00:00:07 Introduction au sujet du risque cybernétique dans les chaînes d’approvisionnement pendant l’épidémie de coronavirus.
00:00:36 Le parcours de Richard Wilding en tant que professeur de stratégie de chaîne d’approvisionnement et son travail dans le domaine de la gestion des risques de chaîne d’approvisionnement.
00:03:24 Aperçu des défis liés à la détection et à la prévention des risques cybernétiques dans le développement de logiciels.
00:06:06 La difficulté de déterminer qui est responsable de la prévention des cyberattaques dans les chaînes d’approvisionnement.
00:07:44 L’importance de la sensibilisation des utilisateurs pour résoudre les problèmes de sécurité et la nécessité d’une approche spécifique de la sécurité dans la conception.
00:08:00 Discussion sur la sécurité reposant sur le comportement humain.
00:09:04 Position contre-intuitive adoptée par des entreprises telles que Google en matière de sécurité.
00:09:57 Les personnes prenant conscience de leurs responsabilités en matière de sécurité.
00:13:06 Les personnes apportant leurs propres appareils lorsque la sécurité est trop stricte.
00:15:04 Le RGPD et l’importance de ne conserver que les données nécessaires.
00:16:00 Discussion sur la situation actuelle des personnes travaillant à domicile en raison du coronavirus et les risques qui ont été introduits.
00:17:01 Discussion sur la sécurité des appareils personnels et la nécessité pour les entreprises de sensibiliser leurs employés à travailler à domicile de manière sécurisée.
00:18:58 Les conseils de Joannes pour protéger une entreprise contre les mauvaises décisions des employés.
00:19:31 L’importance de faire appel à des “chapeaux blancs” (hackers légitimes) pour améliorer la sécurité informatique.
23:44 Réflexions finales sur la bataille en cours de la cybersécurité et la nécessité pour les bons de rester en avance.
Résumé
L’entretien entre Kieran Chandler, Joannes Vermorel et Richard Wilding porte sur le sujet du risque cybernétique dans les chaînes d’approvisionnement. Vermorel et Wilding soulignent la vulnérabilité croissante des chaînes d’approvisionnement en raison de leur connectivité accrue et insistent sur la nécessité d’une approche plus globale de la sécurité. Ils discutent des compromis entre commodité et sécurité, de la nature contre-intuitive de certaines mesures de sécurité et de l’impact du travail à distance sur la cybersécurité. La conversation met l’accent sur l’importance d’une approche multifacette de la cybersécurité, comprenant la sensibilisation, les hackers “chapeaux blancs” et l’amélioration des solutions logicielles et matérielles. Vermorel et Wilding soulignent tous deux le caractère continu de la lutte contre les menaces cybernétiques et la nécessité pour les individus et les entreprises de rester vigilants et adaptables.
Résumé étendu
Kieran Chandler, l’animateur de l’entretien, présente les deux invités, Joannes Vermorel, fondateur de Lokad, une entreprise de logiciels d’optimisation de la chaîne d’approvisionnement, et Richard Wilding, président (professeur titulaire) de la stratégie de la chaîne d’approvisionnement au Centre de logistique et de gestion de la chaîne d’approvisionnement, Cranfield School of Management UK, innovateur de la chaîne d’approvisionnement. Le sujet de la discussion est le risque cybernétique dans les chaînes d’approvisionnement.
Richard Wilding donne un aperçu de son parcours, ayant accidentellement basculé dans le milieu universitaire après avoir commencé sa carrière dans l’industrie. Avec une expérience dans la gestion des perturbations dans les chaînes d’approvisionnement depuis le début des années 1990, il est devenu professeur de stratégie de la chaîne d’approvisionnement. Son objectif est de transformer les connaissances en actions, en défiant et en inspirant les leaders de la chaîne d’approvisionnement à innover et à créer une valeur économique, sociale ou environnementale. L’Université de Cranfield se concentre sur la capacité des leaders de la chaîne d’approvisionnement à innover et à créer de la valeur dans leurs entreprises.
Joannes Vermorel aborde le sujet du risque cybernétique et de son impact sur les chaînes d’approvisionnement. Il le décrit comme contre-intuitif et insaisissable, les méthodologies de test traditionnelles et les pratiques de développement ne parvenant pas à résoudre les problèmes de sécurité. Il note également que l’évolution des logiciels d’entreprise au cours des dernières décennies a augmenté la surface d’attaque, rendant les logiciels plus exposés aux cyberattaques. Le passage à des environnements cloud peut renforcer la sécurité, mais ils offrent également plus de points d’entrée aux attaquants potentiels.
