorel: Oui, je veux dire, juste pour donner un exemple, quand je disais que c’était contre-intuitif, je pense que l’idée même de verrouiller est un parfait exemple de cela. Si vous imposez une sécurité extrêmement stricte sur les ordinateurs portables, où l’entreprise ne peut installer que le logiciel approuvé et où vous ne pouvez visiter que les sites web approuvés, que se passe-t-il en pratique ? Les gens apportent leurs propres appareils, ils achètent leurs propres ordinateurs portables. Ainsi, alors qu’en théorie vous pensiez instaurer la sécurité, ce n’est pas le cas, simplement parce que les gens vont réagir et faire autre chose en parallèle. Il en va de même pour les mots de passe, par exemple. Des études, même publiées par la NSA aux États-Unis, ont montré que la rotation fréquente des mots de passe est nuisible. Si vous changez fréquemment les mots de passe, les gens finissent par coller des post-it sur leur bureau indiquant le mot de passe de la semaine. Au final, vous vous retrouvez avec des bureaux entiers où le mot de passe de chacun est affiché sur le bureau de tous sur un post-it.
Voilà pourquoi je dis que c’est très contre-intuitif, et ce n’est pas seulement une question d’équilibre. En effet, souvent, vous pouvez pousser les gens à faire des choses encore moins sécurisées. Et encore, je pense que l’industrie nucléaire offre de très bons exemples de cela. Lorsqu’on surcharge les individus avec trop d’équipements de protection, à un moment donné durant l’été, il fait tout simplement trop chaud, alors ils se débarrassent de tout parce qu’ils ne supportent pas la chaleur de tout ce qu’ils doivent porter, et finissent par se retrouver sans aucun équipement de protection, ce qui est très stupide. Voilà pourquoi la sécurité est si compliquée. C’est parce qu’il faut anticiper la réaction humaine, et c’est comme une boucle de rétroaction complètement récursive.
Kieran Chandler: En y réfléchissant, il y a certaines données que vous ne devriez pas conserver pendant une quelconque durée, peut-être une semaine, puis les éliminer.
Richard Wilding: Je pense que l’aspect intéressant avec Target, bien sûr, c’est qu’ils ne stockaient pas les données. Elles transitaient simplement par leurs systèmes. Si vous effectuez une transaction par carte de crédit, celle-ci doit transiter via Internet jusqu’à la banque. Si vous pouvez rester à intercepter ce flux, ce qui est effectivement ce qui se passait, alors vous pouvez faire ce genre de choses. Mais je pense qu’il est vraiment important, en considérant le RGPD et la protection des données, de ne conserver que ce qui est réellement nécessaire. À quoi bon posséder toute cette réserve de données ? Certaines entreprises, avec le artificial intelligence, estiment qu’elles doivent conserver toutes ces données parce qu’elles pourraient être utiles dans le futur. Eh bien, c’est un peu comme si je gardais chaque email que j’ai jamais envoyé dans ma vie. Ferai-je un jour quelque chose d’utile avec ?
J’adore cette petite citation quand je parle aux gens des mots de passe : “Les mots de passe sont comme des sous-vêtements. Vous ne voulez pas que les gens les voient, changez-les souvent, et vous ne devez pas les partager avec des inconnus.” Mais en même temps, il faut s’assurer de pouvoir s’en souvenir, c’est pourquoi d’autres approches sont nécessaires.
Kieran Chandler: Richard, parlons un peu de la situation actuelle avec de plus en plus de personnes travaillant de chez elles à cause du coronavirus. Cela a vraisemblablement introduit beaucoup plus de risques. Que peut faire une entreprise, peut-être quelqu’un qui regarde ceci, pour se protéger ?
Richard Wilding: Eh bien, je recommanderais que, lorsqu’on travaille de chez soi, cela puisse être plus sécurisé dans une certaine mesure parce que, s’il y a des mots de passe éparpillés sur mon bureau — ce qui n’est pas le cas — il y a moins de personnes en mouvement. Il y a donc certains éléments qui pourraient faire en sorte que le télétravail soit légèrement plus sécurisé. Mais en même temps, nous utilisons désormais les appareils personnels de chacun, ce qui, comme je l’ai déjà mentionné, doit également être pris en compte. Il est aussi important de reconnaître que nous utilisons nos propres routeurs personnels, connexions Internet, réseaux Wi-Fi et tout le reste. Alors, dans quelle mesure cela est-il sécurisé ? Je pense que les entreprises doivent commencer à former leurs employés sur le télétravail et utiliser des ressources comme Cyber Essentials pour les guider dans ce qu’ils font.
Kieran Chandler: Joannes, quel est ton conseil pour quelqu’un qui regarde ceci ? D’après ton expérience, comment protèges-tu une entreprise contre le personnel, comme moi par exemple, qui pourrait prendre de mauvaises décisions ?
Joannes Vermorel: Je ne crois vraiment pas à la voie de l’éducation, ou peut-être pas de manière générale. Juste pour donner une idée des menaces émergentes que nous constatons de nos jours, il y a des tonnes de contrefaçons sur Amazon, et même pour certaines choses…
Kieran Chandler: Alors, Richard, commençons par toi. On entend beaucoup parler de la transition vers le télétravail, surtout dans le contexte de la pandémie. Quelles sont les préoccupations majeures que tu as concernant la sécurité informatique dans l’environnement de télétravail ?