Richard Wilding aborde la difficulté de sécuriser les chaînes d’approvisionnement en raison du désir d’ouverture et de connectivité entre les fournisseurs et les clients. Cette ouverture crée de multiples points d’entrée pour les cyberattaques, qui peuvent avoir des effets dévastateurs sur les entreprises. Les exemples de perturbations potentielles comprennent les attaques par déni de service sur les sites web, les interruptions des systèmes de gestion d’entrepôt et les interférences avec les véhicules autonomes. Wilding souligne que la gravité des cyberattaques peut augmenter lorsqu’elles ciblent les chaînes d’approvisionnement, par opposition aux sites web ou aux applications individuelles.
L’entretien met en évidence l’importance croissante du risque cybernétique dans les chaînes d’approvisionnement et les défis auxquels les entreprises sont confrontées pour résoudre les problèmes de sécurité. Les deux invités soulignent la nécessité d’innovation dans ce domaine, ainsi que l’importance de repenser les méthodes traditionnelles de sécurisation des chaînes d’approvisionnement. Cependant, la discussion reste incomplète et la conversation devrait se poursuivre à l’avenir.
La conversation met en évidence la vulnérabilité accrue des chaînes d’approvisionnement en raison de leur connectivité croissante, en mettant l’accent sur les cyberattaques.
Richard souligne que les cyberattaques contre les chaînes d’approvisionnement sont devenues plus fréquentes ces dernières années et que la sécurité est la responsabilité de tous. Il soutient que l’éducation de toutes les parties concernées sur les risques potentiels est essentielle. Joannes, cependant, estime que se fier uniquement à l’éducation des utilisateurs est insuffisant. Au lieu de cela, il préconise la “correction par conception”, où les mesures de sécurité sont intégrées aux systèmes pour réduire la possibilité d’erreurs humaines.
Pour illustrer son propos, Joannes partage l’exemple de l’“attaque de la clé USB sur le parking”, où une clé USB infectée par un logiciel malveillant est laissée dans un lieu public, exploitant la curiosité humaine pour compromettre les systèmes. Il oppose cela aux approches de sécurité des entreprises comme Google, qui supposent que les gens commettront des erreurs et conçoivent leurs systèmes en conséquence.
Richard convient que la correction par conception est cruciale, mais il insiste également sur le fait que l’erreur humaine reste un facteur important dans de nombreuses violations de la cybersécurité. Il cite des exemples tels que la violation des données de Target, qui a résulté d’une attaque contre un fournisseur par le biais de courriels d’hameçonnage. Cette violation a coûté des millions à l’entreprise et illustre l’importance de la sensibilisation et de la conception du système pour sécuriser les chaînes d’approvisionnement.
Joannes et Richard conviennent tous deux qu’une combinaison d’éducation des utilisateurs, de sensibilisation et de conception du système est nécessaire pour améliorer la sécurité des chaînes d’approvisionnement. Trouver un équilibre entre l’ouverture à l’innovation et le verrouillage du système est un défi que les entreprises doivent relever pour garantir la sécurité de leurs informations et de leurs actifs.
La conversation aborde l’équilibre entre accessibilité et sécurité, la nature contre-intuitive de certaines mesures de sécurité et l’impact du travail à distance en raison de la pandémie de coronavirus.
La discussion met en évidence le fait que les mesures de sécurité peuvent parfois se retourner contre elles, entraînant des conséquences imprévues. Par exemple, lorsque les entreprises mettent en place des mesures de sécurité strictes sur les ordinateurs portables, les employés peuvent apporter leurs propres appareils, créant ainsi involontairement des risques de sécurité. De même, la rotation fréquente des mots de passe peut amener les employés à noter leurs mots de passe, les rendant ainsi plus vulnérables. Vermorel souligne qu’il est essentiel de prendre en compte les réactions humaines aux mesures de sécurité afin d’éviter des résultats contre-productifs.
Wilding ajoute que les entreprises ne devraient conserver que les données nécessaires et respecter des réglementations telles que le RGPD pour éviter de s’exposer à des risques inutiles. Il souligne l’importance de sensibiliser les employés à la sécurité des mots de passe et suggère que si le travail à distance peut renforcer la sécurité dans certains aspects, il introduit également de nouveaux risques, tels que les routeurs et appareils personnels.
Vermorel exprime son scepticisme quant à l’éducation en tant que solution principale pour prévenir les violations de sécurité, citant des menaces émergentes telles que les câbles USB contrefaits qui transmettent des logiciels malveillants. La conversation souligne la nécessité d’une approche plus globale de la sécurité des chaînes d’approvisionnement, en tenant compte du comportement humain et en équilibrant l’accessibilité et la protection.
La conversation met en évidence les défis auxquels les entreprises et les particuliers sont confrontés pour faire face à des menaces cybernétiques de plus en plus sophistiquées.
Vermorel donne l’exemple d’un câble en apparence innocent qui peut contenir un micro-ordinateur capable de compromettre les systèmes. Il se montre sceptique quant à l’efficacité de la formation des personnes pour prévenir les cyberattaques, car les menaces sont diverses et en constante évolution. À la place, il suggère que l’emploi de hackers éthiques pour identifier les vulnérabilités des systèmes d’une entreprise peut être une approche plus efficace pour améliorer la sécurité informatique.
Wilding est d’accord sur l’importance de faire appel à des hackers éthiques, mentionnant sa propre expérience d’embauche de hackers pour tester les mesures de sécurité sur les conseils d’administration des entreprises. Il souligne également la nécessité d’évaluations régulières en raison de la nature en constante évolution des menaces cybernétiques. Wilding reconnaît l’existence de logiciels plus sophistiqués capables de détecter et d’alerter les utilisateurs sur des activités suspectes, mais note que les vulnérabilités matérielles, comme les clés USB compromises, posent toujours des risques importants.
Les interviewés discutent des compromis entre la commodité et la sécurité, Wilding soulignant l’importance d’établir des lignes directrices et des pare-feu pour limiter les risques d’attaques à grande échelle. Il partage également son optimisme quant à l’avenir de la cybersécurité, reconnaissant qu’il s’agit d’une “bataille en cours” avec des améliorations constantes. Wilding cite la protection antivirus intégrée dans les ordinateurs portables Windows modernes comme exemple de telles améliorations, mais souligne également la nécessité d’une sensibilisation et d’une vigilance continues.
Vermorel et Wilding insistent tous deux sur l’importance d’une approche multifacette de la cybersécurité, comprenant la sensibilisation, les hackers éthiques et l’amélioration des solutions logicielles et matérielles. Ils reconnaissent la nature continue de la lutte contre les menaces cybernétiques et soulignent la nécessité pour les individus et les entreprises de rester vigilants et adaptables.
Transcription complète
Kieran Chandler: Aujourd’hui sur LokadTV, nous sommes ravis d’accueillir le professeur Richard Wilding, qui va discuter avec nous du sujet du risque cybernétique dans les chaînes d’approvisionnement. Donc, Richard, merci beaucoup de nous rejoindre en direct depuis le Royaume-Uni aujourd’hui. Peut-être pour commencer, pourriez-vous nous en dire un peu plus sur vous-même et sur le travail que vous faites à Cranfield.
Richard Wilding: D’accord, donc à l’origine, j’ai travaillé dans l’industrie et je suis tombé accidentellement dans l’enseignement il y a quelques années. Je n’ai jamais réussi à m’en échapper. Mais en gros, ma carrière a toujours porté sur les perturbations dans les chaînes d’approvisionnement, remontant aux années 90. Bien sûr, les types de choses que nous vivions à l’époque étaient très différents. Dans les années 2000, nous avons connu des événements tels que le 11 septembre, les nuages de cendres, les crises pétrolières et la fièvre aphteuse, qui ont tous eu un impact sur le risque et la résilience des chaînes d’approvisionnement. Je suis devenu probablement l’un des premiers professeurs de gestion des risques de la chaîne d’approvisionnement au monde, mais ce titre a évolué et je suis actuellement professeur de stratégie de la chaîne d’approvisionnement à Cranfield. Mon objectif est de transformer les connaissances en actions, donc ce que j’aime faire, c’est prendre ces connaissances et les mettre en pratique dans l’industrie. Je suis l’ancien président de l’Institut royal de logistique et de transport au Royaume-Uni, qui couvre tout, du transport de marchandises et de personnes à toutes les chaînes d’approvisionnement associées. Mon objectif est de défier et d’inspirer les leaders de la chaîne d’approvisionnement à innover. J’espère que nos auditeurs pourront aujourd’hui repartir avec quelques idées et réfléchir à la manière dont ils peuvent innover pour créer une valeur économique, sociale ou environnementale. C’est vraiment ce que représente Cranfield, apporter des connaissances aux leaders de la chaîne d’approvisionnement, leur permettre d’innover et de créer de la valeur dans les chaînes d’approvisionnement et les entreprises dans lesquelles ils travaillent.