Richard Wilding: Eh bien, je pense qu’il existe une gamme entière de préoccupations en matière de sécurité informatique lorsqu’il s’agit de télétravail. Une chose à laquelle les gens ne pensent peut-être pas, c’est à quel point certaines de ces préoccupations peuvent être basiques. Par exemple, quelque chose d’aussi simple que des câbles USB, que nous utilisons tous les jours, peut en réalité transmettre des malwares à votre ordinateur. Avec les progrès de l’informatique, il est désormais possible d’avoir un micro-ordinateur intégré dans un câble. Et ce n’est qu’un exemple des choses qui peuvent se produire avec des adaptateurs et d’autres dispositifs similaires. En résumé, il est possible d’avoir quelque chose d’aussi puissant qu’un ordinateur d’il y a 20 ans dans un câble qui ressemble à un câble normal. Et il peut même porter une marque en laquelle vous avez confiance, mais ce que vous achetez pourrait en réalité être une contrefaçon. Et Amazon a rencontré quelques problèmes à ce sujet.
Joannes Vermorel: Si je peux ajouter, Kieran, je suis très sceptique quant au fait que la seule formation fasse une différence en matière de sécurité informatique. Les problèmes sont tellement répandus et divers qu’on ne peut pas compter sur le fait que les gens se comportent toujours de la même manière. Mais je pense que le télétravail présente un avantage positif auquel on ne pense pas forcément, à savoir qu’il le rend plus acceptable. Et d’après mon expérience, la manière la plus positive d’améliorer la sécurité informatique est d’utiliser des white hats — c’est-à-dire des hackers qui offrent leurs services à distance pour trouver des failles dans la sécurité de votre entreprise. C’est étrange, mais la sécurité est un domaine si particulier que, même lorsque vous vous attendez à ce que les gens se comportent d’une certaine manière, il est tout à fait possible qu’ils ne le fassent pas. Par exemple, quelqu’un pourrait prétendre être du support technique et vous appeler pour accéder à votre ordinateur.
Richard Wilding: Oui, Joannes, je suis entièrement d’accord avec toi. En fait, dans mon rôle au sein des conseils d’administration, nous avons employé de telles personnes — généralement d’anciens hackers qui ont purgé leur peine en prison et qui travaillent désormais avec des organisations pour trouver des vulnérabilités dans leur sécurité. Il est important de le faire régulièrement car les méthodes d’attaque évoluent constamment. Il est aussi essentiel que les gens sachent quoi faire lorsqu’une attaque se produit. Il existe désormais des logiciels plus sophistiqués capables de détecter des changements dans les fichiers ou des parties de code réécrites, mais nous devons également penser à l’approche matérielle. Par exemple, les clés USB ne sont pas autorisées dans certains environnements, comme sur le campus militaire de Cranfield où je travaille.
Kieran Chandler: C’est vraiment intéressant. Alors, Richard, peux-tu nous en dire un peu plus sur les approches logicielles actuellement utilisées pour détecter les cyberattaques ?
Richard Wilding: Oui, il existe désormais des approches logicielles plus sophistiquées qui peuvent détecter quand les fichiers sont modifiés ou quand des morceaux de code sont réécrits. Ils peuvent créer des alertes sur ces modifications et aider à prévenir les attaques avant qu’elles ne se produisent. Mais, comme je l’ai déjà dit, nous devons également penser à l’approche matérielle. Nous devons avoir des directives en place pour des choses basiques comme les clés USB et les câbles, et nous devons régulièrement employer des white hats pour trouver des vulnérabilités dans notre sécurité.
Kieran Chandler: Alors, Joannes, Richard, nous avons beaucoup parlé des vulnérabilités et des risques associés à la cybersécurité, mais quelles sont certaines des manières de nous protéger ?
Joannes Vermorel: Eh bien, je pense que la première chose à comprendre, c’est que la cybersécurité n’est pas une absolue. C’est un compromis entre sécurité et commodité. Par exemple, si vous avez un système très sécurisé, il pourrait être très peu pratique à utiliser, et s’il est très pratique, il pourrait ne pas être très sécurisé. Nous devons donc trouver un équilibre entre ces deux aspects.
Richard Wilding: Oui, et je pense qu’un autre point important est que nous devons avoir une sorte de pare-feu pour limiter ce qui se passe au sein de nos systèmes. Nous ne voulons pas d’une méga-attaque, donc nous devons être capables de détecter et d’arrêter le déploiement de logiciels malveillants.
Kieran Chandler: C’est un bon point. Concentrons-nous donc sur les aspects positifs pendant un moment. La cybersécurité a beaucoup progressé ces dernières décennies. Pensez-vous qu’elle continuera à s’améliorer et que nous serons un jour plus en sécurité que jamais ?
Richard Wilding: Je pense que c’est une lutte permanente, pour être honnête. La cybersécurité est un jeu continuel qui évolue sans cesse. Cependant, je pense que les choses s’améliorent. Par exemple, si vous achetez un ordinateur portable Windows aujourd’hui, il est livré avec Windows 10, qui dispose d’une protection antivirus plutôt correcte qui fait un peu le travail gratuitement. Nous commençons donc à voir que la cybersécurité fait partie intégrante de l’offre.
Joannes Vermorel: Oui, mais nous devons également sensibiliser tout le monde. Les gens doivent savoir qu’une simple clé USB ou un câble peut semer le chaos. C’est dans la nature de ce qui se passe. Mais, si les gens en ont conscience, ils réfléchiront à deux fois avant de faire certaines de ces choses.
Kieran Chandler: Donc, c’est une combinaison entre la sensibilisation et la mise en place de systèmes capables de détecter et d’arrêter le déploiement de logiciels malveillants. Bon, nous allons devoir conclure ici, mais merci à tous les deux pour votre temps. C’est tout pour cette semaine. Merci beaucoup de nous avoir suivis, et nous vous retrouverons dans le prochain épisode. Merci d’avoir regardé.