Kieran Chandler: C’est une excellente introduction. Je pense vraiment que l’idée d’innover est quelque chose avec laquelle nous sommes d’accord ici sur LokadTV. Joannes, notre sujet d’aujourd’hui concerne le risque cybernétique et son impact sur nos chaînes d’approvisionnement. Quel est votre premier aperçu ?
Joannes Vermorel: Le risque cybernétique est l’une de ces choses qui est très contre-intuitive en pratique. Il est très difficile, par exemple, de détecter les problèmes de sécurité avec les logiciels. La plupart des méthodologies de test habituelles ne fonctionnent pas, et la plupart des pratiques de développement classiques échouent à résoudre ces problèmes. C’est un sujet insaisissable. Ce qui a de plus en plus attiré mon attention au cours de la dernière décennie, c’est que la plupart du temps pris par les logiciels d’entreprise en général
Kieran Chandler: Au cours des dernières décennies, nous avons tendance à constater une augmentation de ce que l’on appelle techniquement la surface d’attaque du logiciel. Vous avez des logiciels qui sont plus exposés aux attaques, surtout lorsque vous passez à un environnement cloud. Les environnements cloud sont plus sécurisés, mais vous avez beaucoup plus de points d’entrée pour votre logiciel. De plus, lorsque vous avez une application web, vous avez des classes entières de risques très difficiles à atténuer ou à prévenir en termes de problèmes de sécurité potentiels.
Joannes Vermorel: Kieran, tu as mentionné des méthodologies de test qui ne fonctionnent pas si bien. Richard, si nous regardons les choses du point de vue de la chaîne d’approvisionnement, qu’est-ce qui rend la sécurisation si difficile ?
Richard Wilding: Du point de vue de la chaîne d’approvisionnement, nous voulons que les choses soient relativement ouvertes. Nous voulons nous connecter avec nos fournisseurs et nos clients, mais cela crée en réalité de multiples points d’entrée. Souvent, les attaques se produisent au niveau de la chaîne d’approvisionnement. Si je veux fermer une entreprise, une attaque par déni de service sur un site web est dévastatrice, mais si vous commencez à réfléchir aux dégâts qui pourraient être causés en perturbant un système de gestion d’entrepôt ou des véhicules autonomes, cela pourrait être bien plus dévastateur pour une entreprise en termes de sa capacité à continuer et à se redresser à l’avenir. Nous constatons que certaines attaques réelles se produisent, par exemple, via un portail fournisseur. Les gens ont accès à des données ou sont en mesure de fournir des informations à un grand client, mais cela crée un point d’entrée. Si quelqu’un pouvait faire quelque chose d’aussi simple qu’une attaque de phishing, cela peut créer des problèmes.
Il y a de multiples vulnérabilités, et c’est quelque chose dont je parle depuis probablement 18 mois maintenant, car nous avons constaté une forte augmentation des cyberattaques sur les chaînes d’approvisionnement. Une chose qui est vraiment intéressante, c’est de savoir à qui incombe la responsabilité d’empêcher que cela se produise. Le problème, c’est que si vous vous adressez à l’équipe de la chaîne d’approvisionnement, ils vous diront que c’est le travail de l’équipe informatique. Si vous vous adressez aux équipes informatiques, elles vous diront que c’est le travail de la chaîne d’approvisionnement. C’est le travail de tout le monde, nous devons donc nous assurer que tout le monde en est conscient pour éviter ce genre de choses. Sensibiliser l’entreprise et la rendre consciente de ces défis est essentiel.
Kieran Chandler: Richard a mentionné que les chaînes d’approvisionnement sont de plus en plus connectées. Si vous regardez n’importe quelle multinationale, elles étendent leurs systèmes partout dans le monde de nos jours. Diriez-vous que cette connectivité accrue est une véritable faiblesse ?
Joannes Vermorel: Oui, c’est exactement ce que je voulais dire quand j’ai parlé de l’augmentation de la surface d’attaque. Plus les choses sont exposées à des tiers, plus elles sont vulnérables. Sur Internet, vous ne vous connectez pas à une personne, donc si vous avez un portail web, vous avez un logiciel qui interagit via le port 80 en utilisant HTTP. Il peut être de l’autre côté ; c’est toujours une machine. La machine peut être exploitée par un humain, et elle peut être exploitée par un humain qui se trouve être l’employé que vous croyez être cette personne.
Kieran Chandler: Donc en effet, merci, mais où est-ce que vous vous éloigneriez légèrement et où pensez-vous qu’il pourrait y avoir une divergence en termes de sécurité, peut-être avec l’interprétation ?
Joannes Vermorel: Je pense que dans l’ensemble, l’éducation des utilisateurs en général n’est pas suffisante pour résoudre ces problèmes de sécurité. C’est pourquoi cela doit être très profondément concentré. Il doit s’agir d’un piège de sécurité, et c’est là que vous avez vraiment besoin d’une approche spécifique de la correction par la conception. Vous ne pouvez pas vous attendre à ce que les gens n’ouvrent pas les pièces jointes ou autre. Si vous vous attendez à ce que les gens respectent la règle pour quelque chose où ils ne sont qu’à un clic du désastre, ils le feront. Par exemple, l’une des attaques simples s’appelle l’attaque de la clé USB sur le parking. Vous déposez simplement une clé USB avec un logiciel malveillant sur le parking, et vous écrivez “Cachette de bitcoins” dessus. Vous pouvez être sûr qu’il y aura quelqu’un qui essaiera réellement la clé, en la connectant à l’ordinateur. Si vous comptez sur le fait que les gens sont censés être éduqués, je veux dire, ils sont humains. Même s’ils sont assez intelligents, ils peuvent manquer de sommeil, et parfois ils ont un moment d’inattention. Ça arrive tout simplement. Donc, si vous comptez sur les gens pour être intelligents, vigilants et éduqués, ça ne fonctionne pas vraiment. Et c’est très drôle parce que lorsque vous voyez comment la sécurité est gérée dans les entreprises, comme Google, ils adoptent une position opposée. Une position qui a été plus appliquée dans d’autres domaines comme l’industrie nucléaire, où vous supposez au contraire que les gens vont être stupides. Lorsque vous pensez qu’ils vont faire quelque chose de vraiment stupide, vous vous demandez s’ils peuvent faire quelque chose de pire que ça. Mais il y a beaucoup d’autres idées similaires, qui sont pratiquement conçues.
Kieran Chandler: D’accord, Joannes a mentionné cette idée de correction par la conception, Richard. Quelles sont les méthodes que nous pouvons mettre en place pour nous assurer que nos systèmes sont vraiment sécurisés ?
Richard Wilding: Je pense que c’est une chose intéressante, et je pense que nous devons avoir la correction par la conception. Il n’y a aucun doute là-dessus. Mais si vous regardez la vieille règle du 80-20 des causes de la plupart des problèmes, malheureusement, ce sont les gens. Et il est intéressant de noter que Google Australie a été piraté par des hacktivistes juste pour montrer qu’ils pouvaient le faire. Et la façon dont ils y sont parvenus était en passant par le système de contrôle du bâtiment du nouveau bâtiment de Google en Australie. Il a été piraté. Si vous regardez certaines des perturbations vraiment importantes pour les entreprises, comme Target aux États-Unis, qui se poursuit encore avec toutes sortes d’actions collectives et tout le reste, c’était assez intéressant. Quarante millions de données de cartes de paiement et soixante-dix millions de données clients ont été simplement collectées, et cela s’est produit grâce au système de contrôle de la climatisation et de la ventilation. Un fournisseur a été ciblé par des e-mails d’hameçonnage. Ils ont ensuite pu accéder à cette partie de l’entreprise, et ils ont simplement parcouru les données, ont découvert le réseau de points de vente, et se sont simplement assis là en prenant les informations.
Kieran Chandler: C’est vraiment important car jusqu’à présent, cela leur a coûté, croyez-le ou non, 162 millions. C’est une perturbation particulière qui s’est produite. Mais je pense que le point clé ici est de pouvoir sensibiliser les gens à ces choses, de les rendre conscients de leurs responsabilités. Mais ensuite, vous avez aussi le côté conception des choses. Le problème, c’est que vous avez besoin d’un certain niveau d’ouverture.
Richard Wilding: D’accord, donc si je pense à mon ordinateur portable, l’université peut le verrouiller pour que je ne puisse rien en faire, et ce n’est pas très amusant. Nous avons eu cela il y a quelques années, où c’était comme ça : “C’est de l’entreprise. Personne ne peut aller sur LinkedIn, personne ne peut aller sur YouTube, personne ne peut aller sur ceci ou cela.” Mais le problème, c’est que, en revenant à l’innovation, l’innovation consiste à prendre des idées qui vous sont nouvelles et à créer de la valeur. Si tout à coup vous verrouillez vos systèmes parce que ceux-ci pourraient potentiellement permettre aux gens d’accéder à des choses qu’ils ne devraient pas ou affaiblir notre infrastructure et tout le reste, cela peut en fait avoir un autre effet. Ainsi, avec le “bloquons les médias sociaux au sein de notre entreprise”, ce qui en résulte en réalité, c’est un blocage de l’innovation, pourrait-on dire. Parce que maintenant, beaucoup de l’innovation et des bonnes idées sont partagées efficacement par le biais de ces canaux. Donc, il faut être particulièrement prudent à ce sujet, et je pense que c’est l’une de ces choses qui consiste à trouver un équilibre entre l’accessibilité et la sécurité, mais en s’assurant, par conception, que si les choses tournent mal, vous les détectez rapidement.
Kieran Chandler: D’accord, voulez-vous intervenir ici, Joannes ?
Joannes Vermorel: Oui, je veux dire, juste pour vous donner un exemple, quand je disais que c’est contre-intuitif, je pense que l’idée même de verrouiller est un exemple parfait de cela. Si vous avez une sécurité très stricte pour les ordinateurs portables où l’entreprise ne peut installer que les logiciels qui ont été approuvés et vous ne pouvez visiter que les sites web qui ont été approuvés, que se passe-t-il en pratique ? Les gens apportent leurs propres appareils, ils achètent leurs propres ordinateurs portables. Donc, alors qu’en théorie vous pensiez que vous créiez de la sécurité, ce n’est pas le cas, simplement parce que les gens vont réagir et faire autre chose à côté. Et la même chose pour les mots de passe, par exemple. Il y a eu des études, même publiées par la NSA aux États-Unis, qui ont montré que les rotations de mots de passe sont nuisibles. Si vous faites tourner fréquemment les mots de passe, ce que les gens font, c’est qu’ils mettent des post-it sur leur bureau avec le mot de passe de la semaine. Donc, vous vous retrouvez avec des bureaux entiers où le mot de passe de tout le monde est sur le bureau de tout le monde sur un post-it.
C’est pourquoi je dis que c’est très contre-intuitif, et ce n’est pas seulement un équilibre. En effet, fréquemment, vous pouvez même pousser les gens à faire des choses qui sont encore moins sécurisées. Et encore une fois, je pense que l’industrie nucléaire a beaucoup d’exemples concrets à ce sujet. Si vous chargez les gens avec trop d’équipements de protection, à un moment donné pendant l’été, il fait tout simplement trop chaud, donc ils se débarrassent de tout simplement parce qu’ils ne peuvent même pas supporter la chaleur de tout le matériel qu’ils doivent transporter, et ainsi ils se retrouvent sans aucun équipement de protection, ce qui est très stupide. C’est pourquoi la sécurité est si compliquée. C’est parce que vous devez penser à la façon dont les humains vont réagir, et c’est comme une boucle de rétroaction complètement récursive.
Kieran Chandler: Vous y réfléchissez, il y a des données que vous ne devriez pas collecter pendant une durée quelconque, peut-être une semaine, puis vous en débarrasser.
Richard Wilding: Je pense que ce qui est intéressant avec Target, c’est qu’ils ne stockaient pas les données. Elles passaient simplement par leurs systèmes. Si vous effectuez une transaction par carte de crédit, elle doit passer par Internet jusqu’à la banque. Si vous pouvez intercepter ce flux, ce qui était en fait ce qui se passait, alors vous pouvez faire ce genre de choses. Mais je pense qu’il est vraiment important, si vous pensez au RGPD et à la protection des données, de ne conserver que ce qui est vraiment nécessaire. À quoi bon avoir tout ce stock de données ? Certaines entreprises, avec l’intelligence artificielle, pensent qu’elles devraient conserver toutes ces données car elles pourraient être utiles à l’avenir. Eh bien, c’est un peu comme si je gardais tous les e-mails que j’ai jamais écrits de ma vie. Est-ce que je ferai quelque chose d’utile avec eux à l’avenir ? Nous devons réfléchir à cela.
J’adore cette petite citation lorsque je parle aux gens des mots de passe : “Les mots de passe sont comme des sous-vêtements. Vous ne voulez pas les montrer, changez-les souvent et ne les partagez pas avec des étrangers.” Mais en même temps, vous devez vous assurer que vous êtes capable de vous souvenir de ces choses, c’est pourquoi vous avez besoin d’autres approches.
Kieran Chandler: Richard, parlons un peu de la situation actuelle avec de plus en plus de personnes qui travaillent à domicile à cause du coronavirus. Cela a sans doute introduit beaucoup plus de risques. Que peut faire une entreprise, peut-être quelqu’un qui regarde cela, pour se protéger ?
Richard Wilding: Eh bien, je recommanderais que lorsque vous travaillez à domicile, dans une certaine mesure, cela pourrait être plus sécurisé car s’il y a des mots de passe laissés partout sur mon bureau, ce qui n’est pas le cas, il y a moins de personnes qui vont passer par là. Donc, il y a certains éléments qui pourraient rendre le travail à distance légèrement plus sécurisé. Mais en même temps, nous utilisons maintenant les appareils personnels de tout le monde, ce qui est un point qui a été soulevé plus tôt, et nous devons également être en mesure de gérer cela. Il est également important de reconnaître que nous utilisons nos propres routeurs personnels, connexions Internet, réseaux Wi-Fi et tout le reste. Alors, à quel point cela est-il sécurisé ? Je pense que les entreprises doivent commencer à sensibiliser leurs employés au travail à domicile et à utiliser des ressources comme Cyber Essentials pour les guider dans ce qu’ils font.
Kieran Chandler: Joannes, quel est votre conseil pour quelqu’un qui regarde cela ? D’après votre expérience, comment protégez-vous une entreprise contre des employés, comme moi, qui pourraient prendre de mauvaises décisions ?
Joannes Vermorel: Je ne crois vraiment pas en la voie de l’éducation, ou peut-être d’une manière très spécifique. Juste pour vous donner une idée des menaces émergentes que nous voyons de nos jours, il y a des tonnes de contrefaçons sur Amazon, et même pour des choses…
Kieran Chandler: Alors, Richard, commençons par vous. Nous entendons beaucoup parler de la transition vers le travail à distance, surtout dans le contexte de la pandémie. Quelles sont certaines des plus grandes préoccupations que vous avez en matière de sécurité informatique dans l’environnement de travail à distance ?
Richard Wilding: Eh bien, je pense qu’il y a toute une série de préoccupations en matière de sécurité informatique lorsqu’il s’agit de travail à distance. Une chose à laquelle les gens ne pensent peut-être pas nécessairement, c’est à quel point certaines de ces préoccupations peuvent être basiques. Par exemple, quelque chose d’aussi basique que les câbles USB, que nous utilisons tous les jours, peut en réalité transmettre des logiciels malveillants à votre ordinateur. Avec les progrès de l’informatique, il est maintenant possible d’avoir un micro-ordinateur à l’intérieur d’un câble. Et c’est juste un exemple de ce qui peut se produire avec des adaptateurs et d’autres appareils similaires. Donc, en fin de compte, vous pouvez avoir quelque chose d’aussi puissant qu’un ordinateur d’il y a 20 ans à l’intérieur d’un câble qui ressemble à un câble normal. Et cela peut même avoir une marque de confiance, mais ce que vous achetez pourrait en réalité être une contrefaçon. Et Amazon a eu quelques problèmes à ce sujet.
Joannes Vermorel: Si je peux ajouter à cela, Kieran, je suis très sceptique quant au fait que la formation seule fera une différence en matière de sécurité informatique. Les problèmes sont si répandus et diversifiés que je ne pense pas que l’on puisse compter sur les gens pour toujours se comporter d’une certaine manière. Mais je pense que le travail à distance a un avantage positif que les gens pourraient ne pas penser, c’est qu’il rend le travail à distance plus acceptable. Et d’après mon expérience, la meilleure façon d’améliorer la sécurité informatique est en réalité d’utiliser des hackers éthiques - c’est-à-dire des hackers qui offrent leurs services à distance pour trouver des failles dans la sécurité de votre entreprise. C’est étrange, mais la sécurité est un domaine si étrange que même lorsque l’on s’attend à ce que les gens se comportent d’une certaine manière, il est très possible qu’ils ne le fassent pas. Par exemple, quelqu’un pourrait se faire passer pour un support technique et vous appeler pour obtenir l’accès à votre ordinateur.
Richard Wilding: Oui, Joannes, je suis tout à fait d’accord avec vous. En fait, dans mon rôle au sein des conseils d’administration, nous avons employé de telles personnes - généralement d’anciens hackers qui ont purgé une peine de prison et qui travaillent maintenant avec des organisations pour trouver des vulnérabilités dans leur sécurité. Il est important de le faire régulièrement car les méthodes d’attaque changent constamment. Et il est également important que les gens sachent quoi faire lorsqu’une attaque se produit. Il existe maintenant des logiciels plus sophistiqués qui peuvent détecter les modifications apportées aux fichiers ou aux morceaux de code réécrits, mais nous devons également réfléchir à l’approche matérielle. Par exemple, les clés USB ne sont pas autorisées dans certains environnements, comme le campus militaire de Cranfield où je travaille.
Kieran Chandler: C’est vraiment intéressant. Alors, Richard, pouvez-vous nous en dire un peu plus sur les approches logicielles qui sont maintenant utilisées pour détecter les cyberattaques ?
Richard Wilding: Oui, il existe maintenant des approches logicielles plus sophistiquées qui peuvent détecter lorsque des fichiers sont modifiés ou que des morceaux de code sont réécrits. Elles peuvent créer des alertes sur ces modifications et contribuer à prévenir les attaques avant qu’elles ne se produisent. Mais, comme je l’ai dit précédemment, nous devons également réfléchir à l’approche matérielle. Nous devons avoir des lignes directrices en place concernant des choses basiques comme les clés USB et les câbles, et nous devons régulièrement faire appel à des hackers éthiques pour trouver des vulnérabilités dans notre sécurité.
Kieran Chandler: Alors, Joannes, Richard, nous avons beaucoup parlé des vulnérabilités et des risques liés à la cybersécurité, mais quelles sont certaines des façons dont nous pouvons nous protéger ?
Joannes Vermorel: Eh bien, je pense que la première chose à réaliser est que la cybersécurité n’est pas absolue. C’est un compromis entre sécurité et commodité. Par exemple, si vous avez un système très sécurisé, il peut être très inconfortable à utiliser, et s’il est très pratique, il peut ne pas être très sécurisé. Nous devons donc trouver un équilibre entre ces deux aspects.
Richard Wilding: Oui, et je pense qu’un autre point important est que nous devons avoir une sorte de pare-feu pour limiter ce qui se passe au sein de nos systèmes. Nous ne voulons pas d’une méga-attaque, nous devons donc être en mesure de détecter et d’arrêter le déploiement de logiciels malveillants.
Kieran Chandler: C’est un bon point. Alors, concentrons-nous sur les aspects positifs un instant. La cybersécurité a parcouru un long chemin au cours des dernières décennies. Pensez-vous qu’elle continuera à s’améliorer et que nous serons un jour plus en sécurité que jamais ?
Richard Wilding: Je pense que c’est une bataille constante, pour être honnête. La cybersécurité est un jeu continu qui évolue toujours. Cependant, je pense que les choses s’améliorent. Par exemple, si vous achetez un ordinateur portable Windows aujourd’hui, il est livré avec Windows 10, qui dispose d’une protection antivirus assez décente qui fait une partie du travail gratuitement. Nous commençons donc à voir que la cybersécurité fait partie du package.
Joannes Vermorel: Oui, mais nous devons également sensibiliser tout le monde. Les gens doivent savoir qu’une simple clé USB ou un câble peuvent causer des ravages. C’est la nature de ce qui se passe. Mais si les gens en sont conscients, ils réfléchiront peut-être à deux fois avant de faire certaines de ces choses.
Kieran Chandler: Donc, c’est une combinaison de sensibilisation et de mise en place de systèmes capables de détecter et d’arrêter le déploiement de logiciels malveillants. Eh bien, nous devons conclure ici, mais merci à tous les deux pour votre temps. C’est tout pour cette semaine. Merci beaucoup de nous avoir suivi et nous vous retrouverons dans le prochain épisode. Merci de nous avoir regardés.
